[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[upki-fed:00344] Re: Session IP Address check on IdP
- Subject: [upki-fed:00344] Re: Session IP Address check on IdP
- Date: Wed, 01 Jun 2011 18:33:08 +0900
- From: Takeshi NISHIMURA <xxxxxxx@xxxxxxxxx>
西村です。
なるほど、情報ありがとうございます。
まとめると、利用者のIPアドレスを見るかどうかの設定は以下の3種類
があるということですね。
IdP設定: ensureConsistentClientAddress
SP設定: checkAddress, consistentAddress
なお、2.2.0およびそれ以前でensureConsistentClientAddressを
falseにするとTransientIDが他人と重複してしまうという脆弱性
があるようですのでご注意ください。 > みなさま
http://shibboleth.internet2.edu/secadv/secadv_20110113.txt
(2011/05/31 13:25), Kaz IGARASHI wrote:
> 西村先生
>
> お世話になっております.成城大学五十嵐です.
>
>> SPはデフォルトでは認証されたクライアントIPアドレスを保存していて、IPアド
>> レスが変わると不正としてセッションを破棄してしまいます。DHCPでころころIP
>> アドレスが変わる場合や、FWを経由していて割り当てられるIPアドレスがころころ
>> 変わる場合には、正当なアクセスが不正なものとみなされる場合があります。
> 本学でも今取り組んでいる案件にて,同じ問題で悩んでおりました.
>
>> 上記のようにcookie盗用による不正利用を防ぐための機能なのですが、
>> この機能を無効にするには、同じくSessionsに書く属性でconsistentAddress="false
>> のように書けばよいです。
>> https://wiki.shibboleth.net/confluence/display/SHIB2/NativeSPSessions
> とりあえず SP 単体であればこれで回避できたのですが,その後別マシンで稼働し
> ている SP へ接続すると再度 IdP の認証画面が表示されてしまうため,IdP 側で
> IP Address チェックをオフにし,セッションキャッシュを維持することで解消でき
> ました.
>
>
> 具体的には,
> src/shibboleth-identityprovider-2.2.1/src/main/webapp/WEB-INF/web.xml で
> ensureConsistentClientAddress を false にします.
>
> -----------------------------------------------------------------------
> ...
> <filter>
> <filter-name>IdPSessionFilter</filter-name>
> <filter-class>edu.internet2.middleware.shibboleth.idp.session.IdPSessionFilter</filter-class>
> <init-param>
> <param-name>ensureConsistentClientAddress</param-name>
> <param-value>false</param-value>
> </init-param>
> </filter>
> ...
> -----------------------------------------------------------------------
>
> この後 idp.war を rebuild で OK です.
>
> # 素直に idp.war を置き換えてしまうとカスタマイズしていた login.jsp が
> 消えてしまうので,要バックアップです.
>
>
> Kaz IGARASHI +++++++++++++++++++++++++++++
> Mail to ------------------ xxx@xxxxxxxxxxx
> URL -------------- http://www.seijo.ac.jp/
> +++++++++++++++++++++++++ MNC, Seijo Univ.
--
西村健
国立情報学研究所 TEL:03-4212-2720