[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[upki-fed:00596] Re: SPで"unable to connect socket" ERROR (Test Fed.)



学認の皆様

 都医学研の赤沢です。
 言い忘れましたが、技術ガイドの「SPへの接続確認」については
 以下のように「<Status><OK/></Status>」が含まれております。
https://www.gakunin.jp/docs/fed/technical/sp/customize/sp-test1

 長くなってしまい恐縮ですが、出力されたものを貼り付けておきます。
------------------------------------------------------------------------
[root@sptest ~]# wget --no-check-certificate -nv -O -
https://localhost/Shibboleth.sso/Status
WARNING: certificate common name `sptest.igakuken.or.jp' doesn't match
requested host name `localhost'.
<StatusHandler time='2012-12-28T04:30:07Z'><Version Xerces-C='3.1.1'
XML-Tooling-C='1.5.2' XML-Security-C='1.7.0' OpenSAML-C='2.5.1'
Shibboleth='2.5.1'/><NonWindows sysname='Linux'
nodename='sptest.igakuken.or.jp' release='2.6.18-164.15.1.el5'
version='#1 SMP Wed Mar 17 11:37:14 EDT 2010'
machine='i686'/><SessionCache><OK/></SessionCache><Application
id='default'
entityID='https://sptest.igakuken.or.jp/shibboleth-sp'/><MetadataProvider source='https://metadata.gakunin.nii.ac.jp/gakunin-test-metadata.xml'
reloadInterval='7200'/><Handlers><Handler
type='ArtifactResolutionService' Location='/Artifact/SOAP'
Binding='urn:oasis:names:tc:SAML:2.0:bindings:SOAP'/><Handler
type='AssertionConsumerService' Location='/SAML2/POST'
Binding='urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST'/><Handler
type='AssertionConsumerService' Location='/SAML2/POST-SimpleSign'
Binding='urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST-SimpleSign'/><Handler
type='AssertionConsumerService' Location='/SAML2/Artifact'
Binding='urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Artifact'/><Handler
type='AssertionConsumerService' Location='/SAML2/ECP'
Binding='urn:oasis:names:tc:SAML:2.0:bindings:PAOS'/><Handler
type='AssertionConsumerService' Location='/SAML/POST'
Binding='urn:oasis:names:tc:SAML:1.0:profiles:browser-post'/><Handler
type='AssertionConsumerService' Location='/SAML/Artifact'
Binding='urn:oasis:names:tc:SAML:1.0:profiles:artifact-01'/><Handler
type='SessionInitiator' Location='/Login'/><Handler
type='SingleLogoutService' Location='/SLO/SOAP'
Binding='urn:oasis:names:tc:SAML:2.0:bindings:SOAP'/><Handler
type='SingleLogoutService' Location='/SLO/Redirect'
Binding='urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect'/><Handler
type='SingleLogoutService' Location='/SLO/POST'
Binding='urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST'/><Handler
type='SingleLogoutService' Location='/SLO/Artifact'
Binding='urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Artifact'/><Handler
type='LogoutInitiator' Location='/Logout'/><Handler
type='MetadataGenerator' Location='/Metadata'/><Handler type='Status'
Location='/Status'/><Handler type='Session'
Location='/Session'/><Handler type='DiscoveryFeed'
Location='/DiscoFeed'/><Handler type='SessionInitiator'
Location='/DS'/></Handlers><Status><OK/></Status></StatusHandler>2012-12-28
13:30:07 URL:https://localhost/Shibboleth.sso/Status [2297/2297] -> "-" [1]
------------------------------------------------------------------------

よろしくお願い致します。

--
赤沢年一
(公財)東京都医学総合研究所 情報システム室



> 学認の皆様
> 
>  いつもお世話になります。
>  都医学研の赤沢です。
> 
>  現在、テストフェデレーションに参加させていただいております。
>  テスト用IdPについては先日助けていただき稼働させることが
>  できました。
> 
>  今回、技術ガイドに沿って、新たにテスト用SP(以下 SP)を立ち
>  上げようとしております。
> 
>  shibd をstart させた時点で shibbolethのログファイル (/var/log/
>  shibboleth/shibd_warn.log) に多数の WARN/ERROR/CRIT が記録され
>  残念ながら行き詰まっております。恐れ入りますがご助言をお願い
>  できますでしょうか。
> 
> ●SPの提供サービス
> 
>  技術ガイドの「IdPとSP接続確認」のページに記載の「属性確認用の
>  簡単なPHPプログラム」をダウンロードし、/var/www/html/secure/
>  index.php として置きました。
> 
> ●SP用サーバの環境
> 
>  OS: CentOS 5.4 (32bit)
>  HTTP Server : Apache 2.2.3
>  PHP: 5.1.6
>  shibboleth: 2.5.1
>  インストールと設定作業はrootで行いました。
> 
> ●クライアントの環境
> 
>  OS: MacOS X 10.7.5
>  ブラウザ: Firefox 17.0.1
> 
> ●認証不要のwebコンテンツは閲覧可
> 
>  https://sptest.igakuken.or.jp/dummy.html
> 
> ●shibd_warn.log
> 
>  昨夕に shibd を稼働させた時点で WARN/ERROR/CRIT が
>  発生しましたが、今朝ログを見ると2時間ごとに発生している
>  ものについてとりあえず掲載させていただきます。
>  見やすいように適宜改行を入れ、継続行は半角スペースでインデント
>  しておきます。
> ---------------------------------------------------------------------
> 2012-12-28 10:19:41
>   ERROR XMLTooling.ParserPool :
>   fatal error on line 0, column 0, message:
>   unable to connect socket for URL
>   'https://metadata.gakunin.nii.ac.jp/gakunin-test-metadata.xml'
> 2012-12-28 10:19:41
>   ERROR OpenSAML.MetadataProvider.XML :
>   error while loading resource
>   (https://metadata.gakunin.nii.ac.jp/gakunin-test-metadata.xml):
>   XML error(s) during parsing, check log for specifics
> 2012-12-28 10:19:41
>   WARN OpenSAML.MetadataProvider.XML :
>   adjusted reload interval to 7200 seconds
> 2012-12-28 10:19:41
>   WARN OpenSAML.MetadataProvider.XML :
>   trying backup file, exception loading remote resource:
>   XML error(s) during parsing, check log for specifics
> 2012-12-28 10:19:41
>   ERROR XMLTooling.ParserPool :
>   fatal error on line 0, column 0, message:
>   unable to open primary document entity
> '/var/cache/shibboleth/federation-metadata.xml'
> 2012-12-28 10:19:41
>   ERROR OpenSAML.MetadataProvider.XML :
>   error while loading resource
>   (/var/cache/shibboleth/federation-metadata.xml):
>   XML error(s) during parsing, check log for specifics
> 2012-12-28 10:19:41
>   CRIT OpenSAML.MetadataProvider.XML :
>   maintaining existing configuration, error reloading resource
>   (https://metadata.gakunin.nii.ac.jp/gakunin-test-metadata.xml):
>   XML error(s) during parsing, check log for specifics
> ---------------------------------------------------------------------
> 
> ●shibboleth2.xml
> 
>  以下のように設定しております。
> (1) entityID
> ---------------------------------------------------------------------
> <!-- The ApplicationDefaults element is where most of Shibboleth's SAML
> bits are defined. -->
> <ApplicationDefaults entityID="https://sptest.igakuken.or.jp/shibboleth-sp"
>   REMOTE_USER="eppn persistent-id targeted-id">
> ---------------------------------------------------------------------
> 
> (2) DSサーバの参照
> ---------------------------------------------------------------------
>    <!-- JSON feed of discovery information. -->
>    <Handler type="DiscoveryFeed" Location="/DiscoFeed"/>
>    <SessionInitiator type="Chaining" Location="/DS" isDefault="true" id="DS">
>      <SessionInitiator type="SAML2" template="bindingTemplate.html"/>
>      <SessionInitiator type="Shib1"/>
>      <SessionInitiator type="SAMLDS"
> URL="https://test-ds.gakunin.nii.ac.jp/WAYF"/>
>    </SessionInitiator>
> </Sessions>
> ---------------------------------------------------------------------
> 
> (3)メタデータの自動更新設定
> 
>  2時間おきにshibd_warn.logに記載されているログは、たぶんここの
>  設定にまずいことがあるような気がしますが、いかがでしょう?
> ---------------------------------------------------------------------
> <!-- Example of remotely supplied batch of signed metadata. -->
> <!-- -->
> <MetadataProvider type="XML"
> uri="https://metadata.gakunin.nii.ac.jp/gakunin-test-metadata.xml"
>                backingFilePath="federation-metadata.xml"
> reloadInterval="7200">
>    <MetadataFilter type="RequireValidUntil" maxValidityInterval="1296000"/>
>    <MetadataFilter type="Signature"
> certificate="/etc/shibboleth/cert/gakunin-test-signer-2011.cer"/>
> </MetadataProvider>
> <!-- -->
> ---------------------------------------------------------------------
> 
> (4)サーバ証明書と秘密鍵の指定
> ---------------------------------------------------------------------
> <!-- Simple file-based resolver for using a single keypair. -->
> <CredentialResolver type="File" key="cert/sptest_nopw.key"
> certificate="cert/sptest.igakuken.or.jp.cer"/>
> ---------------------------------------------------------------------
> 
>  サーバ証明書と秘密鍵は下記のようにちゃんと置いてあります。
> .....................................................................
> [root@sptest cert]# pwd
> /etc/shibboleth/cert
> [root@sptest cert]# ls -al
> total 20
> drwxr-xr-x 2 root root   4096 Dec 27 14:43 .
> drwxr-xr-x 3 root root   4096 Dec 28 12:28 ..
> -rw-r--r-- 1 root root   1501 Jan 14  2011 gakunin-test-signer-2011.cer
> -rw-r--r-- 1 root apache 1781 Dec 27 11:51 sptest.igakuken.or.jp.cer
> -r-------- 1 root root   1679 Dec 27 11:51 sptest_nopw.key
> .....................................................................
> 
> ●新規SP申請(テストフェデレーション)
> 
>  学認申請システム(テストフェデレーション)から「新規SP申請」を
>  行いました。
> 
>  「DSからのリターンURL」に何を記載してよいのかわからず、
>  「https://sptest.igakuken.or.jp/」と入力してしまいましたが、
>  本メール冒頭にお示しした「●SPの提供サービス」を実現したい
>  のであれば、
>  「https://sptest.igakuken.or.jp/secure/index.php」を
>  入力すべきということになりますでしょうか。
> 
> 恐れ入りますが、以上よろしくお願い致します。
>