貴学にて、貴学のサーバにOSからShibboleth(IdP)までインストール・設定を行い、構築する方式です。(IdPv2の旧構築手順)
以下は本技術ガイドで構築する前提となる環境です。
以下のパッケージはインストール方法も含めて以降の手順で説明します。
他の環境および最新の情報はShibbolethのサイトでご確認ください:
全体, Jetty 9.2, Jetty 9.3, Apache Tomcat 8
・OS(CentOS 6)インストール
インストーラでインストールするもの。
Webサーバー (HTTPのみ)
OpenLDAP
その他のパッケージは必要に応じてインストールしてください。
ただし、Java開発とTomcat は後の手順で別にインストールします。
運用フェデレーション参加後に、ホスト名を変更する場合はいくつか考慮・解決すべき点があります。ホスト名は十分ご検討いただいた上で設定してください。詳しくは IdPのホスト名変更に関する注意点 をご参照ください。
※このテキストはSELinuxは無効化されているものとして書かれております。下記コマンドでSELinux設定を確認してください。
$ /usr/sbin/getenforce |
・ネットワーク設定
環境に合わせ、ホスト名・ネットワーク・セキュリティを設定して下さい。
新しいホスト名とIPアドレスをDNSに登録してください。
ntpサービスを用い、貴学環境のntpサーバと時刻同期をしてください。
※Shibbolethでは、通信するサーバ間の時刻のずれが約5分を越えるとエラーになります。
tomcat 6以前のバージョンが入っている場合は、削除してください。
CentOS 6にはOpenJDKのパッケージが用意されていますので、これをyumにてインストールします。
|
http://java.sun.com/javase/downloads/index.jsp にあります"Java SE 8u??"の項にある"JDK"の項より構築環境に合わせてダウンロードしたパッケージを適当なフォルダに置いて、以下のコマンドを実行してください(??は用意されているjdkのリビジョン番号にあわせて記述して下さい)。
上記のようにインストールした場合、パッケージ名は 加えて、再度上記URLから「Java Cryptography Extension (JCE) Unlimited Strength Jurisdiction Policy Files for JDK/JRE 8」にある |
CentOS 6の場合、標準パッケージにはTomcat 7がないため、Apache Software Foundationが配布するTomcatパッケージをダウンロードしてインストールします。
/usr/javaを作成します。https://tomcat.apache.org/download-70.cgi よりダウンロードした apache-tomcat-7.?.??.tar.gz を/usr/javaに置いて、
以下のコマンドを実行してください(?は用意されているtomcatのリビジョン番号にあわせて記述して下さい)。
・Tomcat7のパッケージと自動起動スクリプトは、「/root/PKG」配下にあります。 |
# mkdir /usr/java |
自動起動スクリプトを利用すると便利です。ZIPを解凍後にtomcat 7起動スクリプトファイルをコピーします。
ファイル内にJAVA_HOME、CATALINA_HOMEおよびCATALINA_BASEが定義されておりますので、「4. profileの修正」を参考に環境に合わせて変更してください。 Oracle(Sun) JVM / OpenJDK 以外をご使用の方は定義されているオプションを適宜調整してください。 |
# unzip tomcat7.zip # chmod a+x tomcat7 # cp tomcat7 /etc/rc.d/init.d/ |
自動起動の設定 (このオプション指定では マイナス ‘-’ が2つ必要です)
# chkconfig --add tomcat7 # chkconfig --level 345 tomcat7 on |
/etc/profile.d/java-tomcat.sh
という新規ファイルを以下の内容で作成します。
下記のJAVA_HOMEは、OpenJDKを使ったパスとなります。 |
# /etc/profile.d/java-tomcat.sh - set Java and Tomcat stuff JAVA_HOME=/usr/lib/jvm/jre #export MANPATH=$MANPATH:/usr/java/default/man CATALINA_HOME=/usr/java/tomcat CATALINA_BASE=$CATALINA_HOME PATH=$JAVA_HOME/bin:$CATALINA_BASE/bin:$CATALINA_HOME/bin:$PATH export PATH JAVA_HOME CATALINA_HOME CATALINA_BASE |
追加した環境変数を読み込みます。
|
・ここで設定するホスト名は、各自IdPサーバのホスト名を設定してください。 |
/etc/httpd/conf/httpd.conf の修正
(省略) ServerName example-idp.nii.ac.jp:80 ←ホスト名 (省略) |
/etc/httpd/conf.d/ssl.conf の修正
(省略) <VirtualHost _default_:443> (省略) ServerName example-idp.nii.ac.jp:443 ←ホスト名 ProxyPass /idp/ ajp://localhost:8009/idp/ ←追加 (省略) |
加えて、SSL 3.0プロトコルに対する攻撃が発見されておりますので、当該プロトコルを無効化することをお勧めします。⇒SSLバージョン3の脆弱性について (CVE-2014-3566)
|
/etc/httpd/conf.d/virtualhost-localhost80.conf
を以下の内容で作成してください。これはShibboleth IdPが提供するreload-metadata.sh等のコマンドを使った操作を可能にするためのものです。
すでに同一のvirtual hostを別のところで定義している場合は、そちらに含めてください。また、すでに _default_:80 のVirtualHostが定義されている場合はその中の宣言が localhost:80 に適用されなくなりますので、必要であればその宣言をこのファイルにも含めてください。 _default_:80 が定義されているファイルに下記ProxyPassを含める方法もありますが、外部からの通常のアクセスがセキュアでない80番ポートに対しても行えることになりますので推奨しません。(もちろん、ファイアウォール等で適切に対処されていれば問題ありません) |
<VirtualHost localhost:80> ProxyPass /idp/ ajp://localhost:8009/idp/ </VirtualHost> |
$CATALINA_BASE/conf/server.xmlを下記のように修正します。
他の用途で使用する予定がなければConnector port="8080"をコメントアウトしてください。
<!-- <Connector port="8080" protocol="HTTP/1.1" connectionTimeout="20000" redirectPort="8443" /> --> |
Connector port="8009"に以下のように追加してください。
|
# useradd -r -d /usr/java/tomcat -s /sbin/nologin -c "Tomcat daemon" tomcat |
/etc/rc.d/init.d/tomcat7
)
もしTomcatが起動していれば、修正前にstopしてください。 |
|
|
また、Tomcatのpidファイル及び保存されているディレクトリを ls -dl
等で所有者・パーミッションを確認の上、必要なら変更してください。
|
各ファイル名等の指定は,Version 3.1.2に準拠しています。
http://www.shibboleth.net/downloads/identity-provider/latest/から最新版のIdP( shibboleth-identity-provider-3.?.?.zip )をダウンロードします。
ダウンロードしたファイルの真正性を確かめるにはPGP署名(ダウンロードURLに".asc"を追加したもの)を確認してください。 |
・Shibboleth IdPのパッケージは、「/root/PKG」配下にあります。 |
shibboleth-identity-provider-3.?.?.zip を適当なディレクトリに置いて、以下のコマンドを実行してください。
# unzip shibboleth-identity-provider-3.?.?.zip # cd shibboleth-identity-provider-3.?.? # ./bin/install.sh |
install.shシェルスクリプトを実行すると、以下のような問い合わせがあります。
手順に従って、進めてください。
・Hostnameは、設定しなくても設定されているはずです。 |
|
上記のような質問に答えながら、インストールを行います。
Tomcatを”tomcat”ユーザで実行する場合は、ログファイルを出力できるようディレクトリの所有者を変更します。
同様に、設定ファイルやメタデータの保存ディレクトリなどの所有者・パーミッションも変更します。
# chown -R tomcat:tomcat /opt/shibboleth-idp/logs |
IdPの動作に必要なjstl.jar(jakarta-taglibs-core.jar と jakarta-taglibs-standard.jar)を配置します。
CentOS6の場合、jakarta-taglibs-standardパッケージに入っているので、 yum でインストールします。
# yum install jakarta-taglibs-standard |
/usr/share/java 配下にインストールされているので、edit-webapp/
配下にシンボリックリンクを作成し、idp.warに含めます。
# ln -s /usr/share/java/jakarta-taglibs-core.jar |
${CATALINA_BASE}/conf/Catalina/localhost/idp.xml
という新規ファイルを以下の内容で作成し、idp.warをTomcatが認識できるようにします。
|
httpdの再起動とTomcatの起動を行います。(すでにTomcatが起動している場合はstopしてから行ってください)
# service httpd restart # service tomcat7 start |
Tomcatの起動後、${CATALINA_BASE}/logs/catalina.out にエラーが出力されていない事を確認してください。
※catalina.outにTomcat終了時(再起動時)のタイミングで以下のようなエラーが表示されることがありますが問題ありませんので無視してください。
致命的: A web application appears to have started a TimerThread named [Timer-0] via the java.util.Timer API but has failed to stop it. To prevent a memory leak, the timer (and hence the associated thread) has been forcibly cancelled. |
致命的: A web application created a ThreadLocal with key of type [null] (value [ch.qos.logback.core.UnsynchronizedAppenderBase$1@XXXXXXXX]) and a value of type [java.lang.Boolean] (value [false]) but failed to remove it when the web application was stopped. To prevent a memory leak, the ThreadLocal has been forcibly removed. |
service httpd start
service tomcat7 start
sh /usr/java/tomcat/bin/startup.sh (起動スクリプトを利用しない場合)
service httpd stop
service tomcat7 stop
sh /usr/java/tomcat/bin/shutdown.sh (起動スクリプトを利用しない場合)