[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[upki-fed:00783] Re: 学内用SP構築に関する質問



MLの皆様

申し訳ありません、この問題は自己解決しました。

単純に、shibboleth2.xmlのApplicationDefaultsのentityIDに、
SPのURLを書くべきところをついIdPのURLを書いていたというだけの話でした。

# なぜSSO profileなのにIdPのURLが出るのだろうと悩んでいたのですが、
# そもそも大元が間違っていたことに気がつくのに時間がかかってしまいました。

お騒がせして申し訳ありませんでした。

細川

(2014/03/10 19:28), Tatsumi Hosokawa wrote:
> 土屋様、MLの皆様
> 
> ありがとうございます。
> 
> 昨日の状態ではあまりに切り分けができていなくて、
> とてもログを晒せる状態ではありませんでした。
> 少なくともこれは問題では無いよな、ということが皆様のアドバイスで確認できて、
> 本質的ではないエラーを潰すのにとても役に立ちました。ありがとうございます。
> 
> そして、catalina.outの方をちゃんと見ていなかったので見てみると、
> こちらにも色々エラーが出ていたので一つ一つ直しました。
> また、idp-process.logにも本筋に無関係なエラーが出ていたのでそちらも潰しました。
> さらにSP側のshibd.logにもいくつかエラーが出ていたので、潰しました。
> 
> そしてやっとある程度切り分けができてきたのが現在の状況なのですが、
> catalina.outにはエラーの出力はなし。
> SP側のshibd.logやshibd_warn.logも問題なし、
> そしてidp-process.logに次のような未解決のWarningが出ている状態です
> (ブラウザには
> 「SAML 2 SSO profile is not configured for relying party https://gakunin1.keio.ac.jp/shibboleth」
> のエラーメッセージが表示されます)。
> 
> 18:47:22.918 - WARN [org.opensaml.saml2.binding.security.SAML2AuthnRequestsSignedRule:81] - SPSSODescriptor role metadata for entityID 'https://gakunin1.keio.ac.jp/shibboleth' could not be resolved
> 18:47:22.920 - WARN [edu.internet2.middleware.shibboleth.idp.profile.AbstractSAMLProfileHandler:287] - No metadata for relying party https://gakunin1.keio.ac.jp/shibboleth, treating party as anonymous
> 18:47:22.922 - WARN [edu.internet2.middleware.shibboleth.idp.profile.saml2.SSOProfileHandler:220] - SAML 2 SSO profile is not configured for relying party https://gakunin1.keio.ac.jp/shibboleth
> 
> 具体的な設定としては、relying-party.xmlは、metadataの部分を、
> 
>      <metadata:MetadataProvider id="ShibbolethMetadata" xsi:type="metadata:ChainingMetadataProvider">
>          <!-- ここを追加しました -->
>          <metadata:MetadataProvider id="TESTSP1MD" xsi:type="metadata:FilesystemMetadataProvider"
>                                     metadataFile="/opt/shibboleth-idp/metadata/testsp1-metadata.xml" />
>          
>          <metadata:MetadataProvider id="URLMD" xsi:type="metadata:FileBackedHTTPMetadataProvider"
>                            metadataURL="https://metadata.gakunin.nii.ac.jp/gakunin-metadata.xml"
>                            backingFile="/opt/shibboleth-idp/metadata/some-metadata.xml">
>              <metadata:MetadataFilter xsi:type="metadata:ChainingFilter">
>                  <metadata:MetadataFilter xsi:type="metadata:RequiredValidUntil"
>                                  maxValidityInterval="P15D" />
>                  <metadata:MetadataFilter xsi:type="metadata:SignatureValidation"
>                                  trustEngineRef="shibboleth.MetadataTrustEngine"
>                                  requireSignedMetadata="true" />
>                      <metadata:MetadataFilter xsi:type="metadata:EntityRoleWhiteList">
>                      <metadata:RetainedRole>samlmd:SPSSODescriptor</metadata:RetainedRole>
>                  </metadata:MetadataFilter>
>              </metadata:MetadataFilter>
>          </metadata:MetadataProvider>
>      </metadata:MetadataProvider>
> 
> といじっただけです。
> 
> SP側のshibboleth2.xmlでは、/SPConfig/ApplicationDefaultsの、
> @entityIDを"https://gakunin1.keio.ac.jp/shibboleth"に変更し、
> /SPConfig/ApplicationDefaults/Sessions内で、
> 
>              <SSO entityID="https://idp.example.org/idp/shibboleth"
>                   discoveryProtocol="SAMLDS" discoveryURL="https://ds.example.org/DS/WAYF">
>                SAML2 SAML1
>              </SSO>
> 
> となっていた部分を、
> 
>              <SSO entityID="https://gakunin1.keio.ac.jp/idp/shibboleth">
>                SAML2
>              </SSO>
> 
> に変え、/SPConfig/ApplicationDefaultsに、
> 
>            <MetadataProvider type="XML" file="metadata/keio-gakunin-metadata.xml"/>
> 
> を追加した状態です。
> 
> 質問ばかりで申し訳ありませんが、この状況の解決のためのヒントなどがありましたら、
> ぜひご教授いただけますでしょうか。
> さらに必要な情報などがありましたらご指摘ください。
> 
> よろしくお願い致します。
> 
> 細川
> 
> (2014/03/10 10:30), TSUCHIYA Masatoshi wrote:
>>>> On Mon, 10 Mar 2014 08:52:10 +0900
>>>> xxxxxxxx@xxxxxxxxxxxxxx (Tatsumi Hosokawa) said as follows:
>>
>>> 情報ありがとうございます。この部分が問題なわけではないとわかり、一つ条件
>>> が絞れました。
>>
>> とりあえず,tomcat のログファイル catalina.out と,shibboleth のログファ
>> イル idp-process.log を見てみて,どんな error / warning が出ているかを確
>> 認した方が良いと思いますよ.
>>
> 
> 


-- 
慶應義塾ITC本部  細川達己  xxxxxxxx@xxxxxxxxxxxxxx
Tel. 03-5427-1685  Fax. 03-5427-1722