[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[upki-fed:00527] Re: IdPが起動しません(テストフェデレーション)
- Subject: [upki-fed:00527] Re: IdPが起動しません(テストフェデレーション)
- Date: Fri, 02 Nov 2012 16:02:27 +0900
- From: Akazawa TS <xxxxxxxx@xxxxxxxxxxxxxx>
upki-fed ML の皆様、中山様、赤木様
お世話になります。
都医学研の赤沢です。
進展がありました。中山様と赤木様のご指摘両方を適用することで
/opt/shibboleth-idp/logs/idp-process.log から
[LDAP: error code 49 - Invalid Credentials] が発生しないように
なりました。誠にありがとうございます。
ただ、まだ別の問題が発生しているため、以下に合わせてご報告
させていただきます。
> 匿名BINDができないLDAPサーバの場合は
> login.configにbindDnとbindCredentialの設定も必要かも知れません。
ご指摘に基づき、/opt/shibboleth-idp/conf/login.config 内を見て
みると、bindDnとbindCredentialは設定されていませんでした。
login.config 内に
See: https://wiki.shibboleth.net/confluence/display/SHIB2/IdPAuthUserPass
と書いてあったので、同サイトを見てみると、
「LDAP Login Module Specification」の見出しのところにわかり
やすい解説も載っていました。
そして以下のように、bindDnとbindCredentialの値を設定しました。
また上記サイトには、IdPは Case-preserving とあったので、bindDn
として、当方のLDAPサーバに記載どおりの case で記述しました。
(ou=apps とせずに ou=Apps としました)
-----------------/opt/shibboleth-idp/conf/login.config -----------
ShibUserPassAuth {
edu.vt.middleware.ldap.jaas.LdapLoginModule required
ldapUrl="ldap://localhost"
baseDn="dc=igakuken,dc=or,dc=jp"
ssl="false"
userFilter="uid={0}"
subtreeSearch="true"
bindDn="cn=test,ou=Apps,dc=igakuken,dc=or,dc=jp"
bindCredential="********"
;
};
------------------------------------------------------------------
>> ldapURL="ldap://localhost" baseDN="dc=igakuken,dc=or,dc=jp"
>> principal="cn=test,ou=apps"
>
> principal を "cn=test,ou=apps,dc=igakuken,dc=or,dc=jp"
> に変更して試して頂けませんでしょうか?
以下のように変更してみました。ou=apps としていた箇所も念のため
ou=Apps としました。
----------/opt/shibboleth-idp/conf/attribute-resolver.xml-----------
<!-- Example LDAP Connector -->
<!-- -->
<resolver:DataConnector id="myLDAP" xsi:type="LDAPDirectory"
xmlns="urn:mace:shibboleth:2.0:resolver:dc"
ldapURL="ldap://localhost" baseDN="dc=igakuken,dc=or,dc=jp"
principal="cn=test,ou=Apps,dc=igakuken,dc=or,dc=jp"
principalCredential="********">
<FilterTemplate>
<![CDATA[
(uid=$requestContext.principalName)
]]>
</FilterTemplate>
</resolver:DataConnector>
<!-- -->
------------------------------------------------------------------
そして以下のように tomcat6 を再起動させてみると、start時の
[LDAP: error code 49 - Invalid Credentials]は発生しなくなりました。
#service tomcat6 stop
#service httpd restart
#service tomcat6 start
しかしながら、次の Warning と Error が発生していました。
--------- /opt/shibboleth-idp/logs/idp-process.log (抜粋)-----------
15:30:23.596 - WARN
[edu.internet2.middleware.shibboleth.common.config
.SpringConfigurationUtils:272]
- Numerical duration form is deprecated.
The property 'maxValidityInterval' on metadata filter of type
{urn:mace:shibboleth:2.0:metadata}RequiredValidUntil should use
the duration notation: P15DT0H0M0.000S
15:30:29.445 - ERROR
[org.opensaml.saml2.metadata.provider.HTTPMetadataProvider:273]
- Error retrieving metadata from https://metadata.gakunin.nii.ac.jp
/gakunin-test-metadata.xml
org.apache.commons.httpclient.ConnectTimeoutException:
The host did not accept the connection within timeout of 5000 ms
15:30:29.456 - ERROR
[org.opensaml.xml.parse.StaticBasicParserPool:50]
- XML Parsing Error org.xml.sax.SAXParseException:
Premature end of file.
15:30:29.462 - ERROR
[org.opensaml.saml2.metadata.provider
.AbstractReloadingMetadataProvider:307]
- Unable to unmarshall metadata
org.opensaml.xml.io.UnmarshallingException:
org.opensaml.xml.parse.XMLParserException: Invalid XML
15:30:29.472 - ERROR
[org.opensaml.saml2.metadata.provider.AbstractMetadataProvider:411]
- Metadata provider failed to properly initializing, halting
org.opensaml.saml2.metadata.provider.MetadataProviderException:
org.opensaml.saml2.metadata.provider.MetadataProviderException:
Unable to unmarshall metadata
15:30:29.474 - ERROR
[edu.internet2.middleware.shibboleth.common.config.BaseService:188]
- Configuration was not loaded for
shibboleth.RelyingPartyConfigurationManager
service, error creating components.
The root cause of this error was: org.xml.sax.SAXParseException:
Premature end of file.
-----------------------------------------------------------------------
IdPサーバの時刻は、当方の NTPサーバ と同期させており、当方の
NTPサーバは SINET4 のNTPサーバと同期させているはずなのですが、
この後、確認してみます。
--
公益財団法人東京都医学総合研究所 情報システム室
赤沢年一