[upki-fed:00513] Re: Shibboleth IdP 2.3.4の問題と2.3.5リリース

[Takeshi NISHIMURA <xxxxxxx@xxxxxxxxx>]

赤沢様
NIIの西村です。よろしくお願いします。

こちらは他の方からも指摘があったところですが対応できておらず
申し訳ございません。

最近サイト構成が変更になっており、現在は以下から入手可能です。
https://build.shibboleth.net/nexus/content/repositories/releases/edu/internet2/middleware/shibboleth-jce/1.1.0/shibboleth-jce-1.1.0.jar

どうぞよろしくお願いいたします。

PS
実は、この辺りは同じ作業の記述が2カ所にあったり最近はshibboleth-jce
でなくtomcat6-dta-ssl-1.0.0.jarを使う方法が本家では推奨されるように
なっていたりと修正すべき箇所が多いので、あとでまとめてお知らせします。
現時点であります情報から抜粋しますと、以下の手順でshibboleth-jceから
tomcat6-dta-sslへ移行できます。

1. tomcat6-dta-ssl-1.0.0.jarをダウンロードする。
    ダウンロードURL: https://build.shibboleth.net/nexus/content/repositories/releases/edu/internet2/middleware/security/tomcat6/tomcat6-dta-ssl/1.0.0/tomcat6-dta-ssl-1.0.0.jar
    PGP署名(https://build.shibboleth.net/nexus/content/repositories/releases/edu/internet2/middleware/security/tomcat6/tomcat6-dta-ssl/1.0.0/tomcat6-dta-ssl-1.0.0.jar.asc)
    もしくは以下のSHA-256ハッシュ値、もしくはダウンロードが正しいサイトから安全な経路で行なわれたことを確認すること。

    $ sha256sum tomcat6-dta-ssl-1.0.0.jar
    20d82d71cf9fc86197dd1c4c5dae3899efbf00e0706bbfe4d26618b56788d219  tomcat6-dta-ssl-1.0.0.jar

2. ダウンロードしたtomcat6-dta-ssl-1.0.0.jarを $CATALINA_HOME/lib/ に置く。
3. $CATALINA_HOME/conf/server.xml の以下の部分を、

    <Connector port="8443"
               maxHttpHeaderSize="8192"
               maxSpareThreads="75"
               scheme="https"
               secure="true"
               clientAuth="want"
               SSLEnabled="true"
               sslProtocol="TLS"
               keystoreFile="/opt/shibboleth-idp/credentials/keystore.jks"
               keystorePass="キーストアパスワード"
               truststoreFile="/opt/shibboleth-idp/credentials/keystore.jks"
               truststorePass="キーストアパスワード"
               truststoreAlgorithm="DelegateToApplication"/>

    以下のように置き換える。

    <Connector port="8443"
              protocol="org.apache.coyote.http11.Http11Protocol"
              SSLImplementation="edu.internet2.middleware.security.tomcat6.DelegateToApplicationJSSEImplementation"
              scheme="https"
              SSLEnabled="true"
              clientAuth="want"
              keystoreFile="/opt/shibboleth-idp/credentials/keystore.jks"
              keystorePass="キーストアパスワード" />

4. $JAVA_HOME/jre/lib/security/java.security の以下の記述を削除する。

    security.provider.9=edu.internet2.middleware.shibboleth.DelegateToApplicationProvider

5. $JAVA_HOME/jre/lib/ext/shibboleth-jce-1.1.0.jar を削除する。
6. Tomcatを再起動する。


(2012/10/18 11:50), Akazawa TS wrote:
> はじめまして。
> 都医学研の赤沢と申します。
> 
> 　研究所の統合と移転がありバタバタしているうちに年月が経って
> 　しまいましたが、ようやくテストフェデレーション参加に向けて、
> 　テスト用IdPの構築をすすめているところです。
> 
> 　早速教えていただきたいのですが、shibboleth-jce-1.1.0.jar は
> 　どこから入手するとよろしいでしょうか。
> 　当方、shibboleth-identityprovider-2.3.8-bin.zip にて
> 　shibbolethをインストールしたところです。
> 
> 　以下は、経緯説明です。
> 
> 　学認サイトの技術ガイド(*1)を読み進めながら作業をしています。
> 　　　(*1)https://www.gakunin.jp/docs/fed/technical/idp/install/idpInst5
> 
> 　「shibbolethのインストール」の「3. Javaの設定」の項に
> 　「shibboleth-jce-1.1.0.jar は shibboleth 2.3.4 以降に
> 　同梱されていない」という趣旨の記述があります。そのすぐ隣に
> 　「情報交換ML:00414」へのリンクがありますので、たどってみますと、
> 　以下のURLから取得できるとの記載があります。
> 　http://shibboleth.internet2.edu/downloads/maven2/edu/internet2
> /middleware/shibboleth-jce/1.1.0/shibboleth-jce-1.1.0.jar　
> 
> 　しかし、残念ながらこのリンクは切れており、
> 　http://shibboleth.net/products/download.html
> 　あたりからリンクをたどってみましたが、見つけられずにいます。
> 　
> 　shibboleth 2.3.3 を入手・解凍すれば入手できるようですが、
> 　できればどこかから直で入手できれば有り難いと思っています。
> 　http://shibboleth.net/downloads/identity-provider/2.3.3/
> 
> 　新規参入の方々はどのようにされているのかというのも少し気になりました。
> 　いちいちMLで聞くより 2.3.3 のものをサクリと使えと怒られそうですが
> 　どうかよろしくご指導お願い致します。

-- 
西村健
国立情報学研究所 TEL:03-4212-2890