バージョン共通
shibboleth-identity-provider-3.x.x.tar.gz
パッケージを展開したディレクトリで、以下のコマンドで設定ファイルの変更点を確認し、適宜反映した上で、アップデートを実行します。
/opt/shibboleth-idp/
以下に存在しないファイル/ディレクトリはアップデート時に自動的に作成されますが、インストール後修正したファイルのほか、修正していないファイルも一切上書きはされませんので、適宜反映してください。
2016年11月21日以前の技術ガイドに沿って構築した場合、設定ファイルのパーミッションに問題がありアップデート後に正常に起動しない可能性があります。以下にならってパーミッションを修正した上でアップデートを適用してください。
# find /opt/shibboleth-idp/conf -type d -exec chmod g+s {} \; # chown tomcat:root /opt/shibboleth-idp/credentials/server.key # chmod 400 /opt/shibboleth-idp/credentials/server.key
1行目の修正点は、アップデート時に新規ファイル/ディレクトリが作成される場合も適切なowner/groupを維持するためのものです。
2,3行目は、server.key
(に限らずcredentials/
以下の.keyで終わるファイル)はアップデートプロセスによりrw-------
に強制されるので、ownerがrootでかつtomcatユーザで運用していると動作しなくなることに対する対処です。
# diff -rb /opt/shibboleth-idp/dist/ dist/
(変更点の確認)
# bin/install.sh -Didp.conf.filemode=640
Source (Distribution) Directory (press <enter> to accept default: [/root/shibboleth-identity-provider-3.3.0]
[Enter]
←入力なしInstallation Directory: [/opt/shibboleth-idp]
←入力なし
[Enter]
Rebuilding /opt/shibboleth-idp/war/idp.war ......done
BUILD SUCCESSFUL
Total time: 5 seconds
#
最後に、アップデートプロセスにより変更されたserver.key
のパーミッションを元に戻します。
# chmod 400 /opt/shibboleth-idp/credentials/server.key
注意点
/opt/shibboleth-idp/
の下にold-2016MMDD-XXXX/
というようなディレクトリが作成されるようですが、運用には不要です。# ls /opt/shibboleth-idp/old-20160509-0810/ bin/ dist/ doc/ system/ webapp/
uApproveJPをインストールしている場合は
system/
以下の修正が元に戻っているはずなのでアップデートの後再修正が必要。
IdP 3.2.x から IdP 3.2.x へアップデートする場合の注意点
JVMヒープサイズの推奨値が1.5GBに上方修正されておりますので、適宜自動スクリプトを更新してください。
古いJavaを使っているとメタデータ取得に失敗するという情報がありました。
2015-08-21 [upki-fed:00954] 最新のJava(Oracle JDK/OpenJDK)を使った場合のメタデータ取得エラー
IdP 3.1.x から IdP 3.2.x へアップデートする場合の注意点
以下のページを参照のこと。
⇒https://www.switch.ch/aai/guides/idp/installation/#keepinguptodate