[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[upki-fed:00383] Re: Back-Channelの設定で8443にする理由



NII 西村さま

お世話になります。OSSTech 相本です。

早々のご回答ありがとうございます。
ご質問の(1),(2)に関してはメタデータをお送りすることで
変更できるとのこと、了解致しました。

また(3)についてもご回答ありがとうございます。
不勉強なため、SSLクライアント証明書が必須とは知りませんでした。
# SOAP内のデータは、IdPが署名によりSPからの要求であると判断すると
# 考えていました。

しかし、クライアント証明書必須となると別の疑問が浮かびます。
バックチャネル使用時はtomcat(443利用時はApache)に
クライアント証明書を要求する定義が必須となりますが、
SPはどこが発行した認証局の証明書を提示してくるのでしょうか?
IdPでは、どこから発行されたクライアント証明書を許容すれば良いのでしょうか?
IdP側でクライアント証明書を許容する認証局の証明書を
設定する必要があるかと思います。
# 技術ガイドを見るとUPKIの証明書を登録しているようです。
# 学認フェデレーションでのSP-IdP間のクライアント証明書は
# 「全てUPKI」かとも思いましたが、海外のSPもあるわけですので
# これはないのでは?と思っております。

重ねての質問でお手数ではありますが、ご教示頂ければ幸いです。


> もしよろしければ利害得失等ありましたらお教えいただければと思
> います。
443の同一ポートで行う場合、SSL再ネゴシエーションの脆弱性(CVE-2009-3555)
が問題になるなと思いました。
特定URLのみクライアント証明書提示を求める設定を行うと、SSL再ネゴシエー
ションが発生しますが
上記脆弱性があるため(セキュリティを考えるなら)Secure Renegotiationにすべ
きです。
しかし、未だShibboleth1.3を使う古い環境であると考えると、SPがSecure
Renegotiationに
対応していない可能性があり、接続エラー等問題になるなという懸念が思いつき
ました。

以上、よろしくお願い致します。



(2011年10月18日 15:29), Takeshi NISHIMURA wrote:
> 相本様
> NIIの西村と申します。よろしくお願いします。
> 
> (1)(2)につきましては、こちらで提供している構築ガイドに従った
> 標準的なメタデータをテンプレートとして生成するようになってお
> ります。これは利用者の利便性を考えてのものであり、テンプレート
> に沿わないメタデータを登録できないということではありません。
> 
> そのような(テンプレート外の)メタデータをお持ちの方は、従来
> の方法で学認事務局
> https://www.gakunin.jp/docs/fed/contact
> までメールにて提出いただければと思います。
> 
> (3)につきましては、バックチャネルではSSLクライアント証明書認証
> が必須、というように通常の443とは接続条件が異なり、構成を単純化
> するためにこのような設定を推奨しているとご理解ください。
> 
> 学認の運用フェデレーションには実際に443ポートのみで運用されてい
> る方もいらっしゃるかと思います。
> もしよろしければ利害得失等ありましたらお教えいただければと思
> います。
> 
> 参考情報: IdPのメタデータテンプレート
> https://www.gakunin.jp/docs/fed/technical/idp/metadata
> 
> 蛇足:
> SWITCHでは、上記クライアント証明書認証を不要にする方法を模索して
> いたようです。結局どうしたかは不明ですが…
> https://groups.google.com/group/shibboleth-users/browse_thread/thread/d7378c7bb58e94e9/2834ab6ec65d0228
> 
> 
> (2011/10/18 12:37), AIMOTO NORIHITO wrote:
>> お世話になります。
>> オープンソース・ソリューション・テクノロジ 相本と申します。
>>
>> Shibboleteh-IdPを導入する案件を担当しておりまして、
>> IdP構築にあたって疑問点が発生しました。
>> もしご存知の方がいらっしゃいましたご教示頂ければ幸いです。
>>
>> 【Shibboleth1.3との通信】
>> IdPを構築し、Shibboleth1.3のSPに属性情報を送るためには
>> Back-Channelの設定が必要かと思います。
>> SPがIdPにSOAP通信する際のURLはメタデータに書かれていますが、
>> 学認テストフェデレーションに参加したところ、メタデータ内のURL記載ポート
>> 番号が
>> 強制的に8443となります。
>>
>> (1) テストフェデレーションのメタデータは自動的に8443で作成されてしまいま
>> したが、
>>   443に変更することはできないのでしょうか?
>> (2) 運用フェデレーションでも(1)は可能でしょうか?
>> (3) 技術ガイドの構築手順やメタデータでは8443となっておりますが、SOAP通信
>> のURLを
>>   Apacheが受ける443と同じにしない(あえてtomcatで受ける)理由が何かあ
>> るのでしょうか?
>>
>> 外部からアクセス可能なポート番号は443だけにしたいと考えております。
>> どなたかご教示頂ければ幸いです。
>>
>> 以上、よろしくお願い致します。
>