[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[upki-fed:01260] Re: IISでのSP構築について
- Subject: [upki-fed:01260] Re: IISでのSP構築について
- Date: Tue, 22 Jan 2019 05:29:45 +0000
- From: 櫻本 雄三 <xxxxxxxxxxxx@xxxxxxxxxxxx>
慶應義塾の細川様 皆様
櫻本です。
返信ありがとうございます。
過去ログ等見直し、ネットワーク設定を見直したところ、対象URLへアクセスは成功しました。
その際別のエラーが発生しました。
※httpについてはhttpsでした。
以下エラーがでましたが、エラーを見る限りファイルへアクセスできないエラーに見受けられます。
WARN Shibboleth.Application : insecure cookieProps setting, set to "https" for SSL/TLS-only usage
WARN Shibboleth.Application : handlerSSL should be enabled for SSL/TLS-enabled web sites
ERROR OpenSAML.MetadataProvider.XML : metadata instance was invalid at time of acquisition
WARN OpenSAML.MetadataProvider.XML : adjusted reload interval to 600 seconds
WARN OpenSAML.MetadataProvider.XML : trying backup file, exception loading remote resource: Metadata instance was invalid at time of acquisition.
ERROR OpenSAML.MetadataProvider.XML : metadata instance was invalid at time of acquisition
CRIT Shibboleth.Application : error initializing MetadataProvider: Metadata instance was invalid at time of acquisition.
何か別に設定等ありますでしょうか。
今回試験環境として構築しているのは、SPとIdpのみの為ダウンロードしない設定でMetadataProviderタグを以下に変更してみましたが
<MetadataProvider type="XML" validate="true" path="idp-metadata.xml"/>
やはり以下エラーになってしまいます。
WARN Shibboleth.Application : insecure cookieProps setting, set to "https" for SSL/TLS-only usage
WARN Shibboleth.Application : handlerSSL should be enabled for SSL/TLS-enabled web sites
ERROR OpenSAML.MetadataProvider.XML : metadata instance was invalid at time of acquisition
CRIT Shibboleth.Application : error initializing MetadataProvider: Metadata instance was invalid at time of acquisition.
これはmetadataが間違っているということでしょうか。
質問ばかりですみませんがご教授頂けると幸いです。
-----Original Message-----
From: xxxxxxxx@xxxxxxxxxxxxxx <xxxxxxxx@xxxxxxxxxxxxxx>
Sent: Tuesday, January 22, 2019 9:03 AM
To: xxxxxxxx@xxxxxxxxx
Subject: [upki-fed:01259] Re: IISでのSP構築について
櫻本様
慶應義塾の細川です。
とりあえず、IdPに接続ができないというか、
IdP上に置かれたメタデータにアクセスできないというエラーで、
IISかどうかに関係なく、よく見るタイプのエラーメッセージに見えます。
念の為の確認ですが、メタデータのURLがhttpでhttpsではないのは、
間違いないということで問題ないのでしょうか?
正しいとして、そのサーバ上から、
http:// {IDP側FDQN}/idp-metadata.xml にアクセスができる状態でしょうか?
(ファイアウォールのルール、必要ならプロキシ設定など)
ご確認できますでしょうか。
細川
On 2019/01/21 19:17, 櫻本 雄三 wrote:
> 皆様
>
> 櫻本と申します。
> 先ほどMLに登録させて頂きました。
>
> 現在IISでのShibbolethSP構築を依頼されており、IISでの情報が少なく手詰まりな為こちらで2、3相談させてください。
>
> OS環境は以下です。
> SP
> ・Windowsserver2012 R2
> Shibboleth sp 3.0.2
> 試験用IDP
> ・centos7
> Shibboleth Idp 3.4.3
>
> IISで構築するにあたりIIS側に以下設定を行っています。
> ・Shibboleth ISAPIフィルタ(ISAPIフィルタ)の追加
> ・.ssoファイルハンドラのISAPIライブラリへのマッピング(ハンドラマッピング)
> ・許可された拡張子のリストへのShibboleth ISAPI Extensionの追加(ISAPIとCGIの制限)
> ・shibdサービスのインストールと設定
> ・Webサイトのホスト名を設定し、shibboleth2.xmlファイル内設定は修正
>
>
> 他にIISで構築するにあたり設定が必要な項目はありますでしょうか
>
> また、現在設定ファイルエラーとなっています。
>
> エラーメッセージは以下です。
> ERROR XMLTooling.ParserPool : fatal error on line 0, column 0, message: unable to connect socket for URL 'http:// {IDP側FDQN}/idp-metadata.xml'
> ERROR OpenSAML.MetadataProvider.XML : error while loading resource
> ({http://IDP側FDQN}/idp-metadata.xml): XML error(s) during parsing,
> check log for specifics WARN OpenSAML.MetadataProvider.XML : adjusted
> reload interval to 600 seconds WARN OpenSAML.MetadataProvider.XML : trying backup file, exception loading remote resource: XML error(s) during parsing, check log for specifics ERROR XMLTooling.ParserPool : fatal error on line 0, column 0, message: unable to open primary document entity 'C:/opt/shibboleth-sp/var/cache/shibboleth/idp-metadata.xml'
> ERROR OpenSAML.MetadataProvider.XML : error while loading resource
> (C:/opt/shibboleth-sp/var/cache/shibboleth/idp-metadata.xml): XML
> error(s) during parsing, check log for specifics CRIT
> Shibboleth.Application : error initializing MetadataProvider: XML
> error(s) during parsing, check log for specifics
>
> エラーと思われるMetadataProviderは以下に設定しています。
> <MetadataProvider type="XML" validate="true"
> url="http:// {IDP側FDQN}/idp-metadata.xml"
> backingFilePath="idp-metadata.xml" maxRefreshDelay="7200">
> <MetadataFilter type="RequireValidUntil" maxValidityInterval="2419200"/>
> <MetadataFilter type="Signature" certificate="C:\opt\shibboleth-sp\etc\shibboleth\cert.cer" verifyBackup="false"/>
> <DiscoveryFilter type="Blacklist" matcher="EntityAttributes" trimTags="true"
> attributeName="http://macedir.org/entity-category"
> attributeNameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri"
> attributeValue="http://refeds.org/category/hide-from-discovery" />
> </MetadataProvider>
> このエラーはIDPへ接続ができないことに対してのエラーでしょうか?
>
> IISでの構築の情報をかき集めながら作業をしていますが、難しくご助力頂けると幸いです。
>
> 以上、よろしくお願い致します。
>
>
--
慶應義塾ITC本部 細川達己 xxxxxxxx@xxxxxxxxxxxxxx Tel. 03-5427-1685 Fax. 03-5427-1722