[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[upki-fed:00778] Re: 学内用SP構築に関する質問



土屋様

情報ありがとうございます。この部分が問題なわけではないとわかり、
一つ条件が絞れました。

あとは、テスト用にSPをオレオレ証明書で構築している件が影響しているかどうかを知りたいと思います。

よろしくお願い致します。

細川


(2014/03/10 7:40), TSUCHIYA Masatoshi wrote:
>>> On Sun, 09 Mar 2014 16:15:05 +0900
>>> xxxxxxxx@xxxxxxxxxxxxxx (Tatsumi Hosokawa) said as follows:
> 
>> 学内システムとして構築する場合の設定
>> https://meatwiki.nii.ac.jp/confluence/pages/viewpage.action?pageId=12158282
> 
>> を見ながら設定してみたのですが、少々うまくいかずに躓いています。
>> そこでこのページの内容に関する確認がいくつかあります。
> 
>> 1. SPのshibboleth2.xmlの設定のところで、
>> 「認証要求先のIdPを設定し、DSの参照設定を無効にします。」
>> とありますが、yum install shibbolethでインストールした2.5.3-1.1では、
>> shibboleth2.xmlの中に、コメントアウトすべき
>> <SessionInitiator type="Chaining" Location="/DS" isDefault="true " id="DS">
>> <SessionInitiator type="SAML2" template="bindingTemplate.html"/>
>> <SessionInitiator type="Shib1"/>
>> <SessionInitiator type="SAMLDS" URL="https://test-ds.gakunin.nii.ac.jp/WAYF"/>
>> </SessionInitiator>
>> という部分が見当たりません(example-shibboleth2.xmlの中にはあるようです)。
>> これは何もしないまま放置して良いのでしょうか?
>> それともどこか他の部分をいじる必要があるのでしょうか?
> 
>> 2. IdPのrelying-party.xmlの設定のところで、
>> 「配置したSPのメタデータファイルを参照する設定を追加し、フェデレーションのメタデータ設定を外します。」
>> とありますが、これは両方残した状態ではいけないのでしょうか?
>> フェデレーションのメタデータ設定を外してしまうと学認のIdPとして使えなくなってしまうのでは?
>> と思ってしまいます。
> 
> こちらだけ.両方残せますよ.当方は,以下のような設定で使ってます.
> 
>      <MetadataProvider id="ShibbolethMetadata" xsi:type="ChainingMetadataProvider" xmlns="urn:mace:shibboleth:2.0:metadata">
>          <MetadataProvider id="LocalMD" xsi:type="FilesystemMetadataProvider"
> 			  metadataFile="/opt/shibboleth/metadata/local-federation.xml" />
>          <MetadataProvider id="GakuninMD" xsi:type="FileBackedHTTPMetadataProvider"
>                            metadataURL="https://metadata.gakunin.nii.ac.jp/gakunin-metadata.xml"
>                            backingFile="/opt/shibboleth/metadata/gakunin-metadata.xml">
>              <MetadataFilter xsi:type="ChainingFilter">
>                  <MetadataFilter xsi:type="RequiredValidUntil" maxValidityInterval="P15D" />
>                  <MetadataFilter xsi:type="SignatureValidation" requireSignedMetadata="true"
> 				trustEngineRef="shibboleth.MetadataTrustEngine" />
> 	        <MetadataFilter xsi:type="EntityRoleWhiteList">
>                      <RetainedRole>samlmd:SPSSODescriptor</RetainedRole>
>                  </MetadataFilter>
>              </MetadataFilter>
>          </MetadataProvider>
>      </MetadataProvider>
> 


-- 
慶應義塾ITC本部  細川達己  xxxxxxxx@xxxxxxxxxxxxxx
Tel. 03-5427-1685  Fax. 03-5427-1722