[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[upki-fed:300] Shibboleth SP 2.4.0の注意点



SP管理者のみなさま
西村です。

12月13日にShibboleth SP 2.4.0が公開され、CentOS用などのリポジトリも更新されている
ようですが、そのままyum updateするとshibdが起動しなくなりますのでご注意ください!
※以下の注意点はyumのリポジトリを使用している場合のみで、ソースからコンパイルされている
 方は影響ないと思われます。
※また、2.3.1→2.4.0のバージョンアップでセキュリティホールが修正されたという情報もあり
 ませんので、yumリポジトリを使用している方はバージョンアップを見合わせた方が無難です。

すでにバージョンアップしてしまい起動しなくなった方は以下を実行した上で起動すれば起動
するようになると思います。
$ sudo ln -s shibboleth /etc/XML-Security-C
$ sudo ln -s shibboleth /var/run/XML-Security-C
※これを見てお気付きの方もいらっしゃるかもしれませんが単純なバグなので、早晩修正される
 と思います。

# これ以降の記述は2.3.1→2.4へバージョンアップした際の一般的な注意点です。バグが
# 解消された後にバージョンアップする際にも参照してください。

なお、SPからのリダイレクトがおかしい、という方は、以下を参照して<SSO/>要素を
<Sessions/>要素の中に追加してください。
https://spaces.internet2.edu/display/SHIB2/NativeSPServiceSSO
例1(DSを使用する場合):
<Sessions ...>
  <SSO discoveryProtocol="SAMLDS" discoveryURL="https://ds.example.ac.jp/WAYF">
    SAML2 SAML1
  </SSO>
  ...
</Sessions>
例1(DSを介さず直接IdPにリダイレクトしたい場合)
<Sessions ...>
  <SSO entityID="https://idp.example.ac.jp/idp/shibboleth">
    SAML2 SAML1
  </SSO>
  ...
</Sessions>
※2.4の設定ファイルはかなり簡略化されていますが、ひとまず上記の修正のみで動いているようです。

また、/etc/httpd/conf.d/shib.confを修正して使っていた方は、修正が元に戻っていると思います
ので、/etc/httpd/conf.d/shib.conf.rpmsaveから
>   Alias /shibboleth-sp/main.css /usr/share/doc/shibboleth-2.3.1/main.css
>   Alias /shibboleth-sp/logo.jpg /usr/share/doc/shibboleth-2.3.1/logo.jpg
の行の2.3.1→2.4に変更して戻してあげるとよいと思います。

もう一つ、shibdをrootでなく他のユーザ権限で実行している方へ:
# CentOSのディレクトリ構成で説明しています。
/var/log/shibbolethおよび/var/run/shibbolethのパーミッションを変更している
かと思いますが、初期インストール時の状態に戻りますので再度変更してください。
また、/etc/init.d/shibdの"SHIBD_USR=root"の行を修正していると思いますが、
2.4からは/etc/sysconfig/shibdにファイルを作成して
SHIBD_USER=shibboleth (例)
と書いておくとそれが読み込まれます。


ちなみに、このバージョンアップで以下のファイルが更新されているようです。
/etc/httpd/conf.d/shib.conf(前述)
/etc/rc.d/init.d/shibd(前述)
/etc/shibboleth/
    attribute-map.xml
    attribute-policy.xml
    native.logger
    shibd.logger
    shibboleth2.xml
    protocols.xml(新設)
    security-policy.xml(新設)
    example-shibboleth2.xml(新設、特殊なことをやる場合の参照用)
これに伴い以下のログファイルが新たに出力されるようになっています。
/var/log/httpd/native_warn.log
/var/log/shibboleth/shibd_warn.log
/var/log/shibboleth/signature.log
ついでに、本設定(shibboleth2.xml.rpmnew)では以下のハンドラURLが追加されています。
https://sp.example.ac.jp/Shibboleth.sso/DiscoFeed

また、依存しているパッケージ構成も大幅に更新されています。
Installed: xmltooling-schemas.i386 1.4-2.1
Installed: opensaml-schemas.i386 2.4-2.1
Installed: liblog4shib1.i386 1.0.4-2.1
Installed: libxerces-c-3_1.i386 3.1.1-2.1
Installed: libxml-security-c16.i386 1.6.0-2.1
Installed: libxmltooling5.i386 1.4-2.1
Installed: libsaml7.i386 2.4-2.1
Erased: opensaml
Erased: xmltooling
Erased: log4shib
Erased: xerces-c
Erased: xml-security-c
Updated: shibboleth.i386 2.4-2.1

-- 
西村健
国立情報学研究所 TEL:03-4212-2720