CentOS等、yumコマンドによりインストールした環境では以下のコマンドで簡単に最新版にアップデートできます。
$ sudo yum update (もしくはsudo yum update shibboleth) |
アップデート後、httpdおよびshibdが再起動されていることを確認し、再起動されていなければ手動で再起動してください。
$ sudo /sbin/service shibd restart $ sudo /sbin/service httpd restart |
rpmパッケージで導入されている方は shibd という非rootユーザが新たに作られその権限で起動するようになるため、昔の学認の技術ガイドに沿って設定している場合に2点問題が生じます。技術ガイドは2011年11月に修正済みです。それ以前にSPを構築された方は以下の設定を確認してください。
まず、server.key のパーミッションの問題です。rootにしか読み取り権限を与えていない場合、2.5をインストールした時点で自動再起動がかかるため、shibdがエラーで停止してしまいます。
回避方法はいくつかありますが、下記のように sp-key.pem をシンボリックリンクにしておくと、2.5インストール時に自動的に server.key のownerが修正されます。
$ sudo mv -i /etc/shibboleth/sp-key.pem{,.dist} && sudo ln -s cert/server.key /etc/shibboleth/sp-key.pem |
この回避策は当該秘密鍵がSPのみで使用されている場合で、slapdなど他のプロセスからも参照されている場合は注意が必要です。 |
2点目の問題は、メタデータのバックアップファイルを置くディレクトリのパーミッションです。/etc/shibboleth/metadata/ にバックアップを置くように設定されている場合、このディレクトリはshibdユーザの権限ではファイルが置けません。この場合以下のようなエラーがログに記録されます。(リモートのメタデータにアクセスできている限りにおいてSP停止などの実害はありません)
2011-10-17 18:30:07 DEBUG OpenSAML.MetadataProvider.XML [GakuNinMetadata]: committing backup file to permanent location (/etc/shibboleth/metadata/federation-metadata.xml) 2011-10-17 18:30:07 CRIT OpenSAML.MetadataProvider.XML [GakuNinMetadata]: unable to rename metadata backup file |
回避方法は、shibboleth2.xmlで
backingFilePath="/etc/shibboleth/metadata/federation-metadata.xml"
のように絶対パスで指定している部分を
backingFilePath="federation-metadata.xml"
のように相対パスに変更します。このように変更しておけば、適切にownerが設定されるディレクトリ /var/cache/shibboleth/ を使うようになります。
執筆中
/etc/httpd/conf.d/shib.conf を修正して使っていた方は、shib.conf.rpmnew というファイルが新たに作成されていると思います。
SPアップデート手順(*はセキュリティフィックス)