[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[upki-fed:01107] Re: Proxy配下でのSP構築に関して

京都産業大学の秋山です.

いくつかミスが重なっているような気もしますが,
とりあえずshibdのCURL向けプロキシ設定については下記(Set HTTP proxy addressのあたり)を参照すれば良いようです.

https://wiki.shibboleth.net/confluence/display/SHIB2/NativeSPTransportOption

# すみませんが未テストです.
取り急ぎ.

2016年12月6日 15:37 保守サポート <xxxxxx@xxxxxxxxxx>:
皆様

株式会社シーエムエスの松橋と申します。

現在SPの構築をしております。

NII様のインストールマニュアルに則り設定が完了し、テストフェデレーションにも参加済みです。

・環境
OS:Redhat7.2
Shibboleth SP Version 2.6.0
※既にSSL環境であるため、証明書は商用のものを使用しています。
※インストールを行ったサーバはProxy経由で外部接続します

まず最初にshibd起動時に以下のエラーが出力されました。
----------------------------------------------------------------------
ERROR XMLTooling.ParserPool : fatal error on line 0, column 0, message: unable to connect socket for URL 'https://metadata.gakunin.nii.ac.jp/gakunin-test-metadata.xml'
----------------------------------------------------------------------
Proxyが原因?かと推測し、上記メタデータXMLをwgetで取得し、shibboleth2.xmlに
        <MetadataProvider type="XML" file="/var/cache/shibboleth/federation-metadata.xml"/>
とし、固定ファイルとしてセットしました。

/secureをシボレス対象ディレクトリとし、アクセスを行う
401 Unauthorized
となり、本来表示されるはずのDS画面(IDPの一覧が出る画面)が表示されません。

/var/log/shibboleth/shibd.log, shibd_warn.log
/var/log/shibboleth-www/native.log, native_warn.log
には[INFO]は出力されますがエラーは出力されていません。


やはりproxyが原因なのでしょうか?
どなたかproxy配下でSPの構築を成功された方はいらっしゃいますでしょうか?


●shibboleth2.xmlの主な設定内容
    <ApplicationDefaults entityID="https://xxxx.xx.xx.xx/shibboleth-sp"
                         REMOTE_USER="eppn persistent-id targeted-id">
     :
    <SessionInitiator type="Chaining" Location="/DS" isDefault="true" id="DS">
        <SessionInitiator type="SAML2" template="bindingTemplate.html"/>
        <SessionInitiator type="Shib1"/>
        <SessionInitiator type="SAMLDS" URL="" href="https://test-ds.gakunin.nii.ac.jp/WAYF" rel="noreferrer" target="_blank">https://test-ds.gakunin.nii.ac.jp/WAYF"/>
    </SessionInitiator>
     :
    <CredentialResolver type="File" key="cert/商用のKeyファイル" certificate="cert/商用の証明書"/>
 ※商用証明書を/etc/shibboleth/cert/配下にコピーしています。

●httpd/conf.d/shib.confの主な設定内容
<Location /secure>
  AuthType shibboleth
  ShibRequestSetting requireSession 1
  require valid-user
</Location>

何卒よろしくお願いいたします。


--
/-/-/-/-/-/-/-/-//-/-/-/-/-/-/-/-/-/-/-/-/-/-/-/-/-/-/-/-/-/-/-/-/-/-/-/
株式会社 シー・エム・エス
松橋 政人
東京都豊島区東池袋1-17-8 NBF池袋シティビル3F 〒170-0013
TEL:03-5954-1151         FAX:03-5954-1150
/-/-/-/-/-/-/-/-/-/-/-/-/-/-/-/-/-/-/-/-/-/-/-/-/-/-/-/-/-/-/-/-/-/-/-/

--
/-/-/-/-/-/-/-/-/-/-/-/-/-/-/-/-/-/-/-/-/-/-/-/-/-/-/-/-/-/
株式会社 シー・エム・エス
松橋 政人
東京都豊島区東池袋1-17-8 NBF池袋シティビル3F 〒170-0013
TEL:03-5954-1151         FAX:03-5954-1150
E-mail:xxxxx@xxxxxxxxxx  URL:http://www.cmsc.co.jp/
/-/-/-/-/-/-/-/-/-/-/-/-/-/-/-/-/-/-/-/-/-/-/-/-/-/-/-/-/-/



--
Toyokazu AKIYAMA
Faculty of Computer Science and Engineering,
Kyoto Sangyo University
TEL/FAX: +81-75-705-1531