[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[upki-fed:00599] Re: SPで"unable to connect socket" ERROR (Test Fed.)



西村です。

shibdのメタデータ取得のタイムアウトが何秒か確認していませんが、
wgetよりも短い(16秒よりも短い)ので、shibdでのみタイムアウトして
しまったということのようですね。

>  案の定、以下のような WAN/ERROR/CRIT が shibd_warn.log に記載されて
>  いました。2時間ごとの "unnable to connect socket" とは別の現象の
>  ようです。

最初の2つのWARNは設定上の注意喚起で、そのままでも動くはずですので
ひとまず無視してください。

> Unable to load private key from file
> (/etc/shibboleth/cert/sptest_nopw.key).

SP 2.5から、shibdはrootではなくshibdという専用ユーザで起動する
ようになっております
https://www.gakunin.jp/ml-archives/upki-fed/msg00422.html
ので、/etc/shibboleth/cert/sptest_nopw.keyの所有者をshibdに
変更してみてください。

先のメールで見逃しておりました。

>>>  「DSからのリターンURL」に何を記載してよいのかわからず、
>>>  「https://sptest.igakuken.or.jp/」と入力してしまいましたが、
>>>  本メール冒頭にお示しした「●SPの提供サービス」を実現したい
>>>  のであれば、
>>>  「https://sptest.igakuken.or.jp/secure/index.php」を
>>>  入力すべきということになりますでしょうか。

マニュアルに記載しているところですが、学認の技術ガイド通りの
設定であれば
	https://sptest.igakuken.or.jp/Shibboleth.sso/DS
を設定してください。
詳細の説明は避けますが、
SP→DS→SP→IdP→SP
という流れになっており、DSからSPに遷移する先は最終目的地(index.php)でなく、
さらにIdPに遷移するため、Shibboleth SPが用意しているエンドポイントになります。


(2012/12/28 16:16), Akazawa TS wrote:
> 西村様、皆様
> 
>  都医学研の赤沢です。
>  早速にお返事をいただきありがとうございます。
> 
>> 赤沢様
>> NIIの西村です。テストフェデレーションのご利用ありがとうございます。
>>
>> ログを見ると、フェデレーションのメタデータの取得に失敗しているようです。("unable to connect socket for URL")
>> 当該マシンで以下のコマンドを実行して、メタデータが取得できるか確認
>> いただけますでしょうか?
>> $ wget https://metadata.gakunin.nii.ac.jp/gakunin-test-metadata.xml
> 
>  以下のとおり、取得できています。
> ------------------------------------------------------------------------------
> [root@sptest ~]# wget
> https://metadata.gakunin.nii.ac.jp/gakunin-test-metadata.xml
> --2012-12-28 15:52:17--
> https://metadata.gakunin.nii.ac.jp/gakunin-test-metadata.xml
> Resolving metadata.gakunin.nii.ac.jp... 157.1.72.50
> Connecting to metadata.gakunin.nii.ac.jp|157.1.72.50|:443... connected.
> HTTP request sent, awaiting response... 200 OK
> Length: 1608513 (1.5M) [text/xml]
> Saving to: `gakunin-test-metadata.xml.1'
> 
> 100%[===============================================================>]
> 1,608,513   8.62M/s   in 0.2s
> 
> 2012-12-28 15:52:32 (8.62 MB/s) - `gakunin-test-metadata.xml.1' saved
> [1608513/1608513]
> ------------------------------------------------------------------------------
> 
>  但し、(自分で数えて)コマンド発行から取得まで16秒かかっています。
>  「Resolving metadata.gakunin.nii.ac.jp...」のところで時間がかかって
>  いるので、試しに dig で試したところ、名前解決に 16秒かかることが
>  わかりました。
> 
>  /etc/resolv.conf の設定に不備があり、正しく設定したところ、
>  https://metadata.gakunin.nii.ac.jp/gakunin-test-metadata.xml は
>  すぐに取得できるようになりました。
> 
>  そして、次のように shibdと httpd とを再起動させました。
> -------------------------------------------------------------------
> # service shibd restart
> Stopping shibd:                                            [  OK  ]
> Starting shibd:                                            [  OK  ]
> # service httpd restart
> Stopping httpd:                                            [  OK  ]
> Starting httpd:                                            [  OK  ]
> -------------------------------------------------------------------
>  shibd の starting には数秒かかりました。
> 
>  案の定、以下のような WAN/ERROR/CRIT が shibd_warn.log に記載されて
>  いました。2時間ごとの "unnable to connect socket" とは別の現象の
>  ようです。
> -------------------------------------------------------------------
> 2012-12-28 16:07:14 WARN Shibboleth.Application : insecure cookieProps
> setting, set to "https" for SSL/TLS-only usage
> 2012-12-28 16:07:14 WARN Shibboleth.Application : handlerSSL should be
> enabled for SSL/TLS-enabled web sites
> 2012-12-28 16:07:15 ERROR OpenSSL : error code: 33558541 in bss_file.c,
> line 352
> 2012-12-28 16:07:15 ERROR OpenSSL : error data:
> fopen('/etc/shibboleth/cert/sptest_nopw.key','r')
> 2012-12-28 16:07:15 ERROR OpenSSL : error code: 537346050 in bss_file.c,
> line 354
> 2012-12-28 16:07:15 CRIT Shibboleth.Application : error building
> CredentialResolver: Unable to load private key from file
> (/etc/shibboleth/cert/sptest_nopw.key).
> -------------------------------------------------------------------
> 
>>     ***
>>
>> 別件ながら、以前aacli.shの実行について報告されたことがあったかと思います。
>> その際、aacli.shの実行に当たって
>>  [upki-fed:00419] aacli.shが実行できない場合の対処方法
>>  https://www.gakunin.jp/ml-archives/upki-fed/msg00407.html
>> で書きましたような対処は必要でしたでしょうか?最近のバージョンでは
>> 変わっている可能性がありましたので、時期を逸しており申し訳ありません
>> が、情報提供いただけましたら幸いです。
> 
>  aacli.sh は使ったことがないのと、探してみましたが
>  見つかりません。。。
> 
> [root@sptest ~]# find /etc -name aacli* -print
> [root@sptest ~]# find /opt -name aacli* -print
> [root@sptest ~]# find /var -name aacli* -print
> [root@sptest ~]# find /usr -name aacli* -print
> [root@sptest ~]# find / -name aacli* -print
> [root@sptest ~]#
> 
>  idttest.igakuken.or.jp は dump してバックアップディスクに
>  保存してありますが、今は 同一サーバを使って、新たに
>  ディスクフォーマットしてから sptest.igakuken.or.jpを
>  立ち上げていますので、すぐに試すこともできないのが現状です。
> 
>  引き続きご助言いただける有り難く思います。
> 
> --
> 赤沢
> (公財)東京都医学総合研究所 情報システム室
> 
>> (2012/12/28 12:39), Akazawa TS wrote:
>>> 学認の皆様
>>>
>>>  いつもお世話になります。
>>>  都医学研の赤沢です。
>>>
>>>  現在、テストフェデレーションに参加させていただいております。
>>>  テスト用IdPについては先日助けていただき稼働させることが
>>>  できました。
>>>
>>>  今回、技術ガイドに沿って、新たにテスト用SP(以下 SP)を立ち
>>>  上げようとしております。
>>>
>>>  shibd をstart させた時点で shibbolethのログファイル (/var/log/
>>>  shibboleth/shibd_warn.log) に多数の WARN/ERROR/CRIT が記録され
>>>  残念ながら行き詰まっております。恐れ入りますがご助言をお願い
>>>  できますでしょうか。
>>>
>>> ●SPの提供サービス
>>>
>>>  技術ガイドの「IdPとSP接続確認」のページに記載の「属性確認用の
>>>  簡単なPHPプログラム」をダウンロードし、/var/www/html/secure/
>>>  index.php として置きました。
>>>
>>> ●SP用サーバの環境
>>>
>>>  OS: CentOS 5.4 (32bit)
>>>  HTTP Server : Apache 2.2.3
>>>  PHP: 5.1.6
>>>  shibboleth: 2.5.1
>>>  インストールと設定作業はrootで行いました。
>>>
>>> ●クライアントの環境
>>>
>>>  OS: MacOS X 10.7.5
>>>  ブラウザ: Firefox 17.0.1
>>>
>>> ●認証不要のwebコンテンツは閲覧可
>>>
>>>  https://sptest.igakuken.or.jp/dummy.html
>>>
>>> ●shibd_warn.log
>>>
>>>  昨夕に shibd を稼働させた時点で WARN/ERROR/CRIT が
>>>  発生しましたが、今朝ログを見ると2時間ごとに発生している
>>>  ものについてとりあえず掲載させていただきます。
>>>  見やすいように適宜改行を入れ、継続行は半角スペースでインデント
>>>  しておきます。
>>> ---------------------------------------------------------------------
>>> 2012-12-28 10:19:41
>>>     ERROR XMLTooling.ParserPool :
>>>     fatal error on line 0, column 0, message:
>>>     unable to connect socket for URL
>>>     'https://metadata.gakunin.nii.ac.jp/gakunin-test-metadata.xml'
>>> 2012-12-28 10:19:41
>>>     ERROR OpenSAML.MetadataProvider.XML :
>>>     error while loading resource
>>>     (https://metadata.gakunin.nii.ac.jp/gakunin-test-metadata.xml):
>>>     XML error(s) during parsing, check log for specifics
>>> 2012-12-28 10:19:41
>>>     WARN OpenSAML.MetadataProvider.XML :
>>>     adjusted reload interval to 7200 seconds
>>> 2012-12-28 10:19:41
>>>     WARN OpenSAML.MetadataProvider.XML :
>>>     trying backup file, exception loading remote resource:
>>>     XML error(s) during parsing, check log for specifics
>>> 2012-12-28 10:19:41
>>>     ERROR XMLTooling.ParserPool :
>>>     fatal error on line 0, column 0, message:
>>>     unable to open primary document entity
>>> '/var/cache/shibboleth/federation-metadata.xml'
>>> 2012-12-28 10:19:41
>>>     ERROR OpenSAML.MetadataProvider.XML :
>>>     error while loading resource
>>>     (/var/cache/shibboleth/federation-metadata.xml):
>>>     XML error(s) during parsing, check log for specifics
>>> 2012-12-28 10:19:41
>>>     CRIT OpenSAML.MetadataProvider.XML :
>>>     maintaining existing configuration, error reloading resource
>>>     (https://metadata.gakunin.nii.ac.jp/gakunin-test-metadata.xml):
>>>     XML error(s) during parsing, check log for specifics
>>> ---------------------------------------------------------------------
>>>
>>> ●shibboleth2.xml
>>>
>>>  以下のように設定しております。
>>> (1) entityID
>>> ---------------------------------------------------------------------
>>> <!-- The ApplicationDefaults element is where most of Shibboleth's SAML
>>> bits are defined. -->
>>> <ApplicationDefaults entityID="https://sptest.igakuken.or.jp/shibboleth-sp"
>>>     REMOTE_USER="eppn persistent-id targeted-id">
>>> ---------------------------------------------------------------------
>>>
>>> (2) DSサーバの参照
>>> ---------------------------------------------------------------------
>>>      <!-- JSON feed of discovery information. -->
>>>      <Handler type="DiscoveryFeed" Location="/DiscoFeed"/>
>>>      <SessionInitiator type="Chaining" Location="/DS" isDefault="true" id="DS">
>>>        <SessionInitiator type="SAML2" template="bindingTemplate.html"/>
>>>        <SessionInitiator type="Shib1"/>
>>>        <SessionInitiator type="SAMLDS"
>>> URL="https://test-ds.gakunin.nii.ac.jp/WAYF"/>
>>>      </SessionInitiator>
>>> </Sessions>
>>> ---------------------------------------------------------------------
>>>
>>> (3)メタデータの自動更新設定
>>>
>>>  2時間おきにshibd_warn.logに記載されているログは、たぶんここの
>>>  設定にまずいことがあるような気がしますが、いかがでしょう?
>>> ---------------------------------------------------------------------
>>> <!-- Example of remotely supplied batch of signed metadata. -->
>>> <!-- -->
>>> <MetadataProvider type="XML"
>>> uri="https://metadata.gakunin.nii.ac.jp/gakunin-test-metadata.xml"
>>>                  backingFilePath="federation-metadata.xml"
>>> reloadInterval="7200">
>>>      <MetadataFilter type="RequireValidUntil" maxValidityInterval="1296000"/>
>>>      <MetadataFilter type="Signature"
>>> certificate="/etc/shibboleth/cert/gakunin-test-signer-2011.cer"/>
>>> </MetadataProvider>
>>> <!-- -->
>>> ---------------------------------------------------------------------
>>>
>>> (4)サーバ証明書と秘密鍵の指定
>>> ---------------------------------------------------------------------
>>> <!-- Simple file-based resolver for using a single keypair. -->
>>> <CredentialResolver type="File" key="cert/sptest_nopw.key"
>>> certificate="cert/sptest.igakuken.or.jp.cer"/>
>>> ---------------------------------------------------------------------
>>>
>>>  サーバ証明書と秘密鍵は下記のようにちゃんと置いてあります。
>>> .....................................................................
>>> [root@sptest cert]# pwd
>>> /etc/shibboleth/cert
>>> [root@sptest cert]# ls -al
>>> total 20
>>> drwxr-xr-x 2 root root   4096 Dec 27 14:43 .
>>> drwxr-xr-x 3 root root   4096 Dec 28 12:28 ..
>>> -rw-r--r-- 1 root root   1501 Jan 14  2011 gakunin-test-signer-2011.cer
>>> -rw-r--r-- 1 root apache 1781 Dec 27 11:51 sptest.igakuken.or.jp.cer
>>> -r-------- 1 root root   1679 Dec 27 11:51 sptest_nopw.key
>>> .....................................................................
>>>
>>> ●新規SP申請(テストフェデレーション)
>>>
>>>  学認申請システム(テストフェデレーション)から「新規SP申請」を
>>>  行いました。
>>>
>>>  「DSからのリターンURL」に何を記載してよいのかわからず、
>>>  「https://sptest.igakuken.or.jp/」と入力してしまいましたが、
>>>  本メール冒頭にお示しした「●SPの提供サービス」を実現したい
>>>  のであれば、
>>>  「https://sptest.igakuken.or.jp/secure/index.php」を
>>>  入力すべきということになりますでしょうか。
>>>
>>> 恐れ入りますが、以上よろしくお願い致します。

-- 
西村健
国立情報学研究所 TEL:03-4212-2890