[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[upki-fed:00735] Re: FileBackedHTTPMetadataProvider
- Subject: [upki-fed:00735] Re: FileBackedHTTPMetadataProvider
- Date: Mon, 16 Dec 2013 03:53:23 +0900
- From: Takeshi NISHIMURA <xxxxxxx@xxxxxxxxx>
NIIの西村です。
ご報告ありがとうございます。
把握できていなかったのですが2.4.0含めて以下のようなバグがあるようです。
https://issues.shibboleth.net/jira/browse/JOST-220
発生するメカニズムは不明ながら修正が行なわれています。この部分の問題であれば
次のリリースで修正されるはずです。
ともかく、学認が配付するメタデータの有効期間は15日未満ですので、
バッキングファイル(バックアップファイル)の日付が15日以上前なら
あやしいということになります。
なお、現時点での学認メタデータ最新版は 12/12 11:18 前後に発行されたもので、先頭の
validUntilが以下のようになっています。
> validUntil="2013-12-26T14:00:00Z"
IdPを管理しているみなさまは
/opt/shibboleth-idp/metadata/some-metadata.xml
(ファイル名は異なる可能性があります)をチェックしてみることをお勧めします。
> の記述を信じると,maxRefreshDelay の default 値(PT4H)に,
> refreshDelayFactor の default 値(0.75)を乗じた値(PT3H),つまり3時間おきに
> gakunin-metadata.xml を download するはずだと思っていたのですが.
はい、デフォルトの挙動はこれで間違いありません。
2013/12/15 23:22、TSUCHIYA Masatoshi <xxxxxxxx@xxxxxx> のメール:
> 土屋です.
>
> IdP の動作ログをチェックしていたら,
>
> 15:58:16.475 - WARN [org.opensaml.saml2.binding.security.SAML2AuthnRequestsSignedRule:81] - SPSSODescriptor role metadata for entityID 'https://register-ci.nii.ac.jp/shibboleth-sp' could not be resolved
>
> というログが出ていて,学認の SP に対する認証ができなくなっていることを発
> 見しました.原因を調べてみたところ,
>
> $ ls -lt /opt/shibboleth/metadata/
> -rw-r--r-- 1 tomcat6 tomcat6 1219161 2013-11-08 09:12 gakunin-metadata.xml
>
> というように gakunin-metadata.xml の更新が止まっていて,このメタデータが
> 無効扱いになっていることが理由でした.とりあえず,緊急に tomcat を再起動
> してみると,
>
> $ ls -lt /opt/shibboleth/metadata/
> -rw-r--r-- 1 tomcat6 tomcat6 1321416 2013-12-15 22:49 gakunin-metadata.xml
>
> というように gakunin-metadata.xml が更新されて,無事に認証できるようにな
> りました.
>
> とりあえず,暫定的な対応は行ったのですが,再発しないかが心配です.
> relying-party.xml には以下のように記述してあります.
>
> <MetadataProvider id="GakuninMD" xsi:type="FileBackedHTTPMetadataProvider"
> metadataURL="https://metadata.gakunin.nii.ac.jp/gakunin-metadata.xml"
> backingFile="/opt/shibboleth/metadata/gakunin-metadata.xml">
> <MetadataFilter xsi:type="ChainingFilter">
> <MetadataFilter xsi:type="RequiredValidUntil" maxValidityInterval="P15D" />
> <MetadataFilter xsi:type="SignatureValidation" requireSignedMetadata="true"
> trustEngineRef="shibboleth.MetadataTrustEngine" />
> <MetadataFilter xsi:type="EntityRoleWhiteList">
> <RetainedRole>samlmd:SPSSODescriptor</RetainedRole>
> </MetadataFilter>
> </MetadataFilter>
> </MetadataProvider>
>
> これで,
>
> https://wiki.shibboleth.net/confluence/display/SHIB2/IdPMetadataProvider
>
> の記述を信じると,maxRefreshDelay の default 値(PT4H)に,
> refreshDelayFactor の default 値(0.75)を乗じた値(PT3H),つまり3時間おきに
> gakunin-metadata.xml を download するはずだと思っていたのですが.
>
> どこが悪いのでしょう? コメントお願いします.
--
西村健
国立情報学研究所 TEL:03-4212-2890