[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[upki-fed:00734] FileBackedHTTPMetadataProvider



土屋です.

IdP の動作ログをチェックしていたら,

15:58:16.475 - WARN [org.opensaml.saml2.binding.security.SAML2AuthnRequestsSignedRule:81] - SPSSODescriptor role metadata for entityID 'https://register-ci.nii.ac.jp/shibboleth-sp' could not be resolved

というログが出ていて,学認の SP に対する認証ができなくなっていることを発
見しました.原因を調べてみたところ,

$ ls -lt /opt/shibboleth/metadata/
-rw-r--r-- 1 tomcat6 tomcat6 1219161 2013-11-08 09:12 gakunin-metadata.xml

というように gakunin-metadata.xml の更新が止まっていて,このメタデータが
無効扱いになっていることが理由でした.とりあえず,緊急に tomcat を再起動
してみると,

$ ls -lt /opt/shibboleth/metadata/
-rw-r--r-- 1 tomcat6 tomcat6 1321416 2013-12-15 22:49 gakunin-metadata.xml

というように gakunin-metadata.xml が更新されて,無事に認証できるようにな
りました.

とりあえず,暫定的な対応は行ったのですが,再発しないかが心配です.
relying-party.xml には以下のように記述してあります.

<MetadataProvider id="GakuninMD" xsi:type="FileBackedHTTPMetadataProvider"
                  metadataURL="https://metadata.gakunin.nii.ac.jp/gakunin-metadata.xml"
                  backingFile="/opt/shibboleth/metadata/gakunin-metadata.xml">
    <MetadataFilter xsi:type="ChainingFilter">
        <MetadataFilter xsi:type="RequiredValidUntil" maxValidityInterval="P15D" />
        <MetadataFilter xsi:type="SignatureValidation" requireSignedMetadata="true"
			trustEngineRef="shibboleth.MetadataTrustEngine" />
        <MetadataFilter xsi:type="EntityRoleWhiteList">
            <RetainedRole>samlmd:SPSSODescriptor</RetainedRole>
        </MetadataFilter>
    </MetadataFilter>
</MetadataProvider>

これで,

    https://wiki.shibboleth.net/confluence/display/SHIB2/IdPMetadataProvider

の記述を信じると,maxRefreshDelay の default 値(PT4H)に,
refreshDelayFactor の default 値(0.75)を乗じた値(PT3H),つまり3時間おきに
gakunin-metadata.xml を download するはずだと思っていたのですが.

どこが悪いのでしょう? コメントお願いします.

-- 
土屋 雅稔 ( TSUCHIYA Masatoshi )