[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[upki-fed:00342] Re: Session IP Address check on IdP



西村先生

お世話になっております.成城大学五十嵐です.

> SPはデフォルトでは認証されたクライアントIPアドレスを保存していて、IPアド
> レスが変わると不正としてセッションを破棄してしまいます。DHCPでころころIP
> アドレスが変わる場合や、FWを経由していて割り当てられるIPアドレスがころころ
> 変わる場合には、正当なアクセスが不正なものとみなされる場合があります。
本学でも今取り組んでいる案件にて,同じ問題で悩んでおりました.

> 上記のようにcookie盗用による不正利用を防ぐための機能なのですが、
> この機能を無効にするには、同じくSessionsに書く属性でconsistentAddress="false
> のように書けばよいです。
> https://wiki.shibboleth.net/confluence/display/SHIB2/NativeSPSessions
とりあえず SP 単体であればこれで回避できたのですが,その後別マシンで稼働し
ている SP へ接続すると再度 IdP の認証画面が表示されてしまうため,IdP 側で
IP Address チェックをオフにし,セッションキャッシュを維持することで解消でき
ました.


具体的には,
src/shibboleth-identityprovider-2.2.1/src/main/webapp/WEB-INF/web.xml で
ensureConsistentClientAddress を false にします.

-----------------------------------------------------------------------
...
      <filter>
         <filter-name>IdPSessionFilter</filter-name>
         <filter-class>edu.internet2.middleware.shibboleth.idp.session.IdPSessionFilter</filter-class>
         <init-param>
                 <param-name>ensureConsistentClientAddress</param-name>
                 <param-value>false</param-value>
         </init-param>
     </filter>
...
-----------------------------------------------------------------------

この後 idp.war を rebuild で OK です.

# 素直に idp.war を置き換えてしまうとカスタマイズしていた login.jsp が
 消えてしまうので,要バックアップです.
 

Kaz IGARASHI +++++++++++++++++++++++++++++
Mail to ------------------ xxx@xxxxxxxxxxx
URL -------------- http://www.seijo.ac.jp/
+++++++++++++++++++++++++ MNC, Seijo Univ.