[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[upki-fed:00414] Shibboleth IdP 2.3.4の問題と2.3.5リリース



西村です。

Shibboleth IdP 2.3.4にパッケージングの問題が発見されたため、2.3.5がリリースされています。
実際、2.3.4リリース後にいくつかの問題が報告されています。(最後に貼付)
2.3.4をお使いの方は2.3.5にアップデートすることをお勧めします。
アップデート手順は以下をご参照ください。
https://www.gakunin.jp/ml-archives/upki-fed/msg00334.html

別件ながら、2.3.4以降ではshibboleth-jce-1.1.0.jarが同梱されなくなっています。
学認Webサイトの技術ガイドでは以下に記述があります。
https://www.gakunin.jp/docs/fed/technical/idp/install/idpInst5
および https://www.gakunin.jp/docs/fed/technical/idp/customize/certpj-metadata
そのまま実行しようとするとshibboleth-jce-1.1.0.jarが存在しないと
いうエラーになりますので、以下のどちらかで取得して$JAVA_HOME/jre/lib/ext/に
コピーしてください。
1. 2.3.3およびそれ以前のディレクトリから取得する
2. 以下のURLから取得する(*)
http://shibboleth.internet2.edu/downloads/maven2/edu/internet2/middleware/shibboleth-jce/1.1.0/shibboleth-jce-1.1.0.jar

学認Webサイトの記述は後日修正いたします。

(*) ダウンロードしたファイルが真正なものであることを以下のコマ
ンドの実行結果が一致することで確認してください。一般的な方法については*2参照
$ sha1sum shibboleth-jce-1.1.0.jar
c5cb6ded814afc5495b2fc5f8c23c310b231e8f4  shibboleth-jce-1.1.0.jar

(*2) ダウンロードしたファイルが真正なものであることの確認方法(一般化)
※ この方法はIdPのパッケージファイル自体の検証にも使えます。ダウンロードしたファイルが
  万一悪意により改竄されたものであった場合はシステムに重大な問題を抱えることになります
  ので、ご確認ください。
http://shibboleth.internet2.edu/downloads/maven2/edu/internet2/middleware/shibboleth-jce/1.1.0/
を見ていただくと、shibboleth-jce-1.1.0.jar.ascという署名ファイルがあります。
これを使って署名を検証する(ファイルが真正なものであることを確認する)方法を以下に示します。
1. (初回のみ)Shibboleth開発者のPGP鍵の設定
1.1 検証のためのPGP鍵は以下のURLにあります。
http://shibboleth.internet2.edu/downloads/KEYS
# このKEYSは古いもので最新のものはSPの構築ガイドにある通りです。最新のものには
# 古い鍵が含まれないため古いバイナリの検証にはこれを使います。
リンク先のテキストには
-----BEGIN PGP PUBLIC KEY BLOCK-----
(中略)
-----END PGP PUBLIC KEY BLOCK-----
となっているところが4カ所ありますが、そのうちの2番目の部分(直前に"Chad La Joie"
の文字列がある所です)を(-----から始まる行も含めて)コピーして、以下のコマンド等
で新たに作成したKEYSというファイルにペーストしてください。
$ vi KEYS
1.2 $ gpg --quiet --import KEYS ; gpg --fingerprint 0x146B2514
を実行し、以下のフィンガープリント(指紋)と一致することを確認してください。
フィンガープリント:
pub   1024D/146B2514 2008-03-20
      Key fingerprint = BEAE 84EE 28F3 2507 02B1  6F07 23DE A65A 146B 2514
uid                  Chad La Joie <xxxxxxxxxxx@xxxxxxxxx>

2. shibboleth-jce-1.1.0.jar.ascを同じディレクトリにダウンロードします。
$ wget http://shibboleth.internet2.edu/downloads/maven2/edu/internet2/middleware/shibboleth-jce/1.1.0/shibboleth-jce-1.1.0.jar.asc

3. $ gpg shibboleth-jce-1.1.0.jar.asc
を実行します。最初の2行が
gpg: Signature made Fri 21 Aug 2009 04:47:36 PM JST using RSA key ID A1EAE3E8
gpg: Good signature from "Chad La Joie <xxxxxxxxxxx@xxxxxxxxx>"
のように表示されれば成功です。


件名: Issues releasing Static Attributes with IdP 2.3.4
https://groups.google.com/group/shibboleth-users/browse_thread/thread/00037f8438bed134/7a299d83f1260662
件名: spring-web-2.5.6.jar in IdP 2.3.4
https://groups.google.com/group/shibboleth-users/browse_thread/thread/92384b1943f66304
件名: Fwd: Upgrade to 2.3.4, Attribute Resolver problem
https://groups.google.com/group/shibboleth-users/browse_thread/thread/6eca2fc014782ce1
(ただしこれらの問題が2.3.5で本当に解決したかどうかは不明です)

参考: IdP 2.3.5および2.3.4の変更点詳細
Changes in Release 2.3.5
=============================================
[SIDP-529] - NPE with isPassive
[SIDP-530] - Spring mistakenly updated to v3 in IdP 2.3.4 build

Changes in Release 2.3.4
=============================================
[SIDP-508] - NullPointerException in AuthenticationEngine
[SIDP-510] - Error with stack trace when passive cannot be honored
[SIDP-511] - ExternalAuthnSystemLoginHandler does not support forceAuthn/isPassive
[SIDP-512] - idpui taglib should iterate over all browser aproved languages
[SIDP-513] - idpui taglib could look for more languages matches
[SIDP-514] - Alt text for IdP Logos is not esapiEncoder.encodeForHTMLAttribute
[SIDP-516] - Example login.jsp / Usage of label tag
[SIDP-519] - Switching between multiple login handlers cause first context to be sticky in Shib-Authentication-Method
[SIDP-520] - Ipad/iOS devices will auto capitalize text entered into the IdP login screen, which can cause errors. Adding an HTML element will prevent that
[SIDP-521] - Allow specificying file location of renewed key and certificate
[SIDP-522] - supplied examples shouldn't promote federation URIs as relying parties
[SIDP-523] - Add access to inbound AuthnRequest

-- 
西村健
国立情報学研究所 TEL:03-4212-2720