[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[upki-fed:00402] Re: IdPとのSP接続確認のエラーについて



OSSTech 相本です。

Apacheの設定がそれではhttpになってしまいますね。
ServerNameのポート番号に443をセットするのではなく、スキーマを書いてあげ
ます。

ServerName https://example.co.jp:443
UseNanonicalName On

# ServerNameをIPアドレスで書かれていますけど、443のポートを書くべきかを
含めて
# Apacheの「ServerName」と「UseCanonicalName」ディレクティブの意味を
# 理解しておいた方が良いかなと思います。

以上、よろしくお願い致します。


(2011年10月25日 17:47), 松本 徹也 wrote:
> 相本様
> 
> 松本です。
> 
> アドバイスありがとうございます。
> まだ、解決に至っておりませんが、
> 頂いたアドバイスを参考に、2つ、動作を確認してみました。
> 
> 詳細は、以下に記載しますが、リダイレクトされる際のエンドポイントの
> 情報を、強制的に「&return=https」にする方法がないかを
> 引き続き調査したいと思っています。
> 
> 見当違いな点など、ご指摘、アドバイスなどいただけると幸いです。
> 
> ■1.ServerNameとUseCanonicalNameの設定による動作確認
> 
>  ○実施した設定 
>   ServerName 218.44.136.237:443
>   UseCanonicalName On
> 
>  ○結果
>   リダイレクトされる際のURLに下記の変化がありました。
>   2つの違いは、「&return=」のパラメータの部分です。
>   【設定前】 「&return=http%3A%2F%2F218.44.136.237」
>   【設定後】 「&return=http%3A%2F%2F218.44.136.237%3A443」
>   ※ServerName で設定した値が反映されているようではありますが、
>   いずれの場合も、「&return=」直後の値は、「http」となってしまっていま
> す。
> 
> 
>   【設定前(URL全体)】
>   
> https://test-ds.gakunin.nii.ac.jp/WAYF?entityID=https%3A%2F%2F218.44.136.237%2Fshibboleth-sp&return=http%3A%2F%2F218.44.136.237%2FShibboleth.sso%2FDS%3FSAMLDS%3D1%26target%3Dss%253Amem%253Af306c79a831e7cf364a515f6edcfb3e98ff49cd0
> 
> 
>   【設定後(URL全体)】
>   
> https://test-ds.gakunin.nii.ac.jp/WAYF?entityID=https%3A%2F%2F218.44.136.237%2Fshibboleth-sp&return=http%3A%2F%2F218.44.136.237%3A443%2FShibboleth.sso%2FDS%3FSAMLDS%3D1%26target%3Dss%253Amem%253A8fff095cba5021b03a7af111a5d0f9598b89b32d
> 
> 
> 
> ■2.ロードバランサを介さずに、「http」と「https」でアクセスした場合の
>   上記のリダイレクトURLの内容を確認
> 
>   念のため、ロードバランサの内側から「https://・・・」でアクセスした場
> 合には、
>   リダイレクトが「&return=https」となることを確認しました。
> 
>   リクエストURL    ⇒  リダイレクト時のパラメータ(抜粋)
>   https://・・・/secure/ ⇒ 「&return=https」
>   http://・・・/secure/ ⇒ 「&return=http」
> 
> 
> 長々と書きましたが、リダイレクト時の「&return=」のパラメータとして
> 「https」が設定されるようにする方法があるかどうかというところが、調査の
> ポイントという認識に至っております。
> 
> 見当違いな点など、ご指摘、アドバイスなどいただけると幸いです。
> 
> 
> 
> ----- Original Message ----- From: "AIMOTO NORIHITO" <xxxxxx@xxxxxxxxxxxxx>
> To: <xxxxxxxx@xxxxxxxxx>
> Cc: "松本 徹也" <xxxxxxxxxx@xxxxxxxxxxxxxxx>
> Sent: Monday, October 24, 2011 3:10 PM
> Subject: Re: [upki-fed:00398] Re: IdPとのSP接続確認のエラーについて
> 
> 
>> OSSTech 相本です。
>>
>> Webサーバーによりますが、ロードバランサにも対応しています。
>> 詳細はこちらにあります。
>> https://wiki.shibboleth.net/confluence/display/SHIB2/NativeSPNoSSL
>>
>> Apache2.2であれば、ServerNameディレクティブでスキーマを変更します。
>> # ロードバランサがホストヘッダをIPアドレスにしているようなので
>> # UseCanonicalNameの設定も必要そうですね。
>>
>> 以上、よろしくお願い致します。
>>
>>
>> (2011年10月24日 14:52), 松本 徹也 wrote:
>>> 山地様 相本様
>>>
>>> 松本です。
>>> ご確認、ご返信、ありがとうございます。
>>>
>>> 今更で恐縮ですが、質問させていただた内容に関係が
>>> ありそうでしたので、こちらの環境について、記載させていただきます。
>>>
>>> SPを導入したwebサーバの手前に、ロードバランサが存在します。
>>> そのロードバランサがsslアクセラレータの役割りをしております。
>>> そのため、
>>> ・クライアント←→ロードバランサ間は、httpsでの通信
>>> ・ロードバランサ←→webサーバ間は、httpでの通信
>>> となっています。
>>>
>>> クライアントやIdP、DS側から見ると、「https」ですが、
>>> webサーバ側では、「http」と認識しているため、
>>> 今回のような状況になっているのでは?との考えに思い至っています。
>>>  ※素人考えですが。
>>>
>>> 初歩的な質問ですみませんが、
>>> このような環境には対応していないなど、ございましたら
>>> ご教授下さい。
>>>
>>> 以上、よろしくお願いします。
>>>
>>>
>>> ----- Original Message ----- From: <xxxxxx@xxxxxxxxx>
>>> To: <xxxxxxxx@xxxxxxxxx>
>>> Sent: Monday, October 24, 2011 11:30 AM
>>> Subject: [upki-fed:00392] Re: IdPとのSP接続確認のエラーについて
>>>
>>>
>>>> ** On Mon, 24 Oct 2011 11:23:33 +0900
>>>> ** 松本 徹也 <xxxxxxxxxx@xxxxxxxxxxxxxxx> writes:
>>>>
>>>>> こちらでも「shibboleth2.xml」の設定間違いを疑って、検索してみました
>>>>> が、
>>>>> このファイル内に、「http://」という記載はどこにも存在していませんでし
>>>>> た。
>>>>
>>>> シボレスのログインを要求するSPのエンドポイントは、
>>>> httpでしょうか?httpsでしょうか?
>>>>
>>>> Best,
>>>> -- 
>>>> Kazu
>>>>
>>>
>>>
>>
>>
> 
>