Shibboleth SPのアップデートに関してはこちらをご覧ください。⇒SPv3アップデートに関する情報 |
shibboleth-identity-provider-3.x.x.tar.gz
パッケージを展開したディレクトリで、以下のコマンドで設定ファイルの変更点を確認し、適宜反映した上で、アップデートを実行します。
反映しない場合、旧来の機能は変わらず動作することが保証されますが、新バージョン以降の新機能が(デフォルトで有効な場合と有効化した場合いずれも)正しく動作することが保証されません。このため、将来的な新機能利用も見据えて、アップデート後でもかまいませんのでなるべく早く反映するようにしてください。 |
uApproveJPをインストールしている場合は
|
|
|
最後に、アップデートプロセスにより変更されたserver.key
のパーミッションを元に戻します。
|
本アップデート手順はTomcatを起動したまま行うことを前提としております。もしTomcatが起動していない状態の場合は、古いバージョンのキャッシュを削除するため以下のコマンドを実行してください。
なお、Tomcat 8.0.21およびそれ以降を使っており、 |
アップデート後、以下のコマンドでバージョンが更新されていることを確認してください。
|
アップデート直後は古いバージョンを示すことがあるので、その場合はしばらくしてから再度確認してください。 |
/opt/shibboleth-idp/
の下にold-2016MMDD-XXXX/
というようなディレクトリが作成されるようですが、運用には不要です。
# ls /opt/shibboleth-idp/old-20160509-0810/ bin/ dist/ doc/ system/ webapp/ |
$CATALINA_BASE/lib/
等に/opt/shibboleth-idp/webapp/WEB-INF/lib/
以下のJARファイルへのシンボリックリンクがある場合は、アップデート後にバージョンが変わっている可能性があるのでシンボリックリンクを変更し、Tomcatを再起動すること。3.3.xにて(3.2.xでも同様かは不明)、かつTomcat 8もしくはそれ以降を使用している一部の環境の場合、IE / EdgeでSLOした後再度認証しようとするとエラーになるという問題があります。同様の問題で困っているかたはidp.xmlの記述を最新版にしてください。
詳細その1: https://issues.shibboleth.net/jira/browse/IDP-1141
詳細その2: 貴学にてIdPv3をインストールする場合の構築手順 の「5. idp.war の登録」の<CookieProcessor alwaysAddExpires="true" />
の行
3.3.1にて、relying-party.xmlのp:defaultAuthenticationMethodsで従来使えていた文字列として記述する記法が使えなくなりました。エラーメッセージ:
Caused by: java.lang.IllegalStateException: Cannot convert value of type [java.lang.String] to required type [java.security.Principal] for property 'defaultAuthenticationMethods[0]': no matching editors or conversion strategy found |
以下のように記述することができますが、以下のようにいずれの用途にも適さないためお勧めしません。①デフォルトで表示される認証方式を変更したい場合は conf/authn/general-authn.xml のbeanの順序を変更してください。(上にあるものが優先的に選択されます)
②ある特定のSPに対して利用できる認証方式を制限する用途には、relying-party.xml
にて p:authenticationFlows="#{{'X509'}}"
のように認証方式を指定してください。
|
3.3.1へのアップデートで system/messages/
に配置した日本語リソースが削除されるとの情報があります。お手数ですが messages/
に再度配置してください。
詳細: GakuNinShare:Shibboleth IdP 3 - メッセージの多言語化
詳細: Shibboleth Wiki:MessagesTranslation のコメント欄
3.3.2にてIDP-1207への対処のため views/login.vm
に変更が入っております。dist/views/login.vm.dist
と比較して必要な修正を取り込んでください。
配布物での差分は以下の通りで、「ログインを記憶しません。」チェックボックスが特定の条件下(forceAuthn時)に指定通りにならないため当該条件の下では表示しないようにするものです。コメントにある通り多要素認証等を使っている場合は適宜修正してください。
|
$requestContext
の使用が制限されておりますが、V4では$requestContext
自体がなくなる見込みです。代替手段をご検討ください。3.2.1およびそれ以前で発見されていた<ResultCache>
要素の脆弱性が修正されましたので、LDAP result caching機能が必要な方は再度有効化してください。
2016-11-21 [upki-fed:01087] 【補足情報】【注意喚起】Shibboleth IdPの脆弱性について
また、上記メールに記載がありますが、3.2.1およびそれ以前で以下のログが記録されしばらくすると認証処理がストップする(通信環境が不安定な場合にロックする)という問題にも対処が入っておりますので、この問題に遭遇されていた方は今一度ご確認ください。
2016-09-13T08:37:30.402+01:00 - WARN [org.ldaptive.AbstractOperation$ReopenOperationExceptionHandler:277] - Operation exception encountered, reopening connection |
以下で指摘されていたSLOのエラーについては、3.3.0で解消されています。詳細についてはFull SLO(Single Logout)の設定方法の末尾の注意事項をご覧ください。
2016-01-15 [upki-fed:01005] Re: Shibboleth 3.2 Logout時エラーについて
メッセージファイルのファイル構成が変更されています。旧構成でも新機能を使わない限り運用可能ですが、新構成に切り替えるにはservices.xml
のshibboleth.MessageSourceResources
を/opt/shibboleth-idp/dist/conf/services.xml.dist
を参考に更新してください。その際、idp.logo
など従来の3ファイルに加えていた変更を/opt/shibboleth-idp/messages/messages.properties
に追記して変更を維持してください。
3.3.0以降向けの日本語メッセージファイルも Shibboleth IdP 3 - メッセージの多言語化 のリンク先から提供されています。/opt/shibboleth-idp/messages/
以下に配置して利用してください。すでに同名のファイルが存在する場合はマージしてください。が、3.3.0以降での手順では/opt/shibboleth-idp/system/messages/
以下に配置するようになっています。
3.2でのattribute-filter.xml
に続き、3.3ではattribute-resolver.xml
について名前空間のフラット化(resolver:
やdc:
等の除去)が行われております。ただし従来の記法も使えますので、アップデートに際して書き換えなくても大丈夫です。
フラット化の対応手順は別ページに記載しておりますのでご参照ください。
3.3.0にて認証処理時のリグレッションが発生しています。詳細はReleaseNotesに記載されていますので"IDP-1101"で検索してください。
以前のバージョンにて/idp/statusにアクセスすると以下のような不要なERRORログが記録される問題に対処が入っております。ただし以前のバージョンの conf/logback.xml
を引き続き使っている場合は修正されませんので、dist/conf/logback.xml.dist
を参考に修正してください。
2016-06-27 12:34:56,760 - ERROR [org.apache.velocity:96] - ResourceManager : unable to find resource 'status.vm' in any resource loader. |
2016年11月21日以前の技術ガイドに沿って構築した場合、設定ファイルのパーミッションに問題がありアップデート後に正常に起動しない可能性があります。以下にならってパーミッションを修正した上でアップデートを適用してください。
# find /opt/shibboleth-idp/conf -type d -exec chmod g+s {} \; # chown tomcat:root /opt/shibboleth-idp/credentials/server.key # chmod 400 /opt/shibboleth-idp/credentials/server.key |
1行目の修正点は、アップデート時に新規ファイル/ディレクトリが作成される場合も適切なowner/groupを維持するためのものです。
2,3行目は、server.key
(に限らずcredentials/
以下の.keyで終わるファイル)はアップデートプロセスによりrw-------
に強制されるので、ownerがrootでかつTomcatをtomcatユーザで起動していると動作しなくなることに対する対処です。
Tomcatの脆弱性およびそれに関連してyumパッケージのパーミッション修正が不完全な件が流れています。
2016-11-21 [upki-fed:01086] 【補足情報】【注意喚起】Tomcatの脆弱性修正版リリースについて(2016/11/1)
JVMヒープサイズの推奨値が1.5GB(-Xmx1500m
)に上方修正されておりますので、適宜自動起動スクリプトを更新してください。
2016-05-16 [upki-fed:01048] Re: Shibboleth IdP実行環境におけるJVMのヒープサイズについて
古いJavaを使っているとメタデータ取得に失敗するという情報がありました。
2015-08-21 [upki-fed:00954] 最新のJava(Oracle JDK/OpenJDK)を使った場合のメタデータ取得エラー
3.2.xで特定の条件で認証応答に署名がないという問題に遭遇した場合は3.3.0以降にアップデートしてください。詳細はReleaseNotesに記載されていますので"IDP-920"で検索してください。
四半期に一度のペースでJava(OpenJDKおよびOracle JDK)のセキュリティアップデートがリリースされています。
2016-05-16 [upki-fed:01049] Re: 【注意喚起】OpenJDKおよびOracle Javaの脆弱性について(2016/4/22)
今回の内容としては、JMXポートの脆弱性、毎回恒例の暗号系の改善(GCM, DSA)、MD5withRSAの拒否、(今回のものではありませんが)OpenJDK 7のECC対応、など。
以下のページを参照のこと。
⇒https://www.switch.ch/aai/guides/idp/installation/#keepinguptodate
3.1.xの時代から edit-webapp/WEB-INF/ 以下にweb.xmlを配置している場合、この記述が古くなっている可能性があります。インストールパッケージを展開したディレクトリの webapp/WEB-INF/web.xml と比較し必要な変更を取り込んでください。
3.2ではattribute-filter.xml
について名前空間のフラット化(afp:
やbasic:
等の除去)が行われております。ただし従来の記法も使えますので、アップデートに際して書き換えなくても大丈夫です。
フラット化の対応手順は別ページに記載しておりますのでご参照ください。
$requestContext
を使っている場合、メソッド等が存在しない場合があるという情報があります。以下を参考に修正してください。NameIDにTransient IDを入れて送る方法、および他のIDを入れて送る方法が大幅に変更になっており、従来の方法は使えません。紛らわしさをなくすため、attribute-resolver.xmlおよびattribute-filter.xmlにおける従来の設定(IdPv3では意味を持ちません)を削除しておくことをお勧めします。
以下の記述があれば、丸ごと削除可能です。ただし少しでも変更があれば意図しない挙動の変化を生じる可能性がありますので、一字一句差異がないことを確認してください。 attribute-resolver.xml:
attribute-filter.xml:
|