[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[upki-fed:00333] Re: SPのタイムアウトについての質問



西村先生

お世話になっております。
金沢大学総合メディア基盤センター 松平です。

ご多忙のところ、ご返答ありがとうございます。

IPアドレスの変更に伴い、セッションが破棄され、
再認証が要求されるということですね。
#Webプロキシを複数台かますとだめな感じですかね。

ただ、我々の環境は固定IPでおこなっており、
今回ご提示いただきましたケースとは異なるのかと
考えております。

SPのCookieが無効にならない限りは、IdPへの問い合わせは
発生しないという前提で質問を投げさせていただいていますが、
SPから発行されるCookie情報にはIdPのタイムアウト時間を
越えないなどといった情報は加味されていたりするのでしょうか?


(2011/04/11 14:56), Takeshi NISHIMURA wrote:
> 西村です。
> 
> 実際にタイムアウトを計測したことはないのですが、明らかにタイムアウト前に
> 再認証を求められたことがあります。このケースにあてはまらないかもしれませ
> んが参考までに書きます。
> 
> SPはデフォルトでは認証されたクライアントIPアドレスを保存していて、IPアド
> レスが変わると不正としてセッションを破棄してしまいます。DHCPでころころIP
> アドレスが変わる場合や、FWを経由していて割り当てられるIPアドレスがころころ
> 変わる場合には、正当なアクセスが不正なものとみなされる場合があります。
> # 先日のシンポジウムのデモでこの現象が頻発し、回避策を施すのに苦労しました。
> 
> 上記のようにcookie盗用による不正利用を防ぐための機能なのですが、
> この機能を無効にするには、同じくSessionsに書く属性でconsistentAddress="false"
> のように書けばよいです。
> https://wiki.shibboleth.net/confluence/display/SHIB2/NativeSPSessions
> 
> ちなみに、認証要求時と認証応答時のクライアントIPアドレスが変化していない
> ことをチェックするのはcheckAddress="true"です。
> 
> なお、上記のセッション破棄が起きた際はtransaction.logに
> 2011-03-10 12:54:00 INFO Shibboleth-TRANSACTION [6]: Destroyed session (applicat
> ionId: default) (ID: _xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx)
> のように記録されるので確認できます。
> 
> On 2011/04/11, at 13:42, Takuya Matsuhira wrote:
> 
>> メーリングリスト参加者の皆様
>>
>> お世話になっております。
>> 金沢大学総合メディア基盤センター 松平です。
>>
>>
>> Shibboleth SPのタイムアウト設定について
>> 質問があります。
>>
>> 運用を行っていると、SPによっては、タイムアウトを
>> 15分にしたり、2時間にしたりなど、いろいろなケースが
>> あるかと思います。
>>
>> SPにおける、タイムアウト時間の調整は
>>
>> Shibboleth2.xml内
>> -------
>> <Sessions lifetime="7200" timeout="7200" checkAddress="false"
>>             handlerURL="/Shibboleth.sso" handlerSSL="false"
>> relayState="ss:mem"
>>
>> exportLocation="http://localhost/Shibboleth.sso/GetAssertion"
>> exportACL="127.0.0.1"
>>             idpHistory="false" idpHistoryDays="7">
>> -------
>>
>> のlifetime、timeoutの値を変えることで、
>> できると思っていたのですが、どうも指定した
>> 時間に達する前に再度認証に向かってしまいます。
>>
>>
>> また、一般的には、以下の動作になるかと思います。
>>
>> SPにアクセス
>> ↓
>> 当該SPの認証済みCookie(_shib_session)がない
>> ↓
>> IdPにリダイレクト
>> ↓
>> 認証
>> ↓
>> Cookieがセットされ、SPのコンテンツを表示
>> ↓
>> 当該SPの別コンテンツを選択
>> ↓
>> 当該SPのCookie(_shib_session)がある(lifetime、timeout時間内)
>> ↓
>> SPのコンテンツを表示
>> ↓
>> 当該SPのCookie(_shib_session)があるが、lifetime、timeout時間外
>> ↓
>> IdPへ問い合わせ
>> ↓
>> idp_sessionが有効かどうかをチェック
>>
>>
>> SPのlifetimeとtimeoutの時間がオーバーしない限り、_shib_session
>> は有効で、IdPに問い合わせなくても、SP内で解決できると考えて
>> いるのですが、どうでしょうか?
>>
>> ご多忙のところ、大変申し訳ございませんが、
>> SPに応じてタイムアウト時間を変更する方法をご存知の方、
>> ご教授いただけましたら幸いです。
> 


-- 
+---------------------------------------+
松平 拓也(Takuya MATSUHIRA)
金沢大学 情報化推進室 教育研究システム係
(総合メディア基盤センター)
Tel:076-234-6932
Fax:076-234-6918
E-mail:xxxxxxx@xxxxxxxxxxxxxxxxxxxxxxxx
+---------------------------------------+