[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[upki-fed:01034] Re: Shibboleth 3.2.1移行メモ

Subject: [upki-fed:01034] Re: Shibboleth 3.2.1移行メモ
Date: Wed, 16 Mar 2016 17:27:30 +0900
From: 宮川大輔 <xxxxxxxxx@xxxxxxxxxxx>

株式会社mokha の宮川と申します。初めまして。

>> 学認IdPをShibboleth3にする際のメモ
>> http://memo.itc.keio.ac.jp/blog/?p=474


こちらの記事、大変参考にさせていただきました。
今更ですが共有いただきありがとうございました。

関連して、この場で議論するべき内容なのかちょっとわからなかったのですが、
お詳しい方いらっしゃいましたら以下の件についてコメントいただけると助かります。

記事の中で1点、不思議に感じた点がありました。

> LDAP由来の属性がSPに送信されない

この設定なのですが、自分の環境では逆に何を書こうが書くまいが
全ての属性が使われておりまして、不思議に思っておりました。

もう少し深く突っ込んだ結果、以下の様な経緯であると判断されました。

Shibboleth IdP v3.2.1 等に付属している conf/attribute-resolver-ldap.xml を元にして
attribute-resolver.xmlを設定すると、myLDAPのDataConectorの設定に

<dc:ReturnAttributes>%{idp.attribute.resolver.LDAP.returnAttributes}</dc:ReturnAttributes>

の一行が含まれますので、細川先生のご説明のとおり、属性送信が抑制されました。

一方、私の検証環境では当初、学認技術ガイドが現状提供する attribute-resolver-template.xml を
下敷きに設定を行っておりました。

参考:
https://meatwiki.nii.ac.jp/confluence/pages/viewpage.action?pageId=20021642 <https://meatwiki.nii.ac.jp/confluence/pages/viewpage.action?pageId=20021642>
https://meatwiki.nii.ac.jp/confluence/pages/viewpage.action?pageId=12158175 <https://meatwiki.nii.ac.jp/confluence/pages/viewpage.action?pageId=12158175>

こちらの方法を採用した場合、ReturnAttributesについての設定がないため、
ldap.propertiesの記述に関係なく送信される、ということのようでした。

個人的には attribute-resolver-ldap.xml 側にLDAP周りの設定を寄せるほうが
直感的 (ldap.propertiesにLDAP関連の設定が集約されるというメリットも有る) かなと思ったのですが、
学認提供のテンプレートでそうしない何か理由があるのでしょうか (互換性を考えている、とか)


以上、失礼致しました。


> 2016/03/03 15:21、Tatsumi Hosokawa <xxxxxxxx@xxxxxxxxxxxxxx> のメール：
> 
> 慶應義塾ITC本部の細川です。
> 
> こちら
> 
>> 学認IdPをShibboleth3にする際のメモ
>> http://memo.itc.keio.ac.jp/blog/?p=474
> 
> を書いた時点ではCentOS6 + OpenJDK7 + Tomcat7で構築したのですが、
> その後CentOS7 + Oracle Java8 + Tomcat8で構築しなおしたので、
> それに関する記述を追加しました（ほとんど差はなかったので1日でできました）。
> 
> また、idp-audit.logにクライアントのIPアドレスやJSESSIONIDを記録する方法も、
> Shibboleth3では変わってしまっていたので、それに関しても追記しました。
> (同様の処理を新しく導入されたidp-consent-audit.logにも追加しました)
> 
> 細川
> 
> On 2016/02/22 10:55, Tatsumi Hosokawa wrote:
>> 慶應義塾ITC本部の細川です。
>> 
>> うちの学認IdPを12月頃から3.2.1への移行を始め、
>> 仕事の合間に作業する感じで2ヶ月ほどでテスト可能な段階に持っていけたのですが、
>> その際にはまった事項についてのメモを作っておきました。
>> 
>> ご参考になればぜひ。
>> 
>> 学認IdPをShibboleth3にする際のメモ
>> http://memo.itc.keio.ac.jp/blog/?p=474
>> 
>> ＃ 間違っている内容、ここはこうしたほうが良い、などの事項がありましたら、
>> ＃ ご指摘いただけると幸いです。
>> ＃ ちなみにこれで作ったIdPは、まだ実際のサービスには利用しておりません。
>> 
> 
> 
> -- 
> 慶應義塾ITC本部  細川達己  xxxxxxxx@xxxxxxxxxxxxxx
> Tel. 03-5427-1685  Fax. 03-5427-1722


-- 
株式会社 mokha 取締役
宮川 大輔 Daisuke MIYAKAWA <xxxxxxxxx@xxxxxxxxxxx>

Follow-Ups:
- [upki-fed:01036] Re: Shibboleth 3.2.1移行メモ
  - From: Tatsumi Hosokawa

References:
- [upki-fed:01017] Shibboleth 3.2.1移行メモ
  - From: Tatsumi Hosokawa
- [upki-fed:01026] Re: Shibboleth 3.2.1移行メモ
  - From: Tatsumi Hosokawa

Prev by Date: [upki-fed:01033] 【再アナウンス】第2回研究教育のためのクラウド利活用セミナーのご案内（3月23日開催）
Next by Date: [upki-fed:01035] Re: Shibboleth SPの脆弱性について(2016.2.26)
Previous by thread: [upki-fed:01026] Re: Shibboleth 3.2.1移行メモ
Next by thread: [upki-fed:01036] Re: Shibboleth 3.2.1移行メモ
Index(es):
- Date
- Thread