[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[upki-fed:00600] Re: SPで"unable to connect socket" ERROR (Test Fed.)
- Subject: [upki-fed:00600] Re: SPで"unable to connect socket" ERROR (Test Fed.)
- Date: Fri, 28 Dec 2012 17:46:41 +0900
- From: Akazawa TS <xxxxxxxx@xxxxxxxxxxxxxx>
西村様、学認の皆様
都医学研の赤沢です。
まずは結論を書かせていただくと、うまくいきました!
SPにアクセス後、IdPの選択画面となり GakuninのテストIdP を
選びました。
ID/Passwordとして何を入力すべきか立ち往生しましたが、
↓のサイトの「5.ログイン」の【実習セミナー】に書いてあるものを
試しに入力してみました。
https://www.gakunin.jp/docs/fed/technical/sp/customize/sp-test2
すると、PHPプログラムで用意しておいた「属性受信の確認ページ」
が見事に表示されました!
明日からの冬休みを北陸の陰鬱な空模様のように過ごさねば
ならぬのかと落胆しておりましたが、おかげで明るく正月を
迎えられます。どうもありがとうございました。
※北陸の方々を揶揄するつもりはありません。
私自身が北陸の出なので田舎を思い出しつつ表現してみました。
以下、報告させていただきます。
> 西村です。
>
> shibdのメタデータ取得のタイムアウトが何秒か確認していませんが、
> wgetよりも短い(16秒よりも短い)ので、shibdでのみタイムアウトして
> しまったということのようですね。
はい、私の手違いでお騒がせしてしまい申し訳ありませんでした。
>> 案の定、以下のような WAN/ERROR/CRIT が shibd_warn.log に記載されて
>> いました。2時間ごとの "unnable to connect socket" とは別の現象の
>> ようです。
>
> 最初の2つのWARNは設定上の注意喚起で、そのままでも動くはずですので
> ひとまず無視してください。
承知しました。
>> Unable to load private key from file
>> (/etc/shibboleth/cert/sptest_nopw.key).
>
> SP 2.5から、shibdはrootではなくshibdという専用ユーザで起動する
> ようになっております
> https://www.gakunin.jp/ml-archives/upki-fed/msg00422.html
> ので、/etc/shibboleth/cert/sptest_nopw.keyの所有者をshibdに
> 変更してみてください。
所有者と所属を shibd にしてみました。
そして、shibd と httpd を restart させました。
shibd_warn.log を見てみると、次の WARN だけとなっており
ERROR/CRIT は発生していませんでした。
----------------------------------------------------------------------
2012-12-28 17:12:33
WARN Shibboleth.Application :
insecure cookieProps setting, set to "https" for SSL/TLS-only usage
2012-12-28 17:12:33
WARN Shibboleth.Application :
handlerSSL should be enabled for SSL/TLS-enabled web sites
----------------------------------------------------------------------
> 先のメールで見逃しておりました。
>
>>>> 「DSからのリターンURL」に何を記載してよいのかわからず、
>>>> 「https://sptest.igakuken.or.jp/」と入力してしまいましたが、
>>>> 本メール冒頭にお示しした「●SPの提供サービス」を実現したい
>>>> のであれば、
>>>> 「https://sptest.igakuken.or.jp/secure/index.php」を
>>>> 入力すべきということになりますでしょうか。
>
> マニュアルに記載しているところですが、学認の技術ガイド通りの
> 設定であれば
> https://sptest.igakuken.or.jp/Shibboleth.sso/DS
> を設定してください。
学認申請システムにて、お教えいただいたURLに更新しました。
「入力例」とあったので私は勘違いして「Shibboleth.sso/DS」部分が
「例」であって、その部分を自前のSPに合わせて入力するものだと
思っていました。「例」はドメイン名部分のことだったのですね。
前回の テスト用IdPの折りは NIIの停電前に滑り込みでつなげることが
でき、今回は冬休み前に滑り込ませていただき本当にありがとうござい
ました。
来年は早々に運用フェデレーションに参加させていただきたいと
考えております。今後ともよろしくお願い致します。
--
赤沢
(公財)東京都医学総合研究所 情報システム室
> 詳細の説明は避けますが、
> SP→DS→SP→IdP→SP
> という流れになっており、DSからSPに遷移する先は最終目的地(index.php)でなく、
> さらにIdPに遷移するため、Shibboleth SPが用意しているエンドポイントになります。
>
>
> (2012/12/28 16:16), Akazawa TS wrote:
>> 西村様、皆様
>>
>> 都医学研の赤沢です。
>> 早速にお返事をいただきありがとうございます。
>>
>>> 赤沢様
>>> NIIの西村です。テストフェデレーションのご利用ありがとうございます。
>>>
>>> ログを見ると、フェデレーションのメタデータの取得に失敗しているようです。("unable to connect socket for URL")
>>> 当該マシンで以下のコマンドを実行して、メタデータが取得できるか確認
>>> いただけますでしょうか?
>>> $ wget https://metadata.gakunin.nii.ac.jp/gakunin-test-metadata.xml
>>
>> 以下のとおり、取得できています。
>> ------------------------------------------------------------------------------
>> [root@sptest ~]# wget
>> https://metadata.gakunin.nii.ac.jp/gakunin-test-metadata.xml
>> --2012-12-28 15:52:17--
>> https://metadata.gakunin.nii.ac.jp/gakunin-test-metadata.xml
>> Resolving metadata.gakunin.nii.ac.jp... 157.1.72.50
>> Connecting to metadata.gakunin.nii.ac.jp|157.1.72.50|:443... connected.
>> HTTP request sent, awaiting response... 200 OK
>> Length: 1608513 (1.5M) [text/xml]
>> Saving to: `gakunin-test-metadata.xml.1'
>>
>> 100%[===============================================================>]
>> 1,608,513 8.62M/s in 0.2s
>>
>> 2012-12-28 15:52:32 (8.62 MB/s) - `gakunin-test-metadata.xml.1' saved
>> [1608513/1608513]
>> ------------------------------------------------------------------------------
>>
>> 但し、(自分で数えて)コマンド発行から取得まで16秒かかっています。
>> 「Resolving metadata.gakunin.nii.ac.jp...」のところで時間がかかって
>> いるので、試しに dig で試したところ、名前解決に 16秒かかることが
>> わかりました。
>>
>> /etc/resolv.conf の設定に不備があり、正しく設定したところ、
>> https://metadata.gakunin.nii.ac.jp/gakunin-test-metadata.xml は
>> すぐに取得できるようになりました。
>>
>> そして、次のように shibdと httpd とを再起動させました。
>> -------------------------------------------------------------------
>> # service shibd restart
>> Stopping shibd: [ OK ]
>> Starting shibd: [ OK ]
>> # service httpd restart
>> Stopping httpd: [ OK ]
>> Starting httpd: [ OK ]
>> -------------------------------------------------------------------
>> shibd の starting には数秒かかりました。
>>
>> 案の定、以下のような WAN/ERROR/CRIT が shibd_warn.log に記載されて
>> いました。2時間ごとの "unnable to connect socket" とは別の現象の
>> ようです。
>> -------------------------------------------------------------------
>> 2012-12-28 16:07:14 WARN Shibboleth.Application : insecure cookieProps
>> setting, set to "https" for SSL/TLS-only usage
>> 2012-12-28 16:07:14 WARN Shibboleth.Application : handlerSSL should be
>> enabled for SSL/TLS-enabled web sites
>> 2012-12-28 16:07:15 ERROR OpenSSL : error code: 33558541 in bss_file.c,
>> line 352
>> 2012-12-28 16:07:15 ERROR OpenSSL : error data:
>> fopen('/etc/shibboleth/cert/sptest_nopw.key','r')
>> 2012-12-28 16:07:15 ERROR OpenSSL : error code: 537346050 in bss_file.c,
>> line 354
>> 2012-12-28 16:07:15 CRIT Shibboleth.Application : error building
>> CredentialResolver: Unable to load private key from file
>> (/etc/shibboleth/cert/sptest_nopw.key).
>> -------------------------------------------------------------------
>>
>>> ***
>>>
>>> 別件ながら、以前aacli.shの実行について報告されたことがあったかと思います。
>>> その際、aacli.shの実行に当たって
>>> [upki-fed:00419] aacli.shが実行できない場合の対処方法
>>> https://www.gakunin.jp/ml-archives/upki-fed/msg00407.html
>>> で書きましたような対処は必要でしたでしょうか?最近のバージョンでは
>>> 変わっている可能性がありましたので、時期を逸しており申し訳ありません
>>> が、情報提供いただけましたら幸いです。
>>
>> aacli.sh は使ったことがないのと、探してみましたが
>> 見つかりません。。。
>>
>> [root@sptest ~]# find /etc -name aacli* -print
>> [root@sptest ~]# find /opt -name aacli* -print
>> [root@sptest ~]# find /var -name aacli* -print
>> [root@sptest ~]# find /usr -name aacli* -print
>> [root@sptest ~]# find / -name aacli* -print
>> [root@sptest ~]#
>>
>> idttest.igakuken.or.jp は dump してバックアップディスクに
>> 保存してありますが、今は 同一サーバを使って、新たに
>> ディスクフォーマットしてから sptest.igakuken.or.jpを
>> 立ち上げていますので、すぐに試すこともできないのが現状です。
>>
>> 引き続きご助言いただける有り難く思います。
>>
>> --
>> 赤沢
>> (公財)東京都医学総合研究所 情報システム室
>>
>>> (2012/12/28 12:39), Akazawa TS wrote:
>>>> 学認の皆様
>>>>
>>>> いつもお世話になります。
>>>> 都医学研の赤沢です。
>>>>
>>>> 現在、テストフェデレーションに参加させていただいております。
>>>> テスト用IdPについては先日助けていただき稼働させることが
>>>> できました。
>>>>
>>>> 今回、技術ガイドに沿って、新たにテスト用SP(以下 SP)を立ち
>>>> 上げようとしております。
>>>>
>>>> shibd をstart させた時点で shibbolethのログファイル (/var/log/
>>>> shibboleth/shibd_warn.log) に多数の WARN/ERROR/CRIT が記録され
>>>> 残念ながら行き詰まっております。恐れ入りますがご助言をお願い
>>>> できますでしょうか。
>>>>
>>>> ●SPの提供サービス
>>>>
>>>> 技術ガイドの「IdPとSP接続確認」のページに記載の「属性確認用の
>>>> 簡単なPHPプログラム」をダウンロードし、/var/www/html/secure/
>>>> index.php として置きました。
>>>>
>>>> ●SP用サーバの環境
>>>>
>>>> OS: CentOS 5.4 (32bit)
>>>> HTTP Server : Apache 2.2.3
>>>> PHP: 5.1.6
>>>> shibboleth: 2.5.1
>>>> インストールと設定作業はrootで行いました。
>>>>
>>>> ●クライアントの環境
>>>>
>>>> OS: MacOS X 10.7.5
>>>> ブラウザ: Firefox 17.0.1
>>>>
>>>> ●認証不要のwebコンテンツは閲覧可
>>>>
>>>> https://sptest.igakuken.or.jp/dummy.html
>>>>
>>>> ●shibd_warn.log
>>>>
>>>> 昨夕に shibd を稼働させた時点で WARN/ERROR/CRIT が
>>>> 発生しましたが、今朝ログを見ると2時間ごとに発生している
>>>> ものについてとりあえず掲載させていただきます。
>>>> 見やすいように適宜改行を入れ、継続行は半角スペースでインデント
>>>> しておきます。
>>>> ---------------------------------------------------------------------
>>>> 2012-12-28 10:19:41
>>>> ERROR XMLTooling.ParserPool :
>>>> fatal error on line 0, column 0, message:
>>>> unable to connect socket for URL
>>>> 'https://metadata.gakunin.nii.ac.jp/gakunin-test-metadata.xml'
>>>> 2012-12-28 10:19:41
>>>> ERROR OpenSAML.MetadataProvider.XML :
>>>> error while loading resource
>>>> (https://metadata.gakunin.nii.ac.jp/gakunin-test-metadata.xml):
>>>> XML error(s) during parsing, check log for specifics
>>>> 2012-12-28 10:19:41
>>>> WARN OpenSAML.MetadataProvider.XML :
>>>> adjusted reload interval to 7200 seconds
>>>> 2012-12-28 10:19:41
>>>> WARN OpenSAML.MetadataProvider.XML :
>>>> trying backup file, exception loading remote resource:
>>>> XML error(s) during parsing, check log for specifics
>>>> 2012-12-28 10:19:41
>>>> ERROR XMLTooling.ParserPool :
>>>> fatal error on line 0, column 0, message:
>>>> unable to open primary document entity
>>>> '/var/cache/shibboleth/federation-metadata.xml'
>>>> 2012-12-28 10:19:41
>>>> ERROR OpenSAML.MetadataProvider.XML :
>>>> error while loading resource
>>>> (/var/cache/shibboleth/federation-metadata.xml):
>>>> XML error(s) during parsing, check log for specifics
>>>> 2012-12-28 10:19:41
>>>> CRIT OpenSAML.MetadataProvider.XML :
>>>> maintaining existing configuration, error reloading resource
>>>> (https://metadata.gakunin.nii.ac.jp/gakunin-test-metadata.xml):
>>>> XML error(s) during parsing, check log for specifics
>>>> ---------------------------------------------------------------------
>>>>
>>>> ●shibboleth2.xml
>>>>
>>>> 以下のように設定しております。
>>>> (1) entityID
>>>> ---------------------------------------------------------------------
>>>> <!-- The ApplicationDefaults element is where most of Shibboleth's SAML
>>>> bits are defined. -->
>>>> <ApplicationDefaults entityID="https://sptest.igakuken.or.jp/shibboleth-sp"
>>>> REMOTE_USER="eppn persistent-id targeted-id">
>>>> ---------------------------------------------------------------------
>>>>
>>>> (2) DSサーバの参照
>>>> ---------------------------------------------------------------------
>>>> <!-- JSON feed of discovery information. -->
>>>> <Handler type="DiscoveryFeed" Location="/DiscoFeed"/>
>>>> <SessionInitiator type="Chaining" Location="/DS" isDefault="true" id="DS">
>>>> <SessionInitiator type="SAML2" template="bindingTemplate.html"/>
>>>> <SessionInitiator type="Shib1"/>
>>>> <SessionInitiator type="SAMLDS"
>>>> URL="https://test-ds.gakunin.nii.ac.jp/WAYF"/>
>>>> </SessionInitiator>
>>>> </Sessions>
>>>> ---------------------------------------------------------------------
>>>>
>>>> (3)メタデータの自動更新設定
>>>>
>>>> 2時間おきにshibd_warn.logに記載されているログは、たぶんここの
>>>> 設定にまずいことがあるような気がしますが、いかがでしょう?
>>>> ---------------------------------------------------------------------
>>>> <!-- Example of remotely supplied batch of signed metadata. -->
>>>> <!-- -->
>>>> <MetadataProvider type="XML"
>>>> uri="https://metadata.gakunin.nii.ac.jp/gakunin-test-metadata.xml"
>>>> backingFilePath="federation-metadata.xml"
>>>> reloadInterval="7200">
>>>> <MetadataFilter type="RequireValidUntil" maxValidityInterval="1296000"/>
>>>> <MetadataFilter type="Signature"
>>>> certificate="/etc/shibboleth/cert/gakunin-test-signer-2011.cer"/>
>>>> </MetadataProvider>
>>>> <!-- -->
>>>> ---------------------------------------------------------------------
>>>>
>>>> (4)サーバ証明書と秘密鍵の指定
>>>> ---------------------------------------------------------------------
>>>> <!-- Simple file-based resolver for using a single keypair. -->
>>>> <CredentialResolver type="File" key="cert/sptest_nopw.key"
>>>> certificate="cert/sptest.igakuken.or.jp.cer"/>
>>>> ---------------------------------------------------------------------
>>>>
>>>> サーバ証明書と秘密鍵は下記のようにちゃんと置いてあります。
>>>> .....................................................................
>>>> [root@sptest cert]# pwd
>>>> /etc/shibboleth/cert
>>>> [root@sptest cert]# ls -al
>>>> total 20
>>>> drwxr-xr-x 2 root root 4096 Dec 27 14:43 .
>>>> drwxr-xr-x 3 root root 4096 Dec 28 12:28 ..
>>>> -rw-r--r-- 1 root root 1501 Jan 14 2011 gakunin-test-signer-2011.cer
>>>> -rw-r--r-- 1 root apache 1781 Dec 27 11:51 sptest.igakuken.or.jp.cer
>>>> -r-------- 1 root root 1679 Dec 27 11:51 sptest_nopw.key
>>>> .....................................................................
>>>>
>>>> ●新規SP申請(テストフェデレーション)
>>>>
>>>> 学認申請システム(テストフェデレーション)から「新規SP申請」を
>>>> 行いました。
>>>>
>>>> 「DSからのリターンURL」に何を記載してよいのかわからず、
>>>> 「https://sptest.igakuken.or.jp/」と入力してしまいましたが、
>>>> 本メール冒頭にお示しした「●SPの提供サービス」を実現したい
>>>> のであれば、
>>>> 「https://sptest.igakuken.or.jp/secure/index.php」を
>>>> 入力すべきということになりますでしょうか。
>>>>
>>>> 恐れ入りますが、以上よろしくお願い致します。
>