[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[upki-fed:00514] Re: Shibboleth IdP 2.3.4の問題と2.3.5リリース
- Subject: [upki-fed:00514] Re: Shibboleth IdP 2.3.4の問題と2.3.5リリース
- Date: Thu, 18 Oct 2012 13:51:57 +0900
- From: Akazawa TS <xxxxxxxx@xxxxxxxxxxxxxx>
西村様
都医学研の赤沢です。
早速にお知らせいただきありがとうございます。
教えていただいたURLから shibboleth-jce-1.1.0.jar を入手し
作業を進めさせていただきました。
「httpdとTomcatを再起動します」のところで、
# service tomcat6 stop
を実行したときに、以下のようなログが catalina.out に出力
されました。技術ガイドに記載のものとは少し内容が異なるので、
もう既知のこととは思いますがご参考までにお知らせ致します。
----------------------------------------------------------
Oct 18, 2012 1:37:33 PM org.apache.catalina.core.StandardService stop
INFO: Stopping service Catalina
Oct 18, 2012 1:37:33 PM org.apache.catalina.loader.WebappClassLoader
clearReferencesThreads
SEVERE: The web application [/idp] appears to have started a thread
named [Timer-1] but has failed to stop it. This is very likely to create
a memory leak.
----------------------------------------------------------
> 赤沢様
> NIIの西村です。よろしくお願いします。
>
> こちらは他の方からも指摘があったところですが対応できておらず
> 申し訳ございません。
>
> 最近サイト構成が変更になっており、現在は以下から入手可能です。
> https://build.shibboleth.net/nexus/content/repositories/releases/edu/internet2/middleware/shibboleth-jce/1.1.0/shibboleth-jce-1.1.0.jar
>
> どうぞよろしくお願いいたします。
>
> PS
> 実は、この辺りは同じ作業の記述が2カ所にあったり最近はshibboleth-jce
> でなくtomcat6-dta-ssl-1.0.0.jarを使う方法が本家では推奨されるように
> なっていたりと修正すべき箇所が多いので、あとでまとめてお知らせします。
> 現時点であります情報から抜粋しますと、以下の手順でshibboleth-jceから
> tomcat6-dta-sslへ移行できます。
>
> 1. tomcat6-dta-ssl-1.0.0.jarをダウンロードする。
> ダウンロードURL: https://build.shibboleth.net/nexus/content/repositories/releases/edu/internet2/middleware/security/tomcat6/tomcat6-dta-ssl/1.0.0/tomcat6-dta-ssl-1.0.0.jar
> PGP署名(https://build.shibboleth.net/nexus/content/repositories/releases/edu/internet2/middleware/security/tomcat6/tomcat6-dta-ssl/1.0.0/tomcat6-dta-ssl-1.0.0.jar.asc)
> もしくは以下のSHA-256ハッシュ値、もしくはダウンロードが正しいサイトから安全な経路で行なわれたことを確認すること。
>
> $ sha256sum tomcat6-dta-ssl-1.0.0.jar
> 20d82d71cf9fc86197dd1c4c5dae3899efbf00e0706bbfe4d26618b56788d219 tomcat6-dta-ssl-1.0.0.jar
>
> 2. ダウンロードしたtomcat6-dta-ssl-1.0.0.jarを $CATALINA_HOME/lib/ に置く。
> 3. $CATALINA_HOME/conf/server.xml の以下の部分を、
>
> <Connector port="8443"
> maxHttpHeaderSize="8192"
> maxSpareThreads="75"
> scheme="https"
> secure="true"
> clientAuth="want"
> SSLEnabled="true"
> sslProtocol="TLS"
> keystoreFile="/opt/shibboleth-idp/credentials/keystore.jks"
> keystorePass="キーストアパスワード"
> truststoreFile="/opt/shibboleth-idp/credentials/keystore.jks"
> truststorePass="キーストアパスワード"
> truststoreAlgorithm="DelegateToApplication"/>
>
> 以下のように置き換える。
>
> <Connector port="8443"
> protocol="org.apache.coyote.http11.Http11Protocol"
> SSLImplementation="edu.internet2.middleware.security.tomcat6.DelegateToApplicationJSSEImplementation"
> scheme="https"
> SSLEnabled="true"
> clientAuth="want"
> keystoreFile="/opt/shibboleth-idp/credentials/keystore.jks"
> keystorePass="キーストアパスワード" />
>
> 4. $JAVA_HOME/jre/lib/security/java.security の以下の記述を削除する。
>
> security.provider.9=edu.internet2.middleware.shibboleth.DelegateToApplicationProvider
>
> 5. $JAVA_HOME/jre/lib/ext/shibboleth-jce-1.1.0.jar を削除する。
> 6. Tomcatを再起動する。
>
>
> (2012/10/18 11:50), Akazawa TS wrote:
>> はじめまして。
>> 都医学研の赤沢と申します。
>>
>> 研究所の統合と移転がありバタバタしているうちに年月が経って
>> しまいましたが、ようやくテストフェデレーション参加に向けて、
>> テスト用IdPの構築をすすめているところです。
>>
>> 早速教えていただきたいのですが、shibboleth-jce-1.1.0.jar は
>> どこから入手するとよろしいでしょうか。
>> 当方、shibboleth-identityprovider-2.3.8-bin.zip にて
>> shibbolethをインストールしたところです。
>>
>> 以下は、経緯説明です。
>>
>> 学認サイトの技術ガイド(*1)を読み進めながら作業をしています。
>> (*1)https://www.gakunin.jp/docs/fed/technical/idp/install/idpInst5
>>
>> 「shibbolethのインストール」の「3. Javaの設定」の項に
>> 「shibboleth-jce-1.1.0.jar は shibboleth 2.3.4 以降に
>> 同梱されていない」という趣旨の記述があります。そのすぐ隣に
>> 「情報交換ML:00414」へのリンクがありますので、たどってみますと、
>> 以下のURLから取得できるとの記載があります。
>> http://shibboleth.internet2.edu/downloads/maven2/edu/internet2
>> /middleware/shibboleth-jce/1.1.0/shibboleth-jce-1.1.0.jar
>>
>> しかし、残念ながらこのリンクは切れており、
>> http://shibboleth.net/products/download.html
>> あたりからリンクをたどってみましたが、見つけられずにいます。
>>
>> shibboleth 2.3.3 を入手・解凍すれば入手できるようですが、
>> できればどこかから直で入手できれば有り難いと思っています。
>> http://shibboleth.net/downloads/identity-provider/2.3.3/
>>
>> 新規参入の方々はどのようにされているのかというのも少し気になりました。
>> いちいちMLで聞くより 2.3.3 のものをサクリと使えと怒られそうですが
>> どうかよろしくご指導お願い致します。
>