[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[upki-fed:00342] Re: Session IP Address check on IdP
- Subject: [upki-fed:00342] Re: Session IP Address check on IdP
- Date: Tue, 31 May 2011 13:25:04 +0900 (JST)
- From: "Kaz IGARASHI" <xxx@xxxxxxxxxxx>
西村先生
お世話になっております.成城大学五十嵐です.
> SPはデフォルトでは認証されたクライアントIPアドレスを保存していて、IPアド
> レスが変わると不正としてセッションを破棄してしまいます。DHCPでころころIP
> アドレスが変わる場合や、FWを経由していて割り当てられるIPアドレスがころころ
> 変わる場合には、正当なアクセスが不正なものとみなされる場合があります。
本学でも今取り組んでいる案件にて,同じ問題で悩んでおりました.
> 上記のようにcookie盗用による不正利用を防ぐための機能なのですが、
> この機能を無効にするには、同じくSessionsに書く属性でconsistentAddress="false
> のように書けばよいです。
> https://wiki.shibboleth.net/confluence/display/SHIB2/NativeSPSessions
とりあえず SP 単体であればこれで回避できたのですが,その後別マシンで稼働し
ている SP へ接続すると再度 IdP の認証画面が表示されてしまうため,IdP 側で
IP Address チェックをオフにし,セッションキャッシュを維持することで解消でき
ました.
具体的には,
src/shibboleth-identityprovider-2.2.1/src/main/webapp/WEB-INF/web.xml で
ensureConsistentClientAddress を false にします.
-----------------------------------------------------------------------
...
<filter>
<filter-name>IdPSessionFilter</filter-name>
<filter-class>edu.internet2.middleware.shibboleth.idp.session.IdPSessionFilter</filter-class>
<init-param>
<param-name>ensureConsistentClientAddress</param-name>
<param-value>false</param-value>
</init-param>
</filter>
...
-----------------------------------------------------------------------
この後 idp.war を rebuild で OK です.
# 素直に idp.war を置き換えてしまうとカスタマイズしていた login.jsp が
消えてしまうので,要バックアップです.
Kaz IGARASHI +++++++++++++++++++++++++++++
Mail to ------------------ xxx@xxxxxxxxxxx
URL -------------- http://www.seijo.ac.jp/
+++++++++++++++++++++++++ MNC, Seijo Univ.