[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[upki-fed:00734] FileBackedHTTPMetadataProvider
- Subject: [upki-fed:00734] FileBackedHTTPMetadataProvider
- Date: Sun, 15 Dec 2013 23:22:10 +0900
- From: TSUCHIYA Masatoshi <xxxxxxxx@xxxxxx>
土屋です.
IdP の動作ログをチェックしていたら,
15:58:16.475 - WARN [org.opensaml.saml2.binding.security.SAML2AuthnRequestsSignedRule:81] - SPSSODescriptor role metadata for entityID 'https://register-ci.nii.ac.jp/shibboleth-sp' could not be resolved
というログが出ていて,学認の SP に対する認証ができなくなっていることを発
見しました.原因を調べてみたところ,
$ ls -lt /opt/shibboleth/metadata/
-rw-r--r-- 1 tomcat6 tomcat6 1219161 2013-11-08 09:12 gakunin-metadata.xml
というように gakunin-metadata.xml の更新が止まっていて,このメタデータが
無効扱いになっていることが理由でした.とりあえず,緊急に tomcat を再起動
してみると,
$ ls -lt /opt/shibboleth/metadata/
-rw-r--r-- 1 tomcat6 tomcat6 1321416 2013-12-15 22:49 gakunin-metadata.xml
というように gakunin-metadata.xml が更新されて,無事に認証できるようにな
りました.
とりあえず,暫定的な対応は行ったのですが,再発しないかが心配です.
relying-party.xml には以下のように記述してあります.
<MetadataProvider id="GakuninMD" xsi:type="FileBackedHTTPMetadataProvider"
metadataURL="https://metadata.gakunin.nii.ac.jp/gakunin-metadata.xml"
backingFile="/opt/shibboleth/metadata/gakunin-metadata.xml">
<MetadataFilter xsi:type="ChainingFilter">
<MetadataFilter xsi:type="RequiredValidUntil" maxValidityInterval="P15D" />
<MetadataFilter xsi:type="SignatureValidation" requireSignedMetadata="true"
trustEngineRef="shibboleth.MetadataTrustEngine" />
<MetadataFilter xsi:type="EntityRoleWhiteList">
<RetainedRole>samlmd:SPSSODescriptor</RetainedRole>
</MetadataFilter>
</MetadataFilter>
</MetadataProvider>
これで,
https://wiki.shibboleth.net/confluence/display/SHIB2/IdPMetadataProvider
の記述を信じると,maxRefreshDelay の default 値(PT4H)に,
refreshDelayFactor の default 値(0.75)を乗じた値(PT3H),つまり3時間おきに
gakunin-metadata.xml を download するはずだと思っていたのですが.
どこが悪いのでしょう? コメントお願いします.
--
土屋 雅稔 ( TSUCHIYA Masatoshi )