[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[upki-fed:00598] Re: SPで"unable to connect socket" ERROR (Test Fed.)
- Subject: [upki-fed:00598] Re: SPで"unable to connect socket" ERROR (Test Fed.)
- Date: Fri, 28 Dec 2012 16:16:45 +0900
- From: Akazawa TS <xxxxxxxx@xxxxxxxxxxxxxx>
西村様、皆様
都医学研の赤沢です。
早速にお返事をいただきありがとうございます。
> 赤沢様
> NIIの西村です。テストフェデレーションのご利用ありがとうございます。
>
> ログを見ると、フェデレーションのメタデータの取得に失敗しているようです。("unable to connect socket for URL")
> 当該マシンで以下のコマンドを実行して、メタデータが取得できるか確認
> いただけますでしょうか?
> $ wget https://metadata.gakunin.nii.ac.jp/gakunin-test-metadata.xml
以下のとおり、取得できています。
------------------------------------------------------------------------------
[root@sptest ~]# wget
https://metadata.gakunin.nii.ac.jp/gakunin-test-metadata.xml
--2012-12-28 15:52:17--
https://metadata.gakunin.nii.ac.jp/gakunin-test-metadata.xml
Resolving metadata.gakunin.nii.ac.jp... 157.1.72.50
Connecting to metadata.gakunin.nii.ac.jp|157.1.72.50|:443... connected.
HTTP request sent, awaiting response... 200 OK
Length: 1608513 (1.5M) [text/xml]
Saving to: `gakunin-test-metadata.xml.1'
100%[===============================================================>]
1,608,513 8.62M/s in 0.2s
2012-12-28 15:52:32 (8.62 MB/s) - `gakunin-test-metadata.xml.1' saved
[1608513/1608513]
------------------------------------------------------------------------------
但し、(自分で数えて)コマンド発行から取得まで16秒かかっています。
「Resolving metadata.gakunin.nii.ac.jp...」のところで時間がかかって
いるので、試しに dig で試したところ、名前解決に 16秒かかることが
わかりました。
/etc/resolv.conf の設定に不備があり、正しく設定したところ、
https://metadata.gakunin.nii.ac.jp/gakunin-test-metadata.xml は
すぐに取得できるようになりました。
そして、次のように shibdと httpd とを再起動させました。
-------------------------------------------------------------------
# service shibd restart
Stopping shibd: [ OK ]
Starting shibd: [ OK ]
# service httpd restart
Stopping httpd: [ OK ]
Starting httpd: [ OK ]
-------------------------------------------------------------------
shibd の starting には数秒かかりました。
案の定、以下のような WAN/ERROR/CRIT が shibd_warn.log に記載されて
いました。2時間ごとの "unnable to connect socket" とは別の現象の
ようです。
-------------------------------------------------------------------
2012-12-28 16:07:14 WARN Shibboleth.Application : insecure cookieProps
setting, set to "https" for SSL/TLS-only usage
2012-12-28 16:07:14 WARN Shibboleth.Application : handlerSSL should be
enabled for SSL/TLS-enabled web sites
2012-12-28 16:07:15 ERROR OpenSSL : error code: 33558541 in bss_file.c,
line 352
2012-12-28 16:07:15 ERROR OpenSSL : error data:
fopen('/etc/shibboleth/cert/sptest_nopw.key','r')
2012-12-28 16:07:15 ERROR OpenSSL : error code: 537346050 in bss_file.c,
line 354
2012-12-28 16:07:15 CRIT Shibboleth.Application : error building
CredentialResolver: Unable to load private key from file
(/etc/shibboleth/cert/sptest_nopw.key).
-------------------------------------------------------------------
> ***
>
> 別件ながら、以前aacli.shの実行について報告されたことがあったかと思います。
> その際、aacli.shの実行に当たって
> [upki-fed:00419] aacli.shが実行できない場合の対処方法
> https://www.gakunin.jp/ml-archives/upki-fed/msg00407.html
> で書きましたような対処は必要でしたでしょうか?最近のバージョンでは
> 変わっている可能性がありましたので、時期を逸しており申し訳ありません
> が、情報提供いただけましたら幸いです。
aacli.sh は使ったことがないのと、探してみましたが
見つかりません。。。
[root@sptest ~]# find /etc -name aacli* -print
[root@sptest ~]# find /opt -name aacli* -print
[root@sptest ~]# find /var -name aacli* -print
[root@sptest ~]# find /usr -name aacli* -print
[root@sptest ~]# find / -name aacli* -print
[root@sptest ~]#
idttest.igakuken.or.jp は dump してバックアップディスクに
保存してありますが、今は 同一サーバを使って、新たに
ディスクフォーマットしてから sptest.igakuken.or.jpを
立ち上げていますので、すぐに試すこともできないのが現状です。
引き続きご助言いただける有り難く思います。
--
赤沢
(公財)東京都医学総合研究所 情報システム室
> (2012/12/28 12:39), Akazawa TS wrote:
>> 学認の皆様
>>
>> いつもお世話になります。
>> 都医学研の赤沢です。
>>
>> 現在、テストフェデレーションに参加させていただいております。
>> テスト用IdPについては先日助けていただき稼働させることが
>> できました。
>>
>> 今回、技術ガイドに沿って、新たにテスト用SP(以下 SP)を立ち
>> 上げようとしております。
>>
>> shibd をstart させた時点で shibbolethのログファイル (/var/log/
>> shibboleth/shibd_warn.log) に多数の WARN/ERROR/CRIT が記録され
>> 残念ながら行き詰まっております。恐れ入りますがご助言をお願い
>> できますでしょうか。
>>
>> ●SPの提供サービス
>>
>> 技術ガイドの「IdPとSP接続確認」のページに記載の「属性確認用の
>> 簡単なPHPプログラム」をダウンロードし、/var/www/html/secure/
>> index.php として置きました。
>>
>> ●SP用サーバの環境
>>
>> OS: CentOS 5.4 (32bit)
>> HTTP Server : Apache 2.2.3
>> PHP: 5.1.6
>> shibboleth: 2.5.1
>> インストールと設定作業はrootで行いました。
>>
>> ●クライアントの環境
>>
>> OS: MacOS X 10.7.5
>> ブラウザ: Firefox 17.0.1
>>
>> ●認証不要のwebコンテンツは閲覧可
>>
>> https://sptest.igakuken.or.jp/dummy.html
>>
>> ●shibd_warn.log
>>
>> 昨夕に shibd を稼働させた時点で WARN/ERROR/CRIT が
>> 発生しましたが、今朝ログを見ると2時間ごとに発生している
>> ものについてとりあえず掲載させていただきます。
>> 見やすいように適宜改行を入れ、継続行は半角スペースでインデント
>> しておきます。
>> ---------------------------------------------------------------------
>> 2012-12-28 10:19:41
>> ERROR XMLTooling.ParserPool :
>> fatal error on line 0, column 0, message:
>> unable to connect socket for URL
>> 'https://metadata.gakunin.nii.ac.jp/gakunin-test-metadata.xml'
>> 2012-12-28 10:19:41
>> ERROR OpenSAML.MetadataProvider.XML :
>> error while loading resource
>> (https://metadata.gakunin.nii.ac.jp/gakunin-test-metadata.xml):
>> XML error(s) during parsing, check log for specifics
>> 2012-12-28 10:19:41
>> WARN OpenSAML.MetadataProvider.XML :
>> adjusted reload interval to 7200 seconds
>> 2012-12-28 10:19:41
>> WARN OpenSAML.MetadataProvider.XML :
>> trying backup file, exception loading remote resource:
>> XML error(s) during parsing, check log for specifics
>> 2012-12-28 10:19:41
>> ERROR XMLTooling.ParserPool :
>> fatal error on line 0, column 0, message:
>> unable to open primary document entity
>> '/var/cache/shibboleth/federation-metadata.xml'
>> 2012-12-28 10:19:41
>> ERROR OpenSAML.MetadataProvider.XML :
>> error while loading resource
>> (/var/cache/shibboleth/federation-metadata.xml):
>> XML error(s) during parsing, check log for specifics
>> 2012-12-28 10:19:41
>> CRIT OpenSAML.MetadataProvider.XML :
>> maintaining existing configuration, error reloading resource
>> (https://metadata.gakunin.nii.ac.jp/gakunin-test-metadata.xml):
>> XML error(s) during parsing, check log for specifics
>> ---------------------------------------------------------------------
>>
>> ●shibboleth2.xml
>>
>> 以下のように設定しております。
>> (1) entityID
>> ---------------------------------------------------------------------
>> <!-- The ApplicationDefaults element is where most of Shibboleth's SAML
>> bits are defined. -->
>> <ApplicationDefaults entityID="https://sptest.igakuken.or.jp/shibboleth-sp"
>> REMOTE_USER="eppn persistent-id targeted-id">
>> ---------------------------------------------------------------------
>>
>> (2) DSサーバの参照
>> ---------------------------------------------------------------------
>> <!-- JSON feed of discovery information. -->
>> <Handler type="DiscoveryFeed" Location="/DiscoFeed"/>
>> <SessionInitiator type="Chaining" Location="/DS" isDefault="true" id="DS">
>> <SessionInitiator type="SAML2" template="bindingTemplate.html"/>
>> <SessionInitiator type="Shib1"/>
>> <SessionInitiator type="SAMLDS"
>> URL="https://test-ds.gakunin.nii.ac.jp/WAYF"/>
>> </SessionInitiator>
>> </Sessions>
>> ---------------------------------------------------------------------
>>
>> (3)メタデータの自動更新設定
>>
>> 2時間おきにshibd_warn.logに記載されているログは、たぶんここの
>> 設定にまずいことがあるような気がしますが、いかがでしょう?
>> ---------------------------------------------------------------------
>> <!-- Example of remotely supplied batch of signed metadata. -->
>> <!-- -->
>> <MetadataProvider type="XML"
>> uri="https://metadata.gakunin.nii.ac.jp/gakunin-test-metadata.xml"
>> backingFilePath="federation-metadata.xml"
>> reloadInterval="7200">
>> <MetadataFilter type="RequireValidUntil" maxValidityInterval="1296000"/>
>> <MetadataFilter type="Signature"
>> certificate="/etc/shibboleth/cert/gakunin-test-signer-2011.cer"/>
>> </MetadataProvider>
>> <!-- -->
>> ---------------------------------------------------------------------
>>
>> (4)サーバ証明書と秘密鍵の指定
>> ---------------------------------------------------------------------
>> <!-- Simple file-based resolver for using a single keypair. -->
>> <CredentialResolver type="File" key="cert/sptest_nopw.key"
>> certificate="cert/sptest.igakuken.or.jp.cer"/>
>> ---------------------------------------------------------------------
>>
>> サーバ証明書と秘密鍵は下記のようにちゃんと置いてあります。
>> .....................................................................
>> [root@sptest cert]# pwd
>> /etc/shibboleth/cert
>> [root@sptest cert]# ls -al
>> total 20
>> drwxr-xr-x 2 root root 4096 Dec 27 14:43 .
>> drwxr-xr-x 3 root root 4096 Dec 28 12:28 ..
>> -rw-r--r-- 1 root root 1501 Jan 14 2011 gakunin-test-signer-2011.cer
>> -rw-r--r-- 1 root apache 1781 Dec 27 11:51 sptest.igakuken.or.jp.cer
>> -r-------- 1 root root 1679 Dec 27 11:51 sptest_nopw.key
>> .....................................................................
>>
>> ●新規SP申請(テストフェデレーション)
>>
>> 学認申請システム(テストフェデレーション)から「新規SP申請」を
>> 行いました。
>>
>> 「DSからのリターンURL」に何を記載してよいのかわからず、
>> 「https://sptest.igakuken.or.jp/」と入力してしまいましたが、
>> 本メール冒頭にお示しした「●SPの提供サービス」を実現したい
>> のであれば、
>> 「https://sptest.igakuken.or.jp/secure/index.php」を
>> 入力すべきということになりますでしょうか。
>>
>> 恐れ入りますが、以上よろしくお願い致します。
>>
>