バージョン共通
shibboleth-identity-provider-3.x.x.tar.gzパッケージを展開したディレクトリで、以下のコマンドで設定ファイルの変更点を確認し、適宜反映した上で、アップデートを実行します。
/opt/shibboleth-idp/以下に存在しないファイル/ディレクトリはアップデート時に自動的に作成されますが、インストール後修正したファイルのほか、修正していないファイルも一切上書きはされませんので、新バージョンの内容を適宜反映してください。各自で修正していないファイルはdist/以下のファイルをファイル名末尾の.distを省いたもので上書きする、各自で修正したファイルは新バージョンでの変更点をマージする形になります。
反映しない場合、旧来の機能は変わらず動作することが保証されますが、新バージョン以降の新機能が(デフォルトで有効な場合と有効化した場合いずれも)正しく動作することが保証されません。このため、将来的な新機能利用も見据えて、アップデート後でもかまいませんのでなるべく早く反映するようにしてください。
2016年11月21日以前の技術ガイドに沿って構築した場合、設定ファイルのパーミッションに問題がありアップデート後に正常に起動しない可能性があります。以下にならってパーミッションを修正した上でアップデートを適用してください。
# find /opt/shibboleth-idp/conf -type d -exec chmod g+s {} \;
# chown tomcat:root /opt/shibboleth-idp/credentials/server.key
# chmod 400 /opt/shibboleth-idp/credentials/server.key
1行目の修正点は、アップデート時に新規ファイル/ディレクトリが作成される場合も適切なowner/groupを維持するためのものです。
2,3行目は、server.key(に限らずcredentials/以下の.keyで終わるファイル)はアップデートプロセスによりrw-------に強制されるので、ownerがrootでかつtomcatユーザで運用していると動作しなくなることに対する対処です。
# diff -rb /opt/shibboleth-idp/dist/ dist/(変更点の確認)
# bin/install.sh -Didp.conf.filemode=640
Source (Distribution) Directory (press <enter> to accept default: [/root/shibboleth-identity-provider-3.3.0][Enter] ←入力なしInstallation Directory: [/opt/shibboleth-idp]
[Enter]
Rebuilding /opt/shibboleth-idp/war/idp.war ......doneBUILD SUCCESSFULTotal time: 5 seconds#
最後に、アップデートプロセスにより変更されたserver.keyのパーミッションを元に戻します。
# chmod 400 /opt/shibboleth-idp/credentials/server.key
注意点
/opt/shibboleth-idp/の下にold-2016MMDD-XXXX/というようなディレクトリが作成されるようですが、運用には不要です。# ls /opt/shibboleth-idp/old-20160509-0810/ bin/ dist/ doc/ system/ webapp/
uApproveJPをインストールしている場合は
system/以下の修正が元に戻っているはずなのでアップデートの後再修正が必要。もしくは、アップデート前に展開したディレクトリの当該ファイルを修正し、アップデートを行うこと。
IdP 3.2.x から IdP 3.3.x へアップデートする場合の注意点
3.2.1およびそれ以前で発見されていた<ResultCache>要素の脆弱性が修正されましたので、LDAP result caching機能が必要な方は再度有効化してください。
2016-11-21 [upki-fed:01087] 【補足情報】【注意喚起】Shibboleth IdPの脆弱性について
また、上記メールに記載がありますが、3.2.1およびそれ以前で以下のログが記録されしばらくすると認証処理がストップする(通信環境が不安定な場合にロックする)という問題にも対処が入っておりますので、この問題に遭遇されていた方は今一度ご確認ください。
2016-09-13T08:37:30.402+01:00 - WARN [org.ldaptive.AbstractOperation$ReopenOperationExceptionHandler:277] - Operation exception encountered, reopening connection
以下で指摘されていたSLOのエラーについては、3.3.0で解消されています。詳細についてはFull SLO(Single Logout)の設定方法の末尾の注意事項をご覧ください。
2016-01-15 [upki-fed:01005] Re: Shibboleth 3.2 Logout時エラーについて
メッセージファイルのファイル構成が変更されています。旧構成でも新機能を使わない限り運用可能ですが、新構成に切り替えるにはservices.xmlのshibboleth.MessageSourceResourcesを/opt/shibboleth-idp/dist/conf/services.xml.distを参考に更新してください。
3.3.0以降向けの日本語メッセージファイルも Shibboleth IdP 3 - メッセージの多言語化 のリンク先から提供されています。これまで通り/opt/shibboleth-idp/messages/以下に配置しても利用できますが、3.3.0以降での公式な手順では/opt/shibboleth-idp/system/messages/以下に配置するようになる見込みです。
3.2でのattribute-filter.xmlに続き、3.3ではattribute-resolver.xmlで名前空間のフラット化(resolver:やdc:等の除去)が行われております。ただし従来の記法も使えますので、アップデートに際して書き換えなくても大丈夫です。
その他の情報
Tomcatの脆弱性およびそれに関連してyumパッケージのパーミション修正が不完全な件が流れています。
2016-11-21 [upki-fed:01086] 【補足情報】【注意喚起】Tomcatの脆弱性修正版リリースについて(2016/11/1)
IdP 3.2.x から IdP 3.2.x へのアップデートに関する情報
JVMヒープサイズの推奨値が1.5GB(-Xmx1500m)に上方修正されておりますので、適宜自動起動スクリプトを更新してください。
2016-05-16 [upki-fed:01048] Re: Shibboleth IdP実行環境におけるJVMのヒープサイズについて
古いJavaを使っているとメタデータ取得に失敗するという情報がありました。
2015-08-21 [upki-fed:00954] 最新のJava(Oracle JDK/OpenJDK)を使った場合のメタデータ取得エラー
その他の情報
四半期に一度のペースでJava(OpenJDKおよびOracle JDK)のセキュリティアップデートがリリースされています。
2016-05-16 [upki-fed:01049] Re: 【注意喚起】OpenJDKおよびOracle Javaの脆弱性について(2016/4/22)
今回の内容としては、JMXポートの脆弱性、毎回恒例の暗号系の改善(GCM, DSA)、MD5withRSAの拒否、(今回のものではありませんが)OpenJDK 7のECC対応、など。
IdP 3.1.x から IdP 3.2.x へアップデートする場合の注意点
以下のページを参照のこと。
⇒https://www.switch.ch/aai/guides/idp/installation/#keepinguptodate