[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[upki-fed:00486] Re: Shibboleth SPを利用されている方へ、2.5リリースまでに設定変更のお願い



西村です。

出る出ると言っていてなかなか出ない Shibboleth SP 2.5 ですが、
そろそろ(大きなバグが見つからなければ)本当にリリースされそうな
雰囲気です。
2.5向けの設定変更を行なっていない方は、この機会に今一度Shibboleth SP
の設定をご確認ください。(変更方法はこのメールの最後に貼付しています)

先の情報の補足ですが、

>>> backingFilePath="federation-metadata.xml"
>> のように相対パスに変更します。このように変更しておけば、適切にownerが設定される
>> /var/run/shibboleth/ディレクトリを使うようになります。

2.5β版からは、/var/run/shibboleth/でなくて/var/cache/shibboleth/
を使うようになりました。対処方法に変更はありません。
https://wiki.shibboleth.net/confluence/display/SHIB2/NativeSPConfigurationChanges#NativeSPConfigurationChanges-Linux%2FUnixInstallationChanges


On 2012/02/24, at 18:48, Takeshi NISHIMURA wrote:

> 西村です。
> 
> 標題の件について補足します。
> 
>> まず、server.keyのパーミッションの問題です。rootにしか読み取り権限を与えていない
>> 場合、2.5をインストールした時点で自動再起動がかかるため、shibdがエラーで
>> 停止してしまいます。
>> 回避方法はいくつかあると思いますが、下記のようにsp-key.pemをシンボリックリンク
>> にしておくと、2.5インストール時に自動的にserver.keyのownerが修正されます。
>> $ sudo rm /etc/shibboleth/sp-key.pem && sudo ln -s cert/server.key /etc/shibboleth/sp-key.pem
> 
> この回避策は当該秘密鍵がSPのみで使用されている場合で、slapdなど他のプロセスからも
> 参照されている場合は注意が必要です。
> 
> 具体的に言うと、所有者/グループがroot:rootでない場合が該当します。
> 上述のようにシンボリックリンクを作成すると、2.5へのアップデートによってこれが
> shibd:shibdに強制変更されます。
> ACLを含めたパーミッションは変更されないようですので、setfacl等でACLを設定して
> おけば回避できます。
> 
> On 2011/11/08, at 19:26, Takeshi NISHIMURA wrote:
> 
>> みなさま
>> 西村です。
>> 
>> 来年初めにリリース予定のShibboleth SP 2.5ですが、rpmパッケージで導入されている方は
>> shibdという非rootユーザが新たに作られその権限で起動するようになるため、
>> 学認の技術ガイドに沿って設定している場合に2点問題が生じます。
>> それぞれ今できる回避策を示しておりますので、リリース日までに対応していただきます
>> よう、お願いいたします。
>> 
>> 
>> まず、server.keyのパーミッションの問題です。rootにしか読み取り権限を与えていない
>> 場合、2.5をインストールした時点で自動再起動がかかるため、shibdがエラーで
>> 停止してしまいます。
>> 回避方法はいくつかあると思いますが、下記のようにsp-key.pemをシンボリックリンク
>> にしておくと、2.5インストール時に自動的にserver.keyのownerが修正されます。
>> $ sudo rm /etc/shibboleth/sp-key.pem && sudo ln -s cert/server.key /etc/shibboleth/sp-key.pem
>> 
>> 2点目の問題は、メタデータのバックアップファイルを置くディレクトリのパーミッションです。
>> 学認の技術ガイドに従えば
>> /etc/shibboleth/metadata/
>> にバックアップを置くように設定されますが、このディレクトリはshibdユーザの権限では
>> ファイルが置けません。この場合以下のようなエラーがログに記録されます。(リモートの
>> メタデータにアクセスできている限りにおいてSP停止などの実害はありません)
>> 2011-10-17 18:30:07 DEBUG OpenSAML.MetadataProvider.XML [GakuNinMetadata]: committing backup file to permanent location (/etc/shibboleth/metadata/federation-metadata.xml)
>> 2011-10-17 18:30:07 CRIT OpenSAML.MetadataProvider.XML [GakuNinMetadata]: unable to rename metadata backup file
>> 
>> 回避方法は、shibboleth2.xmlの
>>> backingFilePath="/etc/shibboleth/metadata/federation-metadata.xml"
>> と、絶対パスで指定している部分を
>>> backingFilePath="federation-metadata.xml"
>> のように相対パスに変更します。このように変更しておけば、適切にownerが設定される
>> /var/run/shibboleth/ディレクトリを使うようになります。

-- 
西村健
国立情報学研究所 TEL:03-4212-2890