1. はじめに
本メニューでは、IdPをカスタマイズします。
インストール状態ではID/パスワード認証となっていますが、クライアント証明書による認証を行う設定です。
2. 実習セミナーでは
以下のような設定で行います。
手順書と照らし合わせながら、作業を進めてください。
・認証局のCA証明書
予めサーバ内に認証局のCA証明書を準備しています。
/root/GETFILE配下にあるので、こちらを使用してください。(cacert.pem)
以下のようにCA証明書を配置します。# cd /root/GETFILE
# cp cacert.pem /opt/shibboleth-idp/credentials
・クライアント認証局のサブジェクト
使用するクライアント証明書のサブジェクトは、「National Institute of Informatics」となります。
クライアント証明書のサブジェクトをチェックする設定を行う箇所があるので、設定値を置き換えてください。
/etc/httpd/conf.d/ssl.confの設定
SSLRequire %{SSL_CLIENT_S_DN_O} eq "National Institute of Informatics"
・CentOS7に合わせた設定変更
/etc/httpd/conf.d/ssl.confに証明書認証用の設定を追加するのですが、手順書ではCA証明書の参照設定が
<Location /idp/Authn/X509>内に記載されていますが、以下のように変更してください。
SSLCACertificateFile /opt/shibboleth-idp/credentials/cacert.pem
<Location /idp/Authn/X509>
SSLVerifyClient require
SSLVerifyDepth 3
・クライアント証明書インストール
証明書認証を行う為、使用するブラウザにクライアント証明書をインストールする必要があります。
以下の説明を参考に、実習セミナーで使用するブラウザ(Firefox)にインストールしてください。
・クライアント証明書
クライアント証明書は、実習セミナー用DSサーバよりダウンロードしてください。
https://ex-ds.gakunin.nii.ac.jp/client_shib.p12(client_shib.p12)
・インストール
以下の手順でインストールします。
① ブラウザ(Firefox)を起動します。
② メニューのツール内にあるオプション、または右上にある三本線のアイコンをクリックし
中にあるオプションを選択します。
③ 右上の検索窓に「証明書」と入力します。
④ 下にある「証明書を表示...」ボタンをクリックします。
⑤ 証明書マネージャー画面が表示されるので、「あなたの証明書」タブを選択し「インポート(M)...」をクリックします。
⑥ 証明書の選択する画面が表示されるので、デスクトップ上にある「client_shib.p12」を
選択し開くボタンをクリックします。
⑦ パスワードの入力を求められるので、「shibcert」と入力してOKボタンをクリックします。
3. 手順書
下記の設定手順書を参照し、作業を行います。
※実習時の設定値に置き換える事を忘れないようにしてください。
4. 動作確認
① 設定後、ApacheやTomcatの再起動を行ってない場合は行ってください。
systemctl restart httpd
systemctl restart tomcat
② 各自が使用するSPの接続確認用ページにアクセスします。
例)1番を割り振られた場合 https://ex-sp-test01.gakunin.nii.ac.jp/
③ ログインボタンをクリックします。
④ DSの設定を行っている場合、所属機関の選択画面が表示されるので、各自が使用するIdPを選択します。
⑤ 証明書認証用のログイン画面が表示されるので、Certificate Loginボタンをクリックします。
⑥ 個人証明書の要求というダイアログが表示されるので、対象となるクライアント証明書を選択して、
OKボタンをクリックします。
※送信属性同意画面が表示される場合は、そのまま設定値を送信しします。
⑦ 正しく属性受信の確認ページが表示される事を確認してください。
※ID/パスワードを入力するログイン画面は表示されず、クライアント証明書で認証が行われ、
ログインする事ができます。