[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[upki-fed:00600] Re: SPで"unable to connect socket" ERROR (Test Fed.)



西村様、学認の皆様

 都医学研の赤沢です。

 まずは結論を書かせていただくと、うまくいきました!
 SPにアクセス後、IdPの選択画面となり GakuninのテストIdP を
 選びました。

 ID/Passwordとして何を入力すべきか立ち往生しましたが、
 ↓のサイトの「5.ログイン」の【実習セミナー】に書いてあるものを
 試しに入力してみました。
https://www.gakunin.jp/docs/fed/technical/sp/customize/sp-test2

 すると、PHPプログラムで用意しておいた「属性受信の確認ページ」
 が見事に表示されました!

 明日からの冬休みを北陸の陰鬱な空模様のように過ごさねば
 ならぬのかと落胆しておりましたが、おかげで明るく正月を
 迎えられます。どうもありがとうございました。

 ※北陸の方々を揶揄するつもりはありません。
  私自身が北陸の出なので田舎を思い出しつつ表現してみました。

 以下、報告させていただきます。

> 西村です。
> 
> shibdのメタデータ取得のタイムアウトが何秒か確認していませんが、
> wgetよりも短い(16秒よりも短い)ので、shibdでのみタイムアウトして
> しまったということのようですね。

 はい、私の手違いでお騒がせしてしまい申し訳ありませんでした。

>>  案の定、以下のような WAN/ERROR/CRIT が shibd_warn.log に記載されて
>>  いました。2時間ごとの "unnable to connect socket" とは別の現象の
>>  ようです。
> 
> 最初の2つのWARNは設定上の注意喚起で、そのままでも動くはずですので
> ひとまず無視してください。

 承知しました。

>> Unable to load private key from file
>> (/etc/shibboleth/cert/sptest_nopw.key).
> 
> SP 2.5から、shibdはrootではなくshibdという専用ユーザで起動する
> ようになっております
> https://www.gakunin.jp/ml-archives/upki-fed/msg00422.html
> ので、/etc/shibboleth/cert/sptest_nopw.keyの所有者をshibdに
> 変更してみてください。

 所有者と所属を shibd にしてみました。
 そして、shibd と httpd を restart させました。

 shibd_warn.log を見てみると、次の WARN だけとなっており
 ERROR/CRIT は発生していませんでした。
----------------------------------------------------------------------
2012-12-28 17:12:33
 WARN Shibboleth.Application :
 insecure cookieProps setting, set to "https" for SSL/TLS-only usage
2012-12-28 17:12:33
 WARN Shibboleth.Application :
 handlerSSL should be enabled for SSL/TLS-enabled web sites
----------------------------------------------------------------------

> 先のメールで見逃しておりました。
> 
>>>>  「DSからのリターンURL」に何を記載してよいのかわからず、
>>>>  「https://sptest.igakuken.or.jp/」と入力してしまいましたが、
>>>>  本メール冒頭にお示しした「●SPの提供サービス」を実現したい
>>>>  のであれば、
>>>>  「https://sptest.igakuken.or.jp/secure/index.php」を
>>>>  入力すべきということになりますでしょうか。
> 
> マニュアルに記載しているところですが、学認の技術ガイド通りの
> 設定であれば
> 	https://sptest.igakuken.or.jp/Shibboleth.sso/DS
> を設定してください。

 学認申請システムにて、お教えいただいたURLに更新しました。

 「入力例」とあったので私は勘違いして「Shibboleth.sso/DS」部分が
 「例」であって、その部分を自前のSPに合わせて入力するものだと
 思っていました。「例」はドメイン名部分のことだったのですね。

 前回の テスト用IdPの折りは NIIの停電前に滑り込みでつなげることが
 でき、今回は冬休み前に滑り込ませていただき本当にありがとうござい
 ました。

 来年は早々に運用フェデレーションに参加させていただきたいと
 考えております。今後ともよろしくお願い致します。

--
赤沢
(公財)東京都医学総合研究所 情報システム室

> 詳細の説明は避けますが、
> SP→DS→SP→IdP→SP
> という流れになっており、DSからSPに遷移する先は最終目的地(index.php)でなく、
> さらにIdPに遷移するため、Shibboleth SPが用意しているエンドポイントになります。
> 
> 
> (2012/12/28 16:16), Akazawa TS wrote:
>> 西村様、皆様
>>
>>  都医学研の赤沢です。
>>  早速にお返事をいただきありがとうございます。
>>
>>> 赤沢様
>>> NIIの西村です。テストフェデレーションのご利用ありがとうございます。
>>>
>>> ログを見ると、フェデレーションのメタデータの取得に失敗しているようです。("unable to connect socket for URL")
>>> 当該マシンで以下のコマンドを実行して、メタデータが取得できるか確認
>>> いただけますでしょうか?
>>> $ wget https://metadata.gakunin.nii.ac.jp/gakunin-test-metadata.xml
>>
>>  以下のとおり、取得できています。
>> ------------------------------------------------------------------------------
>> [root@sptest ~]# wget
>> https://metadata.gakunin.nii.ac.jp/gakunin-test-metadata.xml
>> --2012-12-28 15:52:17--
>> https://metadata.gakunin.nii.ac.jp/gakunin-test-metadata.xml
>> Resolving metadata.gakunin.nii.ac.jp... 157.1.72.50
>> Connecting to metadata.gakunin.nii.ac.jp|157.1.72.50|:443... connected.
>> HTTP request sent, awaiting response... 200 OK
>> Length: 1608513 (1.5M) [text/xml]
>> Saving to: `gakunin-test-metadata.xml.1'
>>
>> 100%[===============================================================>]
>> 1,608,513   8.62M/s   in 0.2s
>>
>> 2012-12-28 15:52:32 (8.62 MB/s) - `gakunin-test-metadata.xml.1' saved
>> [1608513/1608513]
>> ------------------------------------------------------------------------------
>>
>>  但し、(自分で数えて)コマンド発行から取得まで16秒かかっています。
>>  「Resolving metadata.gakunin.nii.ac.jp...」のところで時間がかかって
>>  いるので、試しに dig で試したところ、名前解決に 16秒かかることが
>>  わかりました。
>>
>>  /etc/resolv.conf の設定に不備があり、正しく設定したところ、
>>  https://metadata.gakunin.nii.ac.jp/gakunin-test-metadata.xml は
>>  すぐに取得できるようになりました。
>>
>>  そして、次のように shibdと httpd とを再起動させました。
>> -------------------------------------------------------------------
>> # service shibd restart
>> Stopping shibd:                                            [  OK  ]
>> Starting shibd:                                            [  OK  ]
>> # service httpd restart
>> Stopping httpd:                                            [  OK  ]
>> Starting httpd:                                            [  OK  ]
>> -------------------------------------------------------------------
>>  shibd の starting には数秒かかりました。
>>
>>  案の定、以下のような WAN/ERROR/CRIT が shibd_warn.log に記載されて
>>  いました。2時間ごとの "unnable to connect socket" とは別の現象の
>>  ようです。
>> -------------------------------------------------------------------
>> 2012-12-28 16:07:14 WARN Shibboleth.Application : insecure cookieProps
>> setting, set to "https" for SSL/TLS-only usage
>> 2012-12-28 16:07:14 WARN Shibboleth.Application : handlerSSL should be
>> enabled for SSL/TLS-enabled web sites
>> 2012-12-28 16:07:15 ERROR OpenSSL : error code: 33558541 in bss_file.c,
>> line 352
>> 2012-12-28 16:07:15 ERROR OpenSSL : error data:
>> fopen('/etc/shibboleth/cert/sptest_nopw.key','r')
>> 2012-12-28 16:07:15 ERROR OpenSSL : error code: 537346050 in bss_file.c,
>> line 354
>> 2012-12-28 16:07:15 CRIT Shibboleth.Application : error building
>> CredentialResolver: Unable to load private key from file
>> (/etc/shibboleth/cert/sptest_nopw.key).
>> -------------------------------------------------------------------
>>
>>>      ***
>>>
>>> 別件ながら、以前aacli.shの実行について報告されたことがあったかと思います。
>>> その際、aacli.shの実行に当たって
>>>  [upki-fed:00419] aacli.shが実行できない場合の対処方法
>>>  https://www.gakunin.jp/ml-archives/upki-fed/msg00407.html
>>> で書きましたような対処は必要でしたでしょうか?最近のバージョンでは
>>> 変わっている可能性がありましたので、時期を逸しており申し訳ありません
>>> が、情報提供いただけましたら幸いです。
>>
>>  aacli.sh は使ったことがないのと、探してみましたが
>>  見つかりません。。。
>>
>> [root@sptest ~]# find /etc -name aacli* -print
>> [root@sptest ~]# find /opt -name aacli* -print
>> [root@sptest ~]# find /var -name aacli* -print
>> [root@sptest ~]# find /usr -name aacli* -print
>> [root@sptest ~]# find / -name aacli* -print
>> [root@sptest ~]#
>>
>>  idttest.igakuken.or.jp は dump してバックアップディスクに
>>  保存してありますが、今は 同一サーバを使って、新たに
>>  ディスクフォーマットしてから sptest.igakuken.or.jpを
>>  立ち上げていますので、すぐに試すこともできないのが現状です。
>>
>>  引き続きご助言いただける有り難く思います。
>>
>> --
>> 赤沢
>> (公財)東京都医学総合研究所 情報システム室
>>
>>> (2012/12/28 12:39), Akazawa TS wrote:
>>>> 学認の皆様
>>>>
>>>>  いつもお世話になります。
>>>>  都医学研の赤沢です。
>>>>
>>>>  現在、テストフェデレーションに参加させていただいております。
>>>>  テスト用IdPについては先日助けていただき稼働させることが
>>>>  できました。
>>>>
>>>>  今回、技術ガイドに沿って、新たにテスト用SP(以下 SP)を立ち
>>>>  上げようとしております。
>>>>
>>>>  shibd をstart させた時点で shibbolethのログファイル (/var/log/
>>>>  shibboleth/shibd_warn.log) に多数の WARN/ERROR/CRIT が記録され
>>>>  残念ながら行き詰まっております。恐れ入りますがご助言をお願い
>>>>  できますでしょうか。
>>>>
>>>> ●SPの提供サービス
>>>>
>>>>  技術ガイドの「IdPとSP接続確認」のページに記載の「属性確認用の
>>>>  簡単なPHPプログラム」をダウンロードし、/var/www/html/secure/
>>>>  index.php として置きました。
>>>>
>>>> ●SP用サーバの環境
>>>>
>>>>  OS: CentOS 5.4 (32bit)
>>>>  HTTP Server : Apache 2.2.3
>>>>  PHP: 5.1.6
>>>>  shibboleth: 2.5.1
>>>>  インストールと設定作業はrootで行いました。
>>>>
>>>> ●クライアントの環境
>>>>
>>>>  OS: MacOS X 10.7.5
>>>>  ブラウザ: Firefox 17.0.1
>>>>
>>>> ●認証不要のwebコンテンツは閲覧可
>>>>
>>>>  https://sptest.igakuken.or.jp/dummy.html
>>>>
>>>> ●shibd_warn.log
>>>>
>>>>  昨夕に shibd を稼働させた時点で WARN/ERROR/CRIT が
>>>>  発生しましたが、今朝ログを見ると2時間ごとに発生している
>>>>  ものについてとりあえず掲載させていただきます。
>>>>  見やすいように適宜改行を入れ、継続行は半角スペースでインデント
>>>>  しておきます。
>>>> ---------------------------------------------------------------------
>>>> 2012-12-28 10:19:41
>>>>      ERROR XMLTooling.ParserPool :
>>>>      fatal error on line 0, column 0, message:
>>>>      unable to connect socket for URL
>>>>      'https://metadata.gakunin.nii.ac.jp/gakunin-test-metadata.xml'
>>>> 2012-12-28 10:19:41
>>>>      ERROR OpenSAML.MetadataProvider.XML :
>>>>      error while loading resource
>>>>      (https://metadata.gakunin.nii.ac.jp/gakunin-test-metadata.xml):
>>>>      XML error(s) during parsing, check log for specifics
>>>> 2012-12-28 10:19:41
>>>>      WARN OpenSAML.MetadataProvider.XML :
>>>>      adjusted reload interval to 7200 seconds
>>>> 2012-12-28 10:19:41
>>>>      WARN OpenSAML.MetadataProvider.XML :
>>>>      trying backup file, exception loading remote resource:
>>>>      XML error(s) during parsing, check log for specifics
>>>> 2012-12-28 10:19:41
>>>>      ERROR XMLTooling.ParserPool :
>>>>      fatal error on line 0, column 0, message:
>>>>      unable to open primary document entity
>>>> '/var/cache/shibboleth/federation-metadata.xml'
>>>> 2012-12-28 10:19:41
>>>>      ERROR OpenSAML.MetadataProvider.XML :
>>>>      error while loading resource
>>>>      (/var/cache/shibboleth/federation-metadata.xml):
>>>>      XML error(s) during parsing, check log for specifics
>>>> 2012-12-28 10:19:41
>>>>      CRIT OpenSAML.MetadataProvider.XML :
>>>>      maintaining existing configuration, error reloading resource
>>>>      (https://metadata.gakunin.nii.ac.jp/gakunin-test-metadata.xml):
>>>>      XML error(s) during parsing, check log for specifics
>>>> ---------------------------------------------------------------------
>>>>
>>>> ●shibboleth2.xml
>>>>
>>>>  以下のように設定しております。
>>>> (1) entityID
>>>> ---------------------------------------------------------------------
>>>> <!-- The ApplicationDefaults element is where most of Shibboleth's SAML
>>>> bits are defined. -->
>>>> <ApplicationDefaults entityID="https://sptest.igakuken.or.jp/shibboleth-sp"
>>>>      REMOTE_USER="eppn persistent-id targeted-id">
>>>> ---------------------------------------------------------------------
>>>>
>>>> (2) DSサーバの参照
>>>> ---------------------------------------------------------------------
>>>>       <!-- JSON feed of discovery information. -->
>>>>       <Handler type="DiscoveryFeed" Location="/DiscoFeed"/>
>>>>       <SessionInitiator type="Chaining" Location="/DS" isDefault="true" id="DS">
>>>>         <SessionInitiator type="SAML2" template="bindingTemplate.html"/>
>>>>         <SessionInitiator type="Shib1"/>
>>>>         <SessionInitiator type="SAMLDS"
>>>> URL="https://test-ds.gakunin.nii.ac.jp/WAYF"/>
>>>>       </SessionInitiator>
>>>> </Sessions>
>>>> ---------------------------------------------------------------------
>>>>
>>>> (3)メタデータの自動更新設定
>>>>
>>>>  2時間おきにshibd_warn.logに記載されているログは、たぶんここの
>>>>  設定にまずいことがあるような気がしますが、いかがでしょう?
>>>> ---------------------------------------------------------------------
>>>> <!-- Example of remotely supplied batch of signed metadata. -->
>>>> <!-- -->
>>>> <MetadataProvider type="XML"
>>>> uri="https://metadata.gakunin.nii.ac.jp/gakunin-test-metadata.xml"
>>>>                   backingFilePath="federation-metadata.xml"
>>>> reloadInterval="7200">
>>>>       <MetadataFilter type="RequireValidUntil" maxValidityInterval="1296000"/>
>>>>       <MetadataFilter type="Signature"
>>>> certificate="/etc/shibboleth/cert/gakunin-test-signer-2011.cer"/>
>>>> </MetadataProvider>
>>>> <!-- -->
>>>> ---------------------------------------------------------------------
>>>>
>>>> (4)サーバ証明書と秘密鍵の指定
>>>> ---------------------------------------------------------------------
>>>> <!-- Simple file-based resolver for using a single keypair. -->
>>>> <CredentialResolver type="File" key="cert/sptest_nopw.key"
>>>> certificate="cert/sptest.igakuken.or.jp.cer"/>
>>>> ---------------------------------------------------------------------
>>>>
>>>>  サーバ証明書と秘密鍵は下記のようにちゃんと置いてあります。
>>>> .....................................................................
>>>> [root@sptest cert]# pwd
>>>> /etc/shibboleth/cert
>>>> [root@sptest cert]# ls -al
>>>> total 20
>>>> drwxr-xr-x 2 root root   4096 Dec 27 14:43 .
>>>> drwxr-xr-x 3 root root   4096 Dec 28 12:28 ..
>>>> -rw-r--r-- 1 root root   1501 Jan 14  2011 gakunin-test-signer-2011.cer
>>>> -rw-r--r-- 1 root apache 1781 Dec 27 11:51 sptest.igakuken.or.jp.cer
>>>> -r-------- 1 root root   1679 Dec 27 11:51 sptest_nopw.key
>>>> .....................................................................
>>>>
>>>> ●新規SP申請(テストフェデレーション)
>>>>
>>>>  学認申請システム(テストフェデレーション)から「新規SP申請」を
>>>>  行いました。
>>>>
>>>>  「DSからのリターンURL」に何を記載してよいのかわからず、
>>>>  「https://sptest.igakuken.or.jp/」と入力してしまいましたが、
>>>>  本メール冒頭にお示しした「●SPの提供サービス」を実現したい
>>>>  のであれば、
>>>>  「https://sptest.igakuken.or.jp/secure/index.php」を
>>>>  入力すべきということになりますでしょうか。
>>>>
>>>> 恐れ入りますが、以上よろしくお願い致します。
>