[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[upki-fed:00528] Re: IdPが起動しません(テストフェデレーション)



東京都医学総合研究所 赤沢様

アットウェアの赤木です。

>  - Error retrieving metadata from https://metadata.gakunin.nii.ac.jp
>  /gakunin-test-metadata.xml
>  org.apache.commons.httpclient.ConnectTimeoutException:
>  The host did not accept the connection within timeout of 5000 ms

IdPのサーバから、メタデータを取得できるか下記コマンドを実行して確認してください。
wget https://metadata.gakunin.nii.ac.jp/gakunin-test-metadata.xml


>  [org.opensaml.xml.parse.StaticBasicParserPool:50]
>  - XML Parsing Error org.xml.sax.SAXParseException:
>  Premature end of file.

設定ファイル、おそらくattribute-resolver.xmlがXMLとして間違っているのではないかと思われます。

宜しくお願い致します。


2012/11/2 Akazawa TS <xxxxxxxx@xxxxxxxxxxxxxx>:
> upki-fed ML の皆様、中山様、赤木様
>
>  お世話になります。
>  都医学研の赤沢です。
>
>  進展がありました。中山様と赤木様のご指摘両方を適用することで
>  /opt/shibboleth-idp/logs/idp-process.log から
>  [LDAP: error code 49 - Invalid Credentials] が発生しないように
>  なりました。誠にありがとうございます。
>
>  ただ、まだ別の問題が発生しているため、以下に合わせてご報告
>  させていただきます。
>
>> 匿名BINDができないLDAPサーバの場合は
>> login.configにbindDnとbindCredentialの設定も必要かも知れません。
>
>   ご指摘に基づき、/opt/shibboleth-idp/conf/login.config 内を見て
>  みると、bindDnとbindCredentialは設定されていませんでした。
>  login.config 内に
>    See: https://wiki.shibboleth.net/confluence/display/SHIB2/IdPAuthUserPass
>  と書いてあったので、同サイトを見てみると、
>  「LDAP Login Module Specification」の見出しのところにわかり
>  やすい解説も載っていました。
>
>  そして以下のように、bindDnとbindCredentialの値を設定しました。
>  また上記サイトには、IdPは Case-preserving とあったので、bindDn
>  として、当方のLDAPサーバに記載どおりの case で記述しました。
>  (ou=apps とせずに ou=Apps としました)
>
> -----------------/opt/shibboleth-idp/conf/login.config -----------
> ShibUserPassAuth {
>    edu.vt.middleware.ldap.jaas.LdapLoginModule required
>       ldapUrl="ldap://localhost"
>       baseDn="dc=igakuken,dc=or,dc=jp"
>       ssl="false"
>       userFilter="uid={0}"
>       subtreeSearch="true"
>       bindDn="cn=test,ou=Apps,dc=igakuken,dc=or,dc=jp"
>       bindCredential="********"
>       ;
> };
> ------------------------------------------------------------------
>
>>> ldapURL="ldap://localhost" baseDN="dc=igakuken,dc=or,dc=jp"
>>> principal="cn=test,ou=apps"
>>
>> principal を  "cn=test,ou=apps,dc=igakuken,dc=or,dc=jp"
>> に変更して試して頂けませんでしょうか?
>
>  以下のように変更してみました。ou=apps としていた箇所も念のため
>  ou=Apps としました。
>
> ----------/opt/shibboleth-idp/conf/attribute-resolver.xml-----------
>     <!-- Example LDAP Connector -->
>     <!-- -->
>     <resolver:DataConnector id="myLDAP" xsi:type="LDAPDirectory"
> xmlns="urn:mace:shibboleth:2.0:resolver:dc"
>         ldapURL="ldap://localhost" baseDN="dc=igakuken,dc=or,dc=jp"
> principal="cn=test,ou=Apps,dc=igakuken,dc=or,dc=jp"
>         principalCredential="********">
>         <FilterTemplate>
>             <![CDATA[
>                 (uid=$requestContext.principalName)
>             ]]>
>         </FilterTemplate>
>     </resolver:DataConnector>
>    <!-- -->
> ------------------------------------------------------------------
>
>  そして以下のように tomcat6 を再起動させてみると、start時の
>  [LDAP: error code 49 - Invalid Credentials]は発生しなくなりました。
>
> #service tomcat6 stop
> #service httpd restart
> #service tomcat6 start
>
>  しかしながら、次の Warning と Error が発生していました。
>
> --------- /opt/shibboleth-idp/logs/idp-process.log (抜粋)-----------
> 15:30:23.596 - WARN
>  [edu.internet2.middleware.shibboleth.common.config
>  .SpringConfigurationUtils:272]
>  - Numerical duration form is deprecated.
>  The property 'maxValidityInterval' on metadata filter of type
>  {urn:mace:shibboleth:2.0:metadata}RequiredValidUntil should use
>  the duration notation: P15DT0H0M0.000S
>
> 15:30:29.445 - ERROR
>  [org.opensaml.saml2.metadata.provider.HTTPMetadataProvider:273]
>  - Error retrieving metadata from https://metadata.gakunin.nii.ac.jp
>  /gakunin-test-metadata.xml
>  org.apache.commons.httpclient.ConnectTimeoutException:
>  The host did not accept the connection within timeout of 5000 ms
>
> 15:30:29.456 - ERROR
>  [org.opensaml.xml.parse.StaticBasicParserPool:50]
>  - XML Parsing Error org.xml.sax.SAXParseException:
>  Premature end of file.
>
> 15:30:29.462 - ERROR
>  [org.opensaml.saml2.metadata.provider
>  .AbstractReloadingMetadataProvider:307]
>  - Unable to unmarshall metadata
>  org.opensaml.xml.io.UnmarshallingException:
>  org.opensaml.xml.parse.XMLParserException: Invalid XML
>
> 15:30:29.472 - ERROR
>  [org.opensaml.saml2.metadata.provider.AbstractMetadataProvider:411]
>  - Metadata provider failed to properly initializing, halting
>  org.opensaml.saml2.metadata.provider.MetadataProviderException:
>  org.opensaml.saml2.metadata.provider.MetadataProviderException:
>  Unable to unmarshall metadata
>
> 15:30:29.474 - ERROR
>  [edu.internet2.middleware.shibboleth.common.config.BaseService:188]
>  - Configuration was not loaded for
>  shibboleth.RelyingPartyConfigurationManager
>  service, error creating components.
>  The root cause of this error was: org.xml.sax.SAXParseException:
>  Premature end of file.
> -----------------------------------------------------------------------
>
>  IdPサーバの時刻は、当方の NTPサーバ と同期させており、当方の
>  NTPサーバは SINET4 のNTPサーバと同期させているはずなのですが、
>  この後、確認してみます。
>
> --
> 公益財団法人東京都医学総合研究所 情報システム室
> 赤沢年一
>