[upki-fed:00332] Re: SPのタイムアウトについての質問

[Takeshi NISHIMURA <xxxxxxx@xxxxxxxxx>]

西村です。

実際にタイムアウトを計測したことはないのですが、明らかにタイムアウト前に
再認証を求められたことがあります。このケースにあてはまらないかもしれませ
んが参考までに書きます。

SPはデフォルトでは認証されたクライアントIPアドレスを保存していて、IPアド
レスが変わると不正としてセッションを破棄してしまいます。DHCPでころころIP
アドレスが変わる場合や、FWを経由していて割り当てられるIPアドレスがころころ
変わる場合には、正当なアクセスが不正なものとみなされる場合があります。
# 先日のシンポジウムのデモでこの現象が頻発し、回避策を施すのに苦労しました。

上記のようにcookie盗用による不正利用を防ぐための機能なのですが、
この機能を無効にするには、同じくSessionsに書く属性でconsistentAddress="false"
のように書けばよいです。
https://wiki.shibboleth.net/confluence/display/SHIB2/NativeSPSessions

ちなみに、認証要求時と認証応答時のクライアントIPアドレスが変化していない
ことをチェックするのはcheckAddress="true"です。

なお、上記のセッション破棄が起きた際はtransaction.logに
2011-03-10 12:54:00 INFO Shibboleth-TRANSACTION [6]: Destroyed session (applicat
ionId: default) (ID: _xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx)
のように記録されるので確認できます。

On 2011/04/11, at 13:42, Takuya Matsuhira wrote:

> メーリングリスト参加者の皆様
> 
> お世話になっております。
> 金沢大学総合メディア基盤センター　松平です。
> 
> 
> Shibboleth SPのタイムアウト設定について
> 質問があります。
> 
> 運用を行っていると、SPによっては、タイムアウトを
> 15分にしたり、2時間にしたりなど、いろいろなケースが
> あるかと思います。
> 
> SPにおける、タイムアウト時間の調整は
> 
> Shibboleth2.xml内
> -------
> <Sessions lifetime="7200" timeout="7200" checkAddress="false"
>            handlerURL="/Shibboleth.sso" handlerSSL="false"
> relayState="ss:mem"
> 
> exportLocation="http://localhost/Shibboleth.sso/GetAssertion"
> exportACL="127.0.0.1"
>            idpHistory="false" idpHistoryDays="7">
> -------
> 
> のlifetime、timeoutの値を変えることで、
> できると思っていたのですが、どうも指定した
> 時間に達する前に再度認証に向かってしまいます。
> 
> 
> また、一般的には、以下の動作になるかと思います。
> 
> SPにアクセス
> ↓
> 当該SPの認証済みCookie(_shib_session)がない
> ↓
> IdPにリダイレクト
> ↓
> 認証
> ↓
> Cookieがセットされ、SPのコンテンツを表示
> ↓
> 当該SPの別コンテンツを選択
> ↓
> 当該SPのCookie(_shib_session)がある（lifetime、timeout時間内）
> ↓
> SPのコンテンツを表示
> ↓
> 当該SPのCookie(_shib_session)があるが、lifetime、timeout時間外
> ↓
> IdPへ問い合わせ
> ↓
> idp_sessionが有効かどうかをチェック
> 
> 
> SPのlifetimeとtimeoutの時間がオーバーしない限り、_shib_session
> は有効で、IdPに問い合わせなくても、SP内で解決できると考えて
> いるのですが、どうでしょうか？
> 
> ご多忙のところ、大変申し訳ございませんが、
> SPに応じてタイムアウト時間を変更する方法をご存知の方、
> ご教授いただけましたら幸いです。

-- 
西村健
国立情報学研究所 TEL:03-4212-2720