[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[upki-fed:00473] Re: メタデータ記載の証明書更新手順(key rollover) IdP編
- Subject: [upki-fed:00473] Re: メタデータ記載の証明書更新手順(key rollover) IdP編
- Date: Wed, 20 Jun 2012 23:32:14 +0900
- From: TSUCHIYA Masatoshi <xxxxxxxx@xxxxxx>
土屋です.
>> On Thu, 24 May 2012 14:35:50 +0900
>> xxxxxxx@xxxxxxxxx (Takeshi NISHIMURA) said as follows:
>> ところで,以下の※2の部分の手順なのですが,
>> http://www.gakunin.jp/docs/fed/technical/idp/customize/relying-party の記
>> 述にしたがって書くと,/opt/shibboleth-idp/metadata/some-metadata.xml の更
>> 新も必要なのではないかと思うのですが,いかがでしょうか?
>some-metadata.xmlはバッキングファイル、つまりダウンロード時のバック
>アップで、メタデータが正常に取得できている状況では参照されることは
>ありません。
>また、※2の時点では更新されたメタデータ(証明書2つ)がすでにダウン
>ロードされているはずですので、更新の必要はないと思われるのですが、
>いかがでしょうか?
すみません,間違えました.
http://www.gakunin.jp/docs/fed/technical/idp/customize/relying-party
の記述では,コメントアウトされている部分なのですが,
<!-- ←自動ダウンロードのメタデータを参照する為、コメントアウト
<metadata:MetadataProvider id="IdPMD" xsi:type="metadata:ResourceBackedMetadataProvider">
<metadata:MetadataResource xsi:type="resource:FilesystemResource" file="/opt/shibboleth-idp/metadata/idp-metadata.xml"/>
</metadata:MetadataProvider>
-->
当方では,この部分をコメントアウトしていません.というのは,学認に参加す
る前に,ローカルフェデレーションの IdP として動作を始めたからです.
そのため,
/opt/shibboleth-idp/metadata/idp-metadata.xml
の内容を修正する必要があるはずだと思ったという話です.
しかし,よくよく考えてみると,
<metadata:MetadataProvider id="IdPMD" xsi:type="metadata:ResourceBackedMetadataProvider">
<metadata:MetadataResource xsi:type="resource:FilesystemResource" file="/opt/shibboleth-idp/metadata/idp-metadata.xml"/>
</metadata:MetadataProvider>
<metadata:MetadataProvider id="URLMD" xsi:type="metadata:FileBackedHTTPMetadataProvider"
metadataURL="https://metadata.gakunin.nii.ac.jp/gakunin-metadata.xml"
backingFile="/opt/shibboleth-idp/metadata/some-metadata.xml">
<metadata:MetadataFilter xsi:type="metadata:ChainingFilter">
<metadata:MetadataFilter xsi:type="metadata:RequiredValidUntil"
maxValidityInterval="1296000" />
<metadata:MetadataFilter xsi:type="metadata:SignatureValidation"
trustEngineRef="shibboleth.MetadataTrustEngine"
requireSignedMetadata="true" />
<metadata:MetadataFilter xsi:type="metadata:EntityRoleWhiteList">
<metadata:RetainedRole>samlmd:SPSSODescriptor</metadata:RetainedRole>
</metadata:MetadataFilter>
</metadata:MetadataFilter>
</metadata:MetadataProvider>
のように,ローカルファイルのメタデータと学認のメタデータを両方読み込む設
定にしていると,同じ公開鍵を持つ EntityDescriptor が2つ存在してしまうはず
です.今のところ本学ではトラブルは出ていないのですが,これっていいのかな
あ‥‥.
--
土屋 雅稔 ( TSUCHIYA Masatoshi )