[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[upki-fed:00735] Re: FileBackedHTTPMetadataProvider

Subject: [upki-fed:00735] Re: FileBackedHTTPMetadataProvider
Date: Mon, 16 Dec 2013 03:53:23 +0900
From: Takeshi NISHIMURA <xxxxxxx@xxxxxxxxx>

NIIの西村です。

ご報告ありがとうございます。
把握できていなかったのですが2.4.0含めて以下のようなバグがあるようです。
https://issues.shibboleth.net/jira/browse/JOST-220
発生するメカニズムは不明ながら修正が行なわれています。この部分の問題であれば
次のリリースで修正されるはずです。

ともかく、学認が配付するメタデータの有効期間は15日未満ですので、
バッキングファイル(バックアップファイル)の日付が15日以上前なら
あやしいということになります。
なお、現時点での学認メタデータ最新版は 12/12 11:18 前後に発行されたもので、先頭の
validUntilが以下のようになっています。
> validUntil="2013-12-26T14:00:00Z"

IdPを管理しているみなさまは
/opt/shibboleth-idp/metadata/some-metadata.xml
（ファイル名は異なる可能性があります）をチェックしてみることをお勧めします。

> の記述を信じると，maxRefreshDelay の default 値(PT4H)に，
> refreshDelayFactor の default 値(0.75)を乗じた値(PT3H)，つまり3時間おきに
> gakunin-metadata.xml を download するはずだと思っていたのですが．

はい、デフォルトの挙動はこれで間違いありません。

2013/12/15 23:22、TSUCHIYA Masatoshi <xxxxxxxx@xxxxxx> のメール：

> 土屋です．
> 
> IdP の動作ログをチェックしていたら，
> 
> 15:58:16.475 - WARN [org.opensaml.saml2.binding.security.SAML2AuthnRequestsSignedRule:81] - SPSSODescriptor role metadata for entityID 'https://register-ci.nii.ac.jp/shibboleth-sp' could not be resolved
> 
> というログが出ていて，学認の SP に対する認証ができなくなっていることを発
> 見しました．原因を調べてみたところ，
> 
> $ ls -lt /opt/shibboleth/metadata/
> -rw-r--r-- 1 tomcat6 tomcat6 1219161 2013-11-08 09:12 gakunin-metadata.xml
> 
> というように gakunin-metadata.xml の更新が止まっていて，このメタデータが
> 無効扱いになっていることが理由でした．とりあえず，緊急に tomcat を再起動
> してみると，
> 
> $ ls -lt /opt/shibboleth/metadata/
> -rw-r--r-- 1 tomcat6 tomcat6 1321416 2013-12-15 22:49 gakunin-metadata.xml
> 
> というように gakunin-metadata.xml が更新されて，無事に認証できるようにな
> りました．
> 
> とりあえず，暫定的な対応は行ったのですが，再発しないかが心配です．
> relying-party.xml には以下のように記述してあります．
> 
> <MetadataProvider id="GakuninMD" xsi:type="FileBackedHTTPMetadataProvider"
>                  metadataURL="https://metadata.gakunin.nii.ac.jp/gakunin-metadata.xml"
>                  backingFile="/opt/shibboleth/metadata/gakunin-metadata.xml">
>    <MetadataFilter xsi:type="ChainingFilter">
>        <MetadataFilter xsi:type="RequiredValidUntil" maxValidityInterval="P15D" />
>        <MetadataFilter xsi:type="SignatureValidation" requireSignedMetadata="true"
> 			trustEngineRef="shibboleth.MetadataTrustEngine" />
>        <MetadataFilter xsi:type="EntityRoleWhiteList">
>            <RetainedRole>samlmd:SPSSODescriptor</RetainedRole>
>        </MetadataFilter>
>    </MetadataFilter>
> </MetadataProvider>
> 
> これで，
> 
>    https://wiki.shibboleth.net/confluence/display/SHIB2/IdPMetadataProvider
> 
> の記述を信じると，maxRefreshDelay の default 値(PT4H)に，
> refreshDelayFactor の default 値(0.75)を乗じた値(PT3H)，つまり3時間おきに
> gakunin-metadata.xml を download するはずだと思っていたのですが．
> 
> どこが悪いのでしょう? コメントお願いします．

-- 
西村健
国立情報学研究所 TEL:03-4212-2890

References:
- [upki-fed:00734] FileBackedHTTPMetadataProvider
  - From: TSUCHIYA Masatoshi

Prev by Date: [upki-fed:00734] FileBackedHTTPMetadataProvider
Next by Date: [upki-fed:00736] uApprove strange behavior of cancel when tab-browsing
Previous by thread: [upki-fed:00734] FileBackedHTTPMetadataProvider
Next by thread: [upki-fed:00736] uApprove strange behavior of cancel when tab-browsing
Index(es):
- Date
- Thread