[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[upki-fed:00527] Re: IdPが起動しません(テストフェデレーション)



upki-fed ML の皆様、中山様、赤木様

 お世話になります。
 都医学研の赤沢です。

 進展がありました。中山様と赤木様のご指摘両方を適用することで
 /opt/shibboleth-idp/logs/idp-process.log から
 [LDAP: error code 49 - Invalid Credentials] が発生しないように
 なりました。誠にありがとうございます。

 ただ、まだ別の問題が発生しているため、以下に合わせてご報告
 させていただきます。

> 匿名BINDができないLDAPサーバの場合は
> login.configにbindDnとbindCredentialの設定も必要かも知れません。

  ご指摘に基づき、/opt/shibboleth-idp/conf/login.config 内を見て
 みると、bindDnとbindCredentialは設定されていませんでした。
 login.config 内に
   See: https://wiki.shibboleth.net/confluence/display/SHIB2/IdPAuthUserPass
 と書いてあったので、同サイトを見てみると、
 「LDAP Login Module Specification」の見出しのところにわかり
 やすい解説も載っていました。

 そして以下のように、bindDnとbindCredentialの値を設定しました。
 また上記サイトには、IdPは Case-preserving とあったので、bindDn
 として、当方のLDAPサーバに記載どおりの case で記述しました。
 (ou=apps とせずに ou=Apps としました)

-----------------/opt/shibboleth-idp/conf/login.config -----------
ShibUserPassAuth {
   edu.vt.middleware.ldap.jaas.LdapLoginModule required
      ldapUrl="ldap://localhost"
      baseDn="dc=igakuken,dc=or,dc=jp"
      ssl="false"
      userFilter="uid={0}"
      subtreeSearch="true"
      bindDn="cn=test,ou=Apps,dc=igakuken,dc=or,dc=jp"
      bindCredential="********"
      ;
};
------------------------------------------------------------------

>> ldapURL="ldap://localhost" baseDN="dc=igakuken,dc=or,dc=jp"
>> principal="cn=test,ou=apps"
> 
> principal を  "cn=test,ou=apps,dc=igakuken,dc=or,dc=jp"
> に変更して試して頂けませんでしょうか?

 以下のように変更してみました。ou=apps としていた箇所も念のため
 ou=Apps としました。

----------/opt/shibboleth-idp/conf/attribute-resolver.xml-----------
    <!-- Example LDAP Connector -->
    <!-- -->
    <resolver:DataConnector id="myLDAP" xsi:type="LDAPDirectory"
xmlns="urn:mace:shibboleth:2.0:resolver:dc"
        ldapURL="ldap://localhost" baseDN="dc=igakuken,dc=or,dc=jp"
principal="cn=test,ou=Apps,dc=igakuken,dc=or,dc=jp"
        principalCredential="********">
        <FilterTemplate>
            <![CDATA[
                (uid=$requestContext.principalName)
            ]]>
        </FilterTemplate>
    </resolver:DataConnector>
   <!-- -->
------------------------------------------------------------------

 そして以下のように tomcat6 を再起動させてみると、start時の
 [LDAP: error code 49 - Invalid Credentials]は発生しなくなりました。

#service tomcat6 stop
#service httpd restart
#service tomcat6 start

 しかしながら、次の Warning と Error が発生していました。

--------- /opt/shibboleth-idp/logs/idp-process.log (抜粋)-----------
15:30:23.596 - WARN
 [edu.internet2.middleware.shibboleth.common.config
 .SpringConfigurationUtils:272]
 - Numerical duration form is deprecated.
 The property 'maxValidityInterval' on metadata filter of type
 {urn:mace:shibboleth:2.0:metadata}RequiredValidUntil should use
 the duration notation: P15DT0H0M0.000S

15:30:29.445 - ERROR
 [org.opensaml.saml2.metadata.provider.HTTPMetadataProvider:273]
 - Error retrieving metadata from https://metadata.gakunin.nii.ac.jp
 /gakunin-test-metadata.xml
 org.apache.commons.httpclient.ConnectTimeoutException:
 The host did not accept the connection within timeout of 5000 ms

15:30:29.456 - ERROR
 [org.opensaml.xml.parse.StaticBasicParserPool:50]
 - XML Parsing Error org.xml.sax.SAXParseException:
 Premature end of file.

15:30:29.462 - ERROR
 [org.opensaml.saml2.metadata.provider
 .AbstractReloadingMetadataProvider:307]
 - Unable to unmarshall metadata
 org.opensaml.xml.io.UnmarshallingException:
 org.opensaml.xml.parse.XMLParserException: Invalid XML

15:30:29.472 - ERROR
 [org.opensaml.saml2.metadata.provider.AbstractMetadataProvider:411]
 - Metadata provider failed to properly initializing, halting
 org.opensaml.saml2.metadata.provider.MetadataProviderException:
 org.opensaml.saml2.metadata.provider.MetadataProviderException:
 Unable to unmarshall metadata

15:30:29.474 - ERROR
 [edu.internet2.middleware.shibboleth.common.config.BaseService:188]
 - Configuration was not loaded for
 shibboleth.RelyingPartyConfigurationManager
 service, error creating components.
 The root cause of this error was: org.xml.sax.SAXParseException:
 Premature end of file.
-----------------------------------------------------------------------

 IdPサーバの時刻は、当方の NTPサーバ と同期させており、当方の
 NTPサーバは SINET4 のNTPサーバと同期させているはずなのですが、
 この後、確認してみます。

--
公益財団法人東京都医学総合研究所 情報システム室
赤沢年一