[upki-fed:302] Re: Shibboleth SP 2.4.0の注意点

[Takeshi NISHIMURA <xxxxxxx@xxxxxxxxx>]

西村です。

ご報告ありがとうございます。
今日の朝にはリビルドされたものが公開されていたようです。

> ちなみに，2.3.1 からの Update で，パッケージは shibboleth-2.4-2.3 と表示

これが最新で問題のないもので、問題があったものは"2.4-2.1"でした。


> # 逆に，SSO EntityID を追記すると，XMLTooling が Parse Error を吐いて
> 　shibd が起動しませんでした．

そうでしたか。手元の環境では直接IdPに飛ぶように設定していたので問題が
あったが、もともとDSに飛ぶように設定している場合は変更は必要ないとい
うことですね。
# <SSO>を記述できないというのは謎ですが。

ちなみに、今朝のリビルドでパッケージが軒並み更新され、現在は以下が
最新のようです。
shibboleth.i386 2.4-2.3
xmltooling-schemas.i386 1.4-2.2
opensaml-schemas.i386 2.4-2.3
libxml-security-c16.i386 1.6.0-4.1
libxmltooling5.i386 1.4-2.2
libsaml7.i386 2.4-2.3
以下はそのまま:
>> Installed: liblog4shib1.i386 1.0.4-2.1
>> Installed: libxerces-c-3_1.i386 3.1.1-2.1

(2010/12/14 11:24), kaz igarashi wrote:
> 西村先生
> 
> お世話になっております．成城大学五十嵐です．
> 情報提供ありがとうございます．
> 早速 Update してみましたが，本学の CentOS yum 経由インストールの環境では
> /etc/httpd/conf.d/shib.conf を戻すだけで正常に稼働しました．
> 
> ちなみに，2.3.1 からの Update で，パッケージは shibboleth-2.4-2.3 と表示
> されます．
> 
> # 逆に，SSO EntityID を追記すると，XMLTooling が Parse Error を吐いて
> 　shibd が起動しませんでした．
> 
> 取り急ぎご報告まで．
> 
> 
>> SP管理者のみなさま
>> 西村です。
>>
>> 12月13日にShibboleth SP 2.4.0が公開され、CentOS用などのリポジトリも更新され
>> ている
>> ようですが、そのままyum updateするとshibdが起動しなくなりますのでご注意くだ
>> さい！
>> ※以下の注意点はyumのリポジトリを使用している場合のみで、ソースからコンパイ
>> ルされている
>> 　方は影響ないと思われます。
>> ※また、2.3.1→2.4.0のバージョンアップでセキュリティホールが修正されたという
>> 情報もあり
>> 　ませんので、yumリポジトリを使用している方はバージョンアップを見合わせた方
>> が無難です。
>>
>> すでにバージョンアップしてしまい起動しなくなった方は以下を実行した上で起動す
>> れば起動
>> するようになると思います。
>> $ sudo ln -s shibboleth /etc/XML-Security-C
>> $ sudo ln -s shibboleth /var/run/XML-Security-C
>> ※これを見てお気付きの方もいらっしゃるかもしれませんが単純なバグなので、早晩
>> 修正される
>> 　と思います。
>>
>> # これ以降の記述は2.3.1→2.4へバージョンアップした際の一般的な注意点です。バ
>> グが
>> # 解消された後にバージョンアップする際にも参照してください。
>>
>> なお、SPからのリダイレクトがおかしい、という方は、以下を参照して<SSO/>要素を
>> <Sessions/>要素の中に追加してください。
>> https://spaces.internet2.edu/display/SHIB2/NativeSPServiceSSO
>> 例1(DSを使用する場合)：
>> <Sessions ...>
>>    <SSO discoveryProtocol="SAMLDS"
>> discoveryURL="https://ds.example.ac.jp/WAYF">
>>      SAML2 SAML1
>>    </SSO>
>>    ...
>> </Sessions>
>> 例1(DSを介さず直接IdPにリダイレクトしたい場合)
>> <Sessions ...>
>>    <SSO entityID="https://idp.example.ac.jp/idp/shibboleth">
>>      SAML2 SAML1
>>    </SSO>
>>    ...
>> </Sessions>
>> ※2.4の設定ファイルはかなり簡略化されていますが、ひとまず上記の修正のみで動
>> いているようです。
>>
>> また、/etc/httpd/conf.d/shib.confを修正して使っていた方は、修正が元に戻って
>> いると思います
>> ので、/etc/httpd/conf.d/shib.conf.rpmsaveから
>>>    Alias /shibboleth-sp/main.css /usr/share/doc/shibboleth-2.3.1/main.css
>>>    Alias /shibboleth-sp/logo.jpg /usr/share/doc/shibboleth-2.3.1/logo.jpg
>> の行の2.3.1→2.4に変更して戻してあげるとよいと思います。
>>
>> もう一つ、shibdをrootでなく他のユーザ権限で実行している方へ：
>> # CentOSのディレクトリ構成で説明しています。
>> /var/log/shibbolethおよび/var/run/shibbolethのパーミッションを変更している
>> かと思いますが、初期インストール時の状態に戻りますので再度変更してください。
>> また、/etc/init.d/shibdの"SHIBD_USR=root"の行を修正していると思いますが、
>> 2.4からは/etc/sysconfig/shibdにファイルを作成して
>> SHIBD_USER=shibboleth (例)
>> と書いておくとそれが読み込まれます。
>>
>>
>> ちなみに、このバージョンアップで以下のファイルが更新されているようです。
>> /etc/httpd/conf.d/shib.conf（前述）
>> /etc/rc.d/init.d/shibd（前述）
>> /etc/shibboleth/
>>      attribute-map.xml
>>      attribute-policy.xml
>>      native.logger
>>      shibd.logger
>>      shibboleth2.xml
>>      protocols.xml（新設）
>>      security-policy.xml（新設）
>>      example-shibboleth2.xml（新設、特殊なことをやる場合の参照用）
>> これに伴い以下のログファイルが新たに出力されるようになっています。
>> /var/log/httpd/native_warn.log
>> /var/log/shibboleth/shibd_warn.log
>> /var/log/shibboleth/signature.log
>> ついでに、本設定(shibboleth2.xml.rpmnew)では以下のハンドラURLが追加されてい
>> ます。
>> https://sp.example.ac.jp/Shibboleth.sso/DiscoFeed
>>
>> また、依存しているパッケージ構成も大幅に更新されています。
>> Installed: xmltooling-schemas.i386 1.4-2.1
>> Installed: opensaml-schemas.i386 2.4-2.1
>> Installed: liblog4shib1.i386 1.0.4-2.1
>> Installed: libxerces-c-3_1.i386 3.1.1-2.1
>> Installed: libxml-security-c16.i386 1.6.0-2.1
>> Installed: libxmltooling5.i386 1.4-2.1
>> Installed: libsaml7.i386 2.4-2.1
>> Erased: opensaml
>> Erased: xmltooling
>> Erased: log4shib
>> Erased: xerces-c
>> Erased: xml-security-c
>> Updated: shibboleth.i386 2.4-2.1

-- 
西村健
国立情報学研究所 TEL:03-4212-2720