[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[upki-fed:00594] SPで"unable to connect socket" ERROR (Test Fed.)



学認の皆様

 いつもお世話になります。
 都医学研の赤沢です。

 現在、テストフェデレーションに参加させていただいております。
 テスト用IdPについては先日助けていただき稼働させることが
 できました。

 今回、技術ガイドに沿って、新たにテスト用SP(以下 SP)を立ち
 上げようとしております。

 shibd をstart させた時点で shibbolethのログファイル (/var/log/
 shibboleth/shibd_warn.log) に多数の WARN/ERROR/CRIT が記録され
 残念ながら行き詰まっております。恐れ入りますがご助言をお願い
 できますでしょうか。

●SPの提供サービス

 技術ガイドの「IdPとSP接続確認」のページに記載の「属性確認用の
 簡単なPHPプログラム」をダウンロードし、/var/www/html/secure/
 index.php として置きました。

●SP用サーバの環境

 OS: CentOS 5.4 (32bit)
 HTTP Server : Apache 2.2.3
 PHP: 5.1.6
 shibboleth: 2.5.1
 インストールと設定作業はrootで行いました。

●クライアントの環境

 OS: MacOS X 10.7.5
 ブラウザ: Firefox 17.0.1

●認証不要のwebコンテンツは閲覧可

 https://sptest.igakuken.or.jp/dummy.html

●shibd_warn.log

 昨夕に shibd を稼働させた時点で WARN/ERROR/CRIT が
 発生しましたが、今朝ログを見ると2時間ごとに発生している
 ものについてとりあえず掲載させていただきます。
 見やすいように適宜改行を入れ、継続行は半角スペースでインデント
 しておきます。
---------------------------------------------------------------------
2012-12-28 10:19:41
 ERROR XMLTooling.ParserPool :
 fatal error on line 0, column 0, message:
 unable to connect socket for URL
 'https://metadata.gakunin.nii.ac.jp/gakunin-test-metadata.xml'
2012-12-28 10:19:41
 ERROR OpenSAML.MetadataProvider.XML :
 error while loading resource
 (https://metadata.gakunin.nii.ac.jp/gakunin-test-metadata.xml):
 XML error(s) during parsing, check log for specifics
2012-12-28 10:19:41
 WARN OpenSAML.MetadataProvider.XML :
 adjusted reload interval to 7200 seconds
2012-12-28 10:19:41
 WARN OpenSAML.MetadataProvider.XML :
 trying backup file, exception loading remote resource:
 XML error(s) during parsing, check log for specifics
2012-12-28 10:19:41
 ERROR XMLTooling.ParserPool :
 fatal error on line 0, column 0, message:
 unable to open primary document entity
'/var/cache/shibboleth/federation-metadata.xml'
2012-12-28 10:19:41
 ERROR OpenSAML.MetadataProvider.XML :
 error while loading resource
 (/var/cache/shibboleth/federation-metadata.xml):
 XML error(s) during parsing, check log for specifics
2012-12-28 10:19:41
 CRIT OpenSAML.MetadataProvider.XML :
 maintaining existing configuration, error reloading resource
 (https://metadata.gakunin.nii.ac.jp/gakunin-test-metadata.xml):
 XML error(s) during parsing, check log for specifics
---------------------------------------------------------------------

●shibboleth2.xml

 以下のように設定しております。
(1) entityID
---------------------------------------------------------------------
<!-- The ApplicationDefaults element is where most of Shibboleth's SAML
bits are defined. -->
<ApplicationDefaults entityID="https://sptest.igakuken.or.jp/shibboleth-sp"
 REMOTE_USER="eppn persistent-id targeted-id">
---------------------------------------------------------------------

(2) DSサーバの参照
---------------------------------------------------------------------
  <!-- JSON feed of discovery information. -->
  <Handler type="DiscoveryFeed" Location="/DiscoFeed"/>
  <SessionInitiator type="Chaining" Location="/DS" isDefault="true" id="DS">
    <SessionInitiator type="SAML2" template="bindingTemplate.html"/>
    <SessionInitiator type="Shib1"/>
    <SessionInitiator type="SAMLDS"
URL="https://test-ds.gakunin.nii.ac.jp/WAYF"/>
  </SessionInitiator>
</Sessions>
---------------------------------------------------------------------

(3)メタデータの自動更新設定

 2時間おきにshibd_warn.logに記載されているログは、たぶんここの
 設定にまずいことがあるような気がしますが、いかがでしょう?
---------------------------------------------------------------------
<!-- Example of remotely supplied batch of signed metadata. -->
<!-- -->
<MetadataProvider type="XML"
uri="https://metadata.gakunin.nii.ac.jp/gakunin-test-metadata.xml"
              backingFilePath="federation-metadata.xml"
reloadInterval="7200">
  <MetadataFilter type="RequireValidUntil" maxValidityInterval="1296000"/>
  <MetadataFilter type="Signature"
certificate="/etc/shibboleth/cert/gakunin-test-signer-2011.cer"/>
</MetadataProvider>
<!-- -->
---------------------------------------------------------------------

(4)サーバ証明書と秘密鍵の指定
---------------------------------------------------------------------
<!-- Simple file-based resolver for using a single keypair. -->
<CredentialResolver type="File" key="cert/sptest_nopw.key"
certificate="cert/sptest.igakuken.or.jp.cer"/>
---------------------------------------------------------------------

 サーバ証明書と秘密鍵は下記のようにちゃんと置いてあります。
.....................................................................
[root@sptest cert]# pwd
/etc/shibboleth/cert
[root@sptest cert]# ls -al
total 20
drwxr-xr-x 2 root root   4096 Dec 27 14:43 .
drwxr-xr-x 3 root root   4096 Dec 28 12:28 ..
-rw-r--r-- 1 root root   1501 Jan 14  2011 gakunin-test-signer-2011.cer
-rw-r--r-- 1 root apache 1781 Dec 27 11:51 sptest.igakuken.or.jp.cer
-r-------- 1 root root   1679 Dec 27 11:51 sptest_nopw.key
.....................................................................

●新規SP申請(テストフェデレーション)

 学認申請システム(テストフェデレーション)から「新規SP申請」を
 行いました。

 「DSからのリターンURL」に何を記載してよいのかわからず、
 「https://sptest.igakuken.or.jp/」と入力してしまいましたが、
 本メール冒頭にお示しした「●SPの提供サービス」を実現したい
 のであれば、
 「https://sptest.igakuken.or.jp/secure/index.php」を
 入力すべきということになりますでしょうか。

恐れ入りますが、以上よろしくお願い致します。

-- 
赤沢年一 AKAZAWA Toshikazu
(公財)東京都医学総合研究所 情報システム室