1. はじめに
本メニューでは、IdPをカスタマイズします。
IdP Ver3が正常に起動している環境に対して、Ver4にアップグレードします。
ベースがIdP v3.2となっているところを、一度IdP v3.4にアップグレードしてからIdP v4にアップグレードします。
設定ファイルについては、自動的にコンバートされたものを使用して認証確認まで行います。
2. 実習セミナーでは
以下の手順で作業を進めてください。
・Tomcat 7の停止
# systemctl stop tomcat
・Shibboleth Ver3.2のバックアップ
以下のように/root直下に移動して、念のためバックアップを行います。
# cd /root# tar zcfv shibidp-v3.2-backup.tar.gz /opt/shibboleth-idp
・Tomcat 7の起動
# systemctl start tomcat
・ShibbolethIdP Ver3.4のインストール
パッケージは、以下のように/root/PKG配下に配置しています。
# cd /root/PKG# tar xzvf shibboleth-identity-provider-3.4.?.tar.gz# cd shibboleth-identity-provider-3.4.?# ./bin/install.sh -Didp.conf.filemode=640 -Didp.conf.credentials.filemode=640
install.shシェルスクリプトを実行すると、以下のような問い合わせがあります。
手順に従って、進めてください。
Source (Distribution) Directory (press <enter> to accept default): [/root/PKG/shibboleth-identity-provider-3.4.7][Enter] ←入力なし
Installation Directory: [/opt/shibboleth-idp][Enter] ←入力なし
Rebuilding /opt/shibboleth-idp/war/idp.war ......done
BUILD SUCCESSFULTotal time: 2 minutes 27 seconds
・所有者、パーミッションの設定(server.key)
# chown root:tomcat /opt/shibboleth-idp/credentials/server.key# chmod 640 /opt/shibboleth-idp/credentials/server.key
・Tomcat 7の停止
# systemctl stop tomcat
・Tomcat 7のバックアップ
以下のように/root直下に移動して、念のためバックアップを行います。
# cd /root# tar zcfv tomcat7-backup.tar.gz /etc/tomcat /var/log/tomcat /var/lib/tomcat/webapps
・Tomcat 7のアンインストール
# yum remove tomcat
・JDKのアンインストール
# yum remove java-1.8.0-openjdk
・JDK 11のインストール
# yum install java-11-openjdk java-11-openjdk-devel・Tomcat 9のインストール
現在CentOS 7環境のため標準パッケージにはないので、Apache Software Foundationが配布するTomcatパッケージを使用します。
パッケージは、以下のように/root/PKG配下に配置しています。
# cd /root/PKG# tar zxv -C /usr/share -f apache-tomcat-9.?.??.tar.gz# rm -rf /usr/share/tomcat
# ln -s /usr/share/apache-tomcat-9.?.?? /usr/share/tomcat・起動スクリプトの配置
ここで使用する起動スクリプトは、基礎編のインストール手順で配布しているものと同一です。
# cp /root/GETFILE/tomcat.service /etc/systemd/system・自動起動の設定
以下のコマンドで自動起動設定を有効にします。
# systemctl enable tomcat
補足:
以下のコマンドで自動起動設定を無効にすることができます。
# systemctl disable tomcat
・所有者、パーミッションの設定
以下のコマンドでその他Tomcat関連の設定ファイルやディレクトリの所有者、パーミッションを設定します。
# chown -R tomcat:tomcat /usr/share/tomcat/{temp,logs,work}# chown tomcat:tomcat /usr/share/tomcat/webapps# chmod +t /usr/share/tomcat/webapps
# chmod go+rx/usr/share/tomcat/conf# chgrp tomcat /usr/share/tomcat/conf/*.*# chmod g+r /usr/share/tomcat/conf/*.*# mkdir -p /usr/share/tomcat/conf/Catalina/localhost
#chgrp -R tomcat /usr/share/tomcat/conf/Catalina#chmod -R g+r /usr/share/tomcat/conf/Catalina#chmod -R +t /usr/share/tomcat/conf/Catalina
# chgrp -R tomcat /usr/share/tomcat/{bin,lib}
・profileの修正
/etc/profile.d/java-tomcat.sh を以下の内容で修正します。
JAVA_HOME=/usr/lib/jvm/java
#export MANPATH=$MANPATH:/usr/java/default/man
CATALINA_HOME=/usr/share/tomcat
CATALINA_BASE=$CATALINA_HOME
PATH=$JAVA_HOME/bin:$CATALINA_BASE/bin:$CATALINA_HOME/bin:$PATH
export PATH JAVA_HOME CATALINA_HOME CATALINA_BASE
追加した環境変数を読み込みます。
# source /etc/profile
・tomcatの設定
旧tomcatのバックアップから設定を戻しますが、ここではインストール時と同様な修正を行います。
$CATALINA_BASE/conf/server.xmlを下記のように修正します。
他の用途で使用する予定がなければConnector port="8080"をコメントアウトしてください。
<!-- <Connector port="8080" protocol="HTTP/1.1" connectionTimeout="20000" redirectPort="8443" />-->
Connector port="8009"に以下のように追加してください。
<Connector port="8009" protocol="AJP/1.3" redirectPort="8443" enableLookups="false" tomcatAuthentication="false" address="127.0.0.1" maxPostSize="100000" />
・ShibbolethIdP Ver4のインストール
パッケージは、以下のように/root/PKG配下に配置しています。
# cd /root/PKG# tar xzvf shibboleth-identity-provider-4.?.?.tar.gz
# cd shibboleth-identity-provider-4.?.?# ./bin/install.sh -Didp.conf.filemode=640 -Didp.conf.credentials.group=tomcat
install.shシェルスクリプトを実行すると、以下のような問い合わせがあります。
手順に従って、進めてください。
Buildfile: /root/PKG/shibboleth-identity-provider-4.0.1/bin/build.xml
install:Source (Distribution) Directory (press <enter> to accept default): [/root/PKG/shibboleth-identity-provider-4.0.1] ?
[Enter] ←入力なし
Installation Directory: [/opt/shibboleth-idp][Enter] ←入力なし
INFO [net.shibboleth.idp.installer.V4Install:155] - Update from version 3 to version 4.0.1INFO [net.shibboleth.idp.installer.BuildWar:72] - Rebuilding /opt/shibboleth-idp/war/idp.war, Version 4.0.1INFO [net.shibboleth.idp.installer.BuildWar:81] - Initial populate from /opt/shibboleth-idp/dist/webapp to /opt/shibboleth-idp/webpapp.tmpINFO [net.shibboleth.idp.installer.BuildWar:90] - Overlay from /opt/shibboleth-idp/edit-webapp to /opt/shibboleth-idp/webpapp.tmp
BUILD FAILED/root/PKG/shibboleth-identity-provider-4.0.1/bin/build.xml:20: Failed to copy /opt/shibboleth-idp/edit-webapp/WEB-INF/lib/jakarta-taglibs-core.jar to /opt/shibboleth-idp/webpapp.tmp/WEB-INF/lib/jakarta-taglibs-core.jar due to java.nio.file.NoSuchFileException /opt/shibboleth-idp/edit-webapp/WEB-INF/lib/jakarta-taglibs-core.jar
Total time: 1 minute 14 seconds
・パーミッションの調整
# chown -R tomcat:tomcat /opt/shibboleth-idp/logs
# chgrp -R tomcat /opt/shibboleth-idp/conf
# chmod -R g+r /opt/shibboleth-idp/conf
# find /opt/shibboleth-idp/conf -type d -exec chmod -R g+s {} \;
# chgrp tomcat /opt/shibboleth-idp/metadata
# chmod g+w /opt/shibboleth-idp/metadata
# chmod +t /opt/shibboleth-idp/metadata
# chgrp tomcat /opt/shibboleth-idp/credentials/secrets.properties
# chmod g+r /opt/shibboleth-idp/credentials/secrets.properties
# chgrp tomcat /opt/shibboleth-idp/credentials/sealer.*
# chmod g+r /opt/shibboleth-idp/credentials/sealer.*
jstl-1.2.jar の配置
jstl-1.2.jarは、予め「/root/PKG」配下にあります。edit-webapp/ 配下に配置し、idp.warに含めます。また、旧環境で使用した不要なファイルを削除します。
# cp /root/PKG/jstl-1.2.jar /opt/shibboleth-idp/edit-webapp/WEB-INF/lib/
# rm -f /opt/shibboleth-idp/edit-webapp/WEB-INF/lib/jakarta-taglibs-*# /opt/shibboleth-idp/bin/build.shInstallation Directory: [/opt/shibboleth-idp][Enter] ←入力なしRebuilding /opt/shibboleth-idp/war/idp.war ......doneBUILD SUCCESSFULTotal time: 3 seconds
httpdの再起動とTomcatの起動を行います。(すでにTomcatが起動している場合はstopしてから行ってください)
# systemctl restart httpd
# systemctl start tomcat
3. 手順書
参考: IdPv3アップデートに関する情報、IdPv4アップデートに関する情報
4. 動作確認
① 各自が使用するSPの接続確認用ページにアクセスします。
例)1番を割り振られた場合 https://ex-sp-test01.gakunin.nii.ac.jp/
② ログインボタンをクリックします。
③ DSの所属機関の選択画面が表示されるので、各自が使用するIdPを選択します。
④ Ver3にアップグレードした各自が使用するIdPのログイン画面が表示されることを確認します。 (v3ではページ下部にチェックボックスが表示される部分が異なります)
⑤ Username/Passwordを入力して認証を行います。
⑥ 正しく属性受信の確認ページが表示される事を確認してください。
この手順で最低限の動作はしますが、設定ファイルのメンテナンス性が非常に悪く、設定ファイルの不一致により他のページに記載のあるIdPv3に対する手順をそのまま実行することもできません。特に本番運用向けには続けて次の Shibboleth IdP の設定をVer3形式に変換 の手順を実行することをお勧めします。
