[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[upki-fed:00596] Re: SPで"unable to connect socket" ERROR (Test Fed.)
- Subject: [upki-fed:00596] Re: SPで"unable to connect socket" ERROR (Test Fed.)
- Date: Fri, 28 Dec 2012 13:35:21 +0900
- From: Akazawa TS <xxxxxxxx@xxxxxxxxxxxxxx>
学認の皆様
都医学研の赤沢です。
言い忘れましたが、技術ガイドの「SPへの接続確認」については
以下のように「<Status><OK/></Status>」が含まれております。
https://www.gakunin.jp/docs/fed/technical/sp/customize/sp-test1
長くなってしまい恐縮ですが、出力されたものを貼り付けておきます。
------------------------------------------------------------------------
[root@sptest ~]# wget --no-check-certificate -nv -O -
https://localhost/Shibboleth.sso/Status
WARNING: certificate common name `sptest.igakuken.or.jp' doesn't match
requested host name `localhost'.
<StatusHandler time='2012-12-28T04:30:07Z'><Version Xerces-C='3.1.1'
XML-Tooling-C='1.5.2' XML-Security-C='1.7.0' OpenSAML-C='2.5.1'
Shibboleth='2.5.1'/><NonWindows sysname='Linux'
nodename='sptest.igakuken.or.jp' release='2.6.18-164.15.1.el5'
version='#1 SMP Wed Mar 17 11:37:14 EDT 2010'
machine='i686'/><SessionCache><OK/></SessionCache><Application
id='default'
entityID='https://sptest.igakuken.or.jp/shibboleth-sp'/><MetadataProvider source='https://metadata.gakunin.nii.ac.jp/gakunin-test-metadata.xml'
reloadInterval='7200'/><Handlers><Handler
type='ArtifactResolutionService' Location='/Artifact/SOAP'
Binding='urn:oasis:names:tc:SAML:2.0:bindings:SOAP'/><Handler
type='AssertionConsumerService' Location='/SAML2/POST'
Binding='urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST'/><Handler
type='AssertionConsumerService' Location='/SAML2/POST-SimpleSign'
Binding='urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST-SimpleSign'/><Handler
type='AssertionConsumerService' Location='/SAML2/Artifact'
Binding='urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Artifact'/><Handler
type='AssertionConsumerService' Location='/SAML2/ECP'
Binding='urn:oasis:names:tc:SAML:2.0:bindings:PAOS'/><Handler
type='AssertionConsumerService' Location='/SAML/POST'
Binding='urn:oasis:names:tc:SAML:1.0:profiles:browser-post'/><Handler
type='AssertionConsumerService' Location='/SAML/Artifact'
Binding='urn:oasis:names:tc:SAML:1.0:profiles:artifact-01'/><Handler
type='SessionInitiator' Location='/Login'/><Handler
type='SingleLogoutService' Location='/SLO/SOAP'
Binding='urn:oasis:names:tc:SAML:2.0:bindings:SOAP'/><Handler
type='SingleLogoutService' Location='/SLO/Redirect'
Binding='urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect'/><Handler
type='SingleLogoutService' Location='/SLO/POST'
Binding='urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST'/><Handler
type='SingleLogoutService' Location='/SLO/Artifact'
Binding='urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Artifact'/><Handler
type='LogoutInitiator' Location='/Logout'/><Handler
type='MetadataGenerator' Location='/Metadata'/><Handler type='Status'
Location='/Status'/><Handler type='Session'
Location='/Session'/><Handler type='DiscoveryFeed'
Location='/DiscoFeed'/><Handler type='SessionInitiator'
Location='/DS'/></Handlers><Status><OK/></Status></StatusHandler>2012-12-28
13:30:07 URL:https://localhost/Shibboleth.sso/Status [2297/2297] -> "-" [1]
------------------------------------------------------------------------
よろしくお願い致します。
--
赤沢年一
(公財)東京都医学総合研究所 情報システム室
> 学認の皆様
>
> いつもお世話になります。
> 都医学研の赤沢です。
>
> 現在、テストフェデレーションに参加させていただいております。
> テスト用IdPについては先日助けていただき稼働させることが
> できました。
>
> 今回、技術ガイドに沿って、新たにテスト用SP(以下 SP)を立ち
> 上げようとしております。
>
> shibd をstart させた時点で shibbolethのログファイル (/var/log/
> shibboleth/shibd_warn.log) に多数の WARN/ERROR/CRIT が記録され
> 残念ながら行き詰まっております。恐れ入りますがご助言をお願い
> できますでしょうか。
>
> ●SPの提供サービス
>
> 技術ガイドの「IdPとSP接続確認」のページに記載の「属性確認用の
> 簡単なPHPプログラム」をダウンロードし、/var/www/html/secure/
> index.php として置きました。
>
> ●SP用サーバの環境
>
> OS: CentOS 5.4 (32bit)
> HTTP Server : Apache 2.2.3
> PHP: 5.1.6
> shibboleth: 2.5.1
> インストールと設定作業はrootで行いました。
>
> ●クライアントの環境
>
> OS: MacOS X 10.7.5
> ブラウザ: Firefox 17.0.1
>
> ●認証不要のwebコンテンツは閲覧可
>
> https://sptest.igakuken.or.jp/dummy.html
>
> ●shibd_warn.log
>
> 昨夕に shibd を稼働させた時点で WARN/ERROR/CRIT が
> 発生しましたが、今朝ログを見ると2時間ごとに発生している
> ものについてとりあえず掲載させていただきます。
> 見やすいように適宜改行を入れ、継続行は半角スペースでインデント
> しておきます。
> ---------------------------------------------------------------------
> 2012-12-28 10:19:41
> ERROR XMLTooling.ParserPool :
> fatal error on line 0, column 0, message:
> unable to connect socket for URL
> 'https://metadata.gakunin.nii.ac.jp/gakunin-test-metadata.xml'
> 2012-12-28 10:19:41
> ERROR OpenSAML.MetadataProvider.XML :
> error while loading resource
> (https://metadata.gakunin.nii.ac.jp/gakunin-test-metadata.xml):
> XML error(s) during parsing, check log for specifics
> 2012-12-28 10:19:41
> WARN OpenSAML.MetadataProvider.XML :
> adjusted reload interval to 7200 seconds
> 2012-12-28 10:19:41
> WARN OpenSAML.MetadataProvider.XML :
> trying backup file, exception loading remote resource:
> XML error(s) during parsing, check log for specifics
> 2012-12-28 10:19:41
> ERROR XMLTooling.ParserPool :
> fatal error on line 0, column 0, message:
> unable to open primary document entity
> '/var/cache/shibboleth/federation-metadata.xml'
> 2012-12-28 10:19:41
> ERROR OpenSAML.MetadataProvider.XML :
> error while loading resource
> (/var/cache/shibboleth/federation-metadata.xml):
> XML error(s) during parsing, check log for specifics
> 2012-12-28 10:19:41
> CRIT OpenSAML.MetadataProvider.XML :
> maintaining existing configuration, error reloading resource
> (https://metadata.gakunin.nii.ac.jp/gakunin-test-metadata.xml):
> XML error(s) during parsing, check log for specifics
> ---------------------------------------------------------------------
>
> ●shibboleth2.xml
>
> 以下のように設定しております。
> (1) entityID
> ---------------------------------------------------------------------
> <!-- The ApplicationDefaults element is where most of Shibboleth's SAML
> bits are defined. -->
> <ApplicationDefaults entityID="https://sptest.igakuken.or.jp/shibboleth-sp"
> REMOTE_USER="eppn persistent-id targeted-id">
> ---------------------------------------------------------------------
>
> (2) DSサーバの参照
> ---------------------------------------------------------------------
> <!-- JSON feed of discovery information. -->
> <Handler type="DiscoveryFeed" Location="/DiscoFeed"/>
> <SessionInitiator type="Chaining" Location="/DS" isDefault="true" id="DS">
> <SessionInitiator type="SAML2" template="bindingTemplate.html"/>
> <SessionInitiator type="Shib1"/>
> <SessionInitiator type="SAMLDS"
> URL="https://test-ds.gakunin.nii.ac.jp/WAYF"/>
> </SessionInitiator>
> </Sessions>
> ---------------------------------------------------------------------
>
> (3)メタデータの自動更新設定
>
> 2時間おきにshibd_warn.logに記載されているログは、たぶんここの
> 設定にまずいことがあるような気がしますが、いかがでしょう?
> ---------------------------------------------------------------------
> <!-- Example of remotely supplied batch of signed metadata. -->
> <!-- -->
> <MetadataProvider type="XML"
> uri="https://metadata.gakunin.nii.ac.jp/gakunin-test-metadata.xml"
> backingFilePath="federation-metadata.xml"
> reloadInterval="7200">
> <MetadataFilter type="RequireValidUntil" maxValidityInterval="1296000"/>
> <MetadataFilter type="Signature"
> certificate="/etc/shibboleth/cert/gakunin-test-signer-2011.cer"/>
> </MetadataProvider>
> <!-- -->
> ---------------------------------------------------------------------
>
> (4)サーバ証明書と秘密鍵の指定
> ---------------------------------------------------------------------
> <!-- Simple file-based resolver for using a single keypair. -->
> <CredentialResolver type="File" key="cert/sptest_nopw.key"
> certificate="cert/sptest.igakuken.or.jp.cer"/>
> ---------------------------------------------------------------------
>
> サーバ証明書と秘密鍵は下記のようにちゃんと置いてあります。
> .....................................................................
> [root@sptest cert]# pwd
> /etc/shibboleth/cert
> [root@sptest cert]# ls -al
> total 20
> drwxr-xr-x 2 root root 4096 Dec 27 14:43 .
> drwxr-xr-x 3 root root 4096 Dec 28 12:28 ..
> -rw-r--r-- 1 root root 1501 Jan 14 2011 gakunin-test-signer-2011.cer
> -rw-r--r-- 1 root apache 1781 Dec 27 11:51 sptest.igakuken.or.jp.cer
> -r-------- 1 root root 1679 Dec 27 11:51 sptest_nopw.key
> .....................................................................
>
> ●新規SP申請(テストフェデレーション)
>
> 学認申請システム(テストフェデレーション)から「新規SP申請」を
> 行いました。
>
> 「DSからのリターンURL」に何を記載してよいのかわからず、
> 「https://sptest.igakuken.or.jp/」と入力してしまいましたが、
> 本メール冒頭にお示しした「●SPの提供サービス」を実現したい
> のであれば、
> 「https://sptest.igakuken.or.jp/secure/index.php」を
> 入力すべきということになりますでしょうか。
>
> 恐れ入りますが、以上よろしくお願い致します。
>