[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[upki-fed:00410] Shibboleth SPを利用されている方へ、2.5リリースまでに設定変更のお願い



みなさま
西村です。

来年初めにリリース予定のShibboleth SP 2.5ですが、rpmパッケージで導入されている方は
shibdという非rootユーザが新たに作られその権限で起動するようになるため、
学認の技術ガイドに沿って設定している場合に2点問題が生じます。
それぞれ今できる回避策を示しておりますので、リリース日までに対応していただきます
よう、お願いいたします。


まず、server.keyのパーミッションの問題です。rootにしか読み取り権限を与えていない
場合、2.5をインストールした時点で自動再起動がかかるため、shibdがエラーで
停止してしまいます。
回避方法はいくつかあると思いますが、下記のようにsp-key.pemをシンボリックリンク
にしておくと、2.5インストール時に自動的にserver.keyのownerが修正されます。
$ sudo rm /etc/shibboleth/sp-key.pem && sudo ln -s cert/server.key /etc/shibboleth/sp-key.pem

2点目の問題は、メタデータのバックアップファイルを置くディレクトリのパーミッションです。
学認の技術ガイドに従えば
/etc/shibboleth/metadata/
にバックアップを置くように設定されますが、このディレクトリはshibdユーザの権限では
ファイルが置けません。この場合以下のようなエラーがログに記録されます。(リモートの
メタデータにアクセスできている限りにおいてSP停止などの実害はありません)
2011-10-17 18:30:07 DEBUG OpenSAML.MetadataProvider.XML [GakuNinMetadata]: committing backup file to permanent location (/etc/shibboleth/metadata/federation-metadata.xml)
2011-10-17 18:30:07 CRIT OpenSAML.MetadataProvider.XML [GakuNinMetadata]: unable to rename metadata backup file

回避方法は、shibboleth2.xmlの
> backingFilePath="/etc/shibboleth/metadata/federation-metadata.xml"
と、絶対パスで指定している部分を
> backingFilePath="federation-metadata.xml"
のように相対パスに変更します。このように変更しておけば、適切にownerが設定される
/var/run/shibboleth/ディレクトリを使うようになります。


現状の技術ガイドでは上記2点の問題があるため、早急に修正いたします。

-- 
西村健
国立情報学研究所 TEL:03-4212-2720