[upki-fed:00434] Re: Shibboleth SPを利用されている方へ、2.5リリースまでに設定変更のお願い

[Takeshi NISHIMURA <xxxxxxx@xxxxxxxxx>]

西村です。

標題の件について補足します。

> まず、server.keyのパーミッションの問題です。rootにしか読み取り権限を与えていない
> 場合、2.5をインストールした時点で自動再起動がかかるため、shibdがエラーで
> 停止してしまいます。
> 回避方法はいくつかあると思いますが、下記のようにsp-key.pemをシンボリックリンク
> にしておくと、2.5インストール時に自動的にserver.keyのownerが修正されます。
> $ sudo rm /etc/shibboleth/sp-key.pem && sudo ln -s cert/server.key /etc/shibboleth/sp-key.pem

この回避策は当該秘密鍵がSPのみで使用されている場合で、slapdなど他のプロセスからも
参照されている場合は注意が必要です。

具体的に言うと、所有者/グループがroot:rootでない場合が該当します。
上述のようにシンボリックリンクを作成すると、2.5へのアップデートによってこれが
shibd:shibdに強制変更されます。
ACLを含めたパーミッションは変更されないようですので、setfacl等でACLを設定して
おけば回避できます。

On 2011/11/08, at 19:26, Takeshi NISHIMURA wrote:

> みなさま
> 西村です。
> 
> 来年初めにリリース予定のShibboleth SP 2.5ですが、rpmパッケージで導入されている方は
> shibdという非rootユーザが新たに作られその権限で起動するようになるため、
> 学認の技術ガイドに沿って設定している場合に2点問題が生じます。
> それぞれ今できる回避策を示しておりますので、リリース日までに対応していただきます
> よう、お願いいたします。
> 
> 
> まず、server.keyのパーミッションの問題です。rootにしか読み取り権限を与えていない
> 場合、2.5をインストールした時点で自動再起動がかかるため、shibdがエラーで
> 停止してしまいます。
> 回避方法はいくつかあると思いますが、下記のようにsp-key.pemをシンボリックリンク
> にしておくと、2.5インストール時に自動的にserver.keyのownerが修正されます。
> $ sudo rm /etc/shibboleth/sp-key.pem && sudo ln -s cert/server.key /etc/shibboleth/sp-key.pem
> 
> 2点目の問題は、メタデータのバックアップファイルを置くディレクトリのパーミッションです。
> 学認の技術ガイドに従えば
> /etc/shibboleth/metadata/
> にバックアップを置くように設定されますが、このディレクトリはshibdユーザの権限では
> ファイルが置けません。この場合以下のようなエラーがログに記録されます。（リモートの
> メタデータにアクセスできている限りにおいてSP停止などの実害はありません）
> 2011-10-17 18:30:07 DEBUG OpenSAML.MetadataProvider.XML [GakuNinMetadata]: committing backup file to permanent location (/etc/shibboleth/metadata/federation-metadata.xml)
> 2011-10-17 18:30:07 CRIT OpenSAML.MetadataProvider.XML [GakuNinMetadata]: unable to rename metadata backup file
> 
> 回避方法は、shibboleth2.xmlの
>> backingFilePath="/etc/shibboleth/metadata/federation-metadata.xml"
> と、絶対パスで指定している部分を
>> backingFilePath="federation-metadata.xml"
> のように相対パスに変更します。このように変更しておけば、適切にownerが設定される
> /var/run/shibboleth/ディレクトリを使うようになります。

-- 
西村健
国立情報学研究所 TEL:03-4212-2720