[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[upki-fed:00528] Re: IdPが起動しません(テストフェデレーション)
- Subject: [upki-fed:00528] Re: IdPが起動しません(テストフェデレーション)
- Date: Fri, 2 Nov 2012 16:16:35 +0900
- From: 赤木邦雄 <xxxxx@xxxxxxxxxxxx>
東京都医学総合研究所 赤沢様
アットウェアの赤木です。
> - Error retrieving metadata from https://metadata.gakunin.nii.ac.jp
> /gakunin-test-metadata.xml
> org.apache.commons.httpclient.ConnectTimeoutException:
> The host did not accept the connection within timeout of 5000 ms
IdPのサーバから、メタデータを取得できるか下記コマンドを実行して確認してください。
wget https://metadata.gakunin.nii.ac.jp/gakunin-test-metadata.xml
> [org.opensaml.xml.parse.StaticBasicParserPool:50]
> - XML Parsing Error org.xml.sax.SAXParseException:
> Premature end of file.
設定ファイル、おそらくattribute-resolver.xmlがXMLとして間違っているのではないかと思われます。
宜しくお願い致します。
2012/11/2 Akazawa TS <xxxxxxxx@xxxxxxxxxxxxxx>:
> upki-fed ML の皆様、中山様、赤木様
>
> お世話になります。
> 都医学研の赤沢です。
>
> 進展がありました。中山様と赤木様のご指摘両方を適用することで
> /opt/shibboleth-idp/logs/idp-process.log から
> [LDAP: error code 49 - Invalid Credentials] が発生しないように
> なりました。誠にありがとうございます。
>
> ただ、まだ別の問題が発生しているため、以下に合わせてご報告
> させていただきます。
>
>> 匿名BINDができないLDAPサーバの場合は
>> login.configにbindDnとbindCredentialの設定も必要かも知れません。
>
> ご指摘に基づき、/opt/shibboleth-idp/conf/login.config 内を見て
> みると、bindDnとbindCredentialは設定されていませんでした。
> login.config 内に
> See: https://wiki.shibboleth.net/confluence/display/SHIB2/IdPAuthUserPass
> と書いてあったので、同サイトを見てみると、
> 「LDAP Login Module Specification」の見出しのところにわかり
> やすい解説も載っていました。
>
> そして以下のように、bindDnとbindCredentialの値を設定しました。
> また上記サイトには、IdPは Case-preserving とあったので、bindDn
> として、当方のLDAPサーバに記載どおりの case で記述しました。
> (ou=apps とせずに ou=Apps としました)
>
> -----------------/opt/shibboleth-idp/conf/login.config -----------
> ShibUserPassAuth {
> edu.vt.middleware.ldap.jaas.LdapLoginModule required
> ldapUrl="ldap://localhost"
> baseDn="dc=igakuken,dc=or,dc=jp"
> ssl="false"
> userFilter="uid={0}"
> subtreeSearch="true"
> bindDn="cn=test,ou=Apps,dc=igakuken,dc=or,dc=jp"
> bindCredential="********"
> ;
> };
> ------------------------------------------------------------------
>
>>> ldapURL="ldap://localhost" baseDN="dc=igakuken,dc=or,dc=jp"
>>> principal="cn=test,ou=apps"
>>
>> principal を "cn=test,ou=apps,dc=igakuken,dc=or,dc=jp"
>> に変更して試して頂けませんでしょうか?
>
> 以下のように変更してみました。ou=apps としていた箇所も念のため
> ou=Apps としました。
>
> ----------/opt/shibboleth-idp/conf/attribute-resolver.xml-----------
> <!-- Example LDAP Connector -->
> <!-- -->
> <resolver:DataConnector id="myLDAP" xsi:type="LDAPDirectory"
> xmlns="urn:mace:shibboleth:2.0:resolver:dc"
> ldapURL="ldap://localhost" baseDN="dc=igakuken,dc=or,dc=jp"
> principal="cn=test,ou=Apps,dc=igakuken,dc=or,dc=jp"
> principalCredential="********">
> <FilterTemplate>
> <![CDATA[
> (uid=$requestContext.principalName)
> ]]>
> </FilterTemplate>
> </resolver:DataConnector>
> <!-- -->
> ------------------------------------------------------------------
>
> そして以下のように tomcat6 を再起動させてみると、start時の
> [LDAP: error code 49 - Invalid Credentials]は発生しなくなりました。
>
> #service tomcat6 stop
> #service httpd restart
> #service tomcat6 start
>
> しかしながら、次の Warning と Error が発生していました。
>
> --------- /opt/shibboleth-idp/logs/idp-process.log (抜粋)-----------
> 15:30:23.596 - WARN
> [edu.internet2.middleware.shibboleth.common.config
> .SpringConfigurationUtils:272]
> - Numerical duration form is deprecated.
> The property 'maxValidityInterval' on metadata filter of type
> {urn:mace:shibboleth:2.0:metadata}RequiredValidUntil should use
> the duration notation: P15DT0H0M0.000S
>
> 15:30:29.445 - ERROR
> [org.opensaml.saml2.metadata.provider.HTTPMetadataProvider:273]
> - Error retrieving metadata from https://metadata.gakunin.nii.ac.jp
> /gakunin-test-metadata.xml
> org.apache.commons.httpclient.ConnectTimeoutException:
> The host did not accept the connection within timeout of 5000 ms
>
> 15:30:29.456 - ERROR
> [org.opensaml.xml.parse.StaticBasicParserPool:50]
> - XML Parsing Error org.xml.sax.SAXParseException:
> Premature end of file.
>
> 15:30:29.462 - ERROR
> [org.opensaml.saml2.metadata.provider
> .AbstractReloadingMetadataProvider:307]
> - Unable to unmarshall metadata
> org.opensaml.xml.io.UnmarshallingException:
> org.opensaml.xml.parse.XMLParserException: Invalid XML
>
> 15:30:29.472 - ERROR
> [org.opensaml.saml2.metadata.provider.AbstractMetadataProvider:411]
> - Metadata provider failed to properly initializing, halting
> org.opensaml.saml2.metadata.provider.MetadataProviderException:
> org.opensaml.saml2.metadata.provider.MetadataProviderException:
> Unable to unmarshall metadata
>
> 15:30:29.474 - ERROR
> [edu.internet2.middleware.shibboleth.common.config.BaseService:188]
> - Configuration was not loaded for
> shibboleth.RelyingPartyConfigurationManager
> service, error creating components.
> The root cause of this error was: org.xml.sax.SAXParseException:
> Premature end of file.
> -----------------------------------------------------------------------
>
> IdPサーバの時刻は、当方の NTPサーバ と同期させており、当方の
> NTPサーバは SINET4 のNTPサーバと同期させているはずなのですが、
> この後、確認してみます。
>
> --
> 公益財団法人東京都医学総合研究所 情報システム室
> 赤沢年一
>