[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[upki-fed:00402] Re: IdPとのSP接続確認のエラーについて
- Subject: [upki-fed:00402] Re: IdPとのSP接続確認のエラーについて
- Date: Tue, 25 Oct 2011 18:12:18 +0900
- From: AIMOTO NORIHITO <xxxxxx@xxxxxxxxxxxxx>
OSSTech 相本です。
Apacheの設定がそれではhttpになってしまいますね。
ServerNameのポート番号に443をセットするのではなく、スキーマを書いてあげ
ます。
ServerName https://example.co.jp:443
UseNanonicalName On
# ServerNameをIPアドレスで書かれていますけど、443のポートを書くべきかを
含めて
# Apacheの「ServerName」と「UseCanonicalName」ディレクティブの意味を
# 理解しておいた方が良いかなと思います。
以上、よろしくお願い致します。
(2011年10月25日 17:47), 松本 徹也 wrote:
> 相本様
>
> 松本です。
>
> アドバイスありがとうございます。
> まだ、解決に至っておりませんが、
> 頂いたアドバイスを参考に、2つ、動作を確認してみました。
>
> 詳細は、以下に記載しますが、リダイレクトされる際のエンドポイントの
> 情報を、強制的に「&return=https」にする方法がないかを
> 引き続き調査したいと思っています。
>
> 見当違いな点など、ご指摘、アドバイスなどいただけると幸いです。
>
> ■1.ServerNameとUseCanonicalNameの設定による動作確認
>
> ○実施した設定
> ServerName 218.44.136.237:443
> UseCanonicalName On
>
> ○結果
> リダイレクトされる際のURLに下記の変化がありました。
> 2つの違いは、「&return=」のパラメータの部分です。
> 【設定前】 「&return=http%3A%2F%2F218.44.136.237」
> 【設定後】 「&return=http%3A%2F%2F218.44.136.237%3A443」
> ※ServerName で設定した値が反映されているようではありますが、
> いずれの場合も、「&return=」直後の値は、「http」となってしまっていま
> す。
>
>
> 【設定前(URL全体)】
>
> https://test-ds.gakunin.nii.ac.jp/WAYF?entityID=https%3A%2F%2F218.44.136.237%2Fshibboleth-sp&return=http%3A%2F%2F218.44.136.237%2FShibboleth.sso%2FDS%3FSAMLDS%3D1%26target%3Dss%253Amem%253Af306c79a831e7cf364a515f6edcfb3e98ff49cd0
>
>
> 【設定後(URL全体)】
>
> https://test-ds.gakunin.nii.ac.jp/WAYF?entityID=https%3A%2F%2F218.44.136.237%2Fshibboleth-sp&return=http%3A%2F%2F218.44.136.237%3A443%2FShibboleth.sso%2FDS%3FSAMLDS%3D1%26target%3Dss%253Amem%253A8fff095cba5021b03a7af111a5d0f9598b89b32d
>
>
>
> ■2.ロードバランサを介さずに、「http」と「https」でアクセスした場合の
> 上記のリダイレクトURLの内容を確認
>
> 念のため、ロードバランサの内側から「https://・・・」でアクセスした場
> 合には、
> リダイレクトが「&return=https」となることを確認しました。
>
> リクエストURL ⇒ リダイレクト時のパラメータ(抜粋)
> https://・・・/secure/ ⇒ 「&return=https」
> http://・・・/secure/ ⇒ 「&return=http」
>
>
> 長々と書きましたが、リダイレクト時の「&return=」のパラメータとして
> 「https」が設定されるようにする方法があるかどうかというところが、調査の
> ポイントという認識に至っております。
>
> 見当違いな点など、ご指摘、アドバイスなどいただけると幸いです。
>
>
>
> ----- Original Message ----- From: "AIMOTO NORIHITO" <xxxxxx@xxxxxxxxxxxxx>
> To: <xxxxxxxx@xxxxxxxxx>
> Cc: "松本 徹也" <xxxxxxxxxx@xxxxxxxxxxxxxxx>
> Sent: Monday, October 24, 2011 3:10 PM
> Subject: Re: [upki-fed:00398] Re: IdPとのSP接続確認のエラーについて
>
>
>> OSSTech 相本です。
>>
>> Webサーバーによりますが、ロードバランサにも対応しています。
>> 詳細はこちらにあります。
>> https://wiki.shibboleth.net/confluence/display/SHIB2/NativeSPNoSSL
>>
>> Apache2.2であれば、ServerNameディレクティブでスキーマを変更します。
>> # ロードバランサがホストヘッダをIPアドレスにしているようなので
>> # UseCanonicalNameの設定も必要そうですね。
>>
>> 以上、よろしくお願い致します。
>>
>>
>> (2011年10月24日 14:52), 松本 徹也 wrote:
>>> 山地様 相本様
>>>
>>> 松本です。
>>> ご確認、ご返信、ありがとうございます。
>>>
>>> 今更で恐縮ですが、質問させていただた内容に関係が
>>> ありそうでしたので、こちらの環境について、記載させていただきます。
>>>
>>> SPを導入したwebサーバの手前に、ロードバランサが存在します。
>>> そのロードバランサがsslアクセラレータの役割りをしております。
>>> そのため、
>>> ・クライアント←→ロードバランサ間は、httpsでの通信
>>> ・ロードバランサ←→webサーバ間は、httpでの通信
>>> となっています。
>>>
>>> クライアントやIdP、DS側から見ると、「https」ですが、
>>> webサーバ側では、「http」と認識しているため、
>>> 今回のような状況になっているのでは?との考えに思い至っています。
>>> ※素人考えですが。
>>>
>>> 初歩的な質問ですみませんが、
>>> このような環境には対応していないなど、ございましたら
>>> ご教授下さい。
>>>
>>> 以上、よろしくお願いします。
>>>
>>>
>>> ----- Original Message ----- From: <xxxxxx@xxxxxxxxx>
>>> To: <xxxxxxxx@xxxxxxxxx>
>>> Sent: Monday, October 24, 2011 11:30 AM
>>> Subject: [upki-fed:00392] Re: IdPとのSP接続確認のエラーについて
>>>
>>>
>>>> ** On Mon, 24 Oct 2011 11:23:33 +0900
>>>> ** 松本 徹也 <xxxxxxxxxx@xxxxxxxxxxxxxxx> writes:
>>>>
>>>>> こちらでも「shibboleth2.xml」の設定間違いを疑って、検索してみました
>>>>> が、
>>>>> このファイル内に、「http://」という記載はどこにも存在していませんでし
>>>>> た。
>>>>
>>>> シボレスのログインを要求するSPのエンドポイントは、
>>>> httpでしょうか?httpsでしょうか?
>>>>
>>>> Best,
>>>> --
>>>> Kazu
>>>>
>>>
>>>
>>
>>
>
>