[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[upki-fed:01260] Re: IISでのSP構築について



慶應義塾の細川様 皆様

櫻本です。

返信ありがとうございます。

過去ログ等見直し、ネットワーク設定を見直したところ、対象URLへアクセスは成功しました。
その際別のエラーが発生しました。
 ※httpについてはhttpsでした。

以下エラーがでましたが、エラーを見る限りファイルへアクセスできないエラーに見受けられます。
WARN Shibboleth.Application : insecure cookieProps setting, set to "https" for SSL/TLS-only usage
WARN Shibboleth.Application : handlerSSL should be enabled for SSL/TLS-enabled web sites
ERROR OpenSAML.MetadataProvider.XML : metadata instance was invalid at time of acquisition
WARN OpenSAML.MetadataProvider.XML : adjusted reload interval to 600 seconds
WARN OpenSAML.MetadataProvider.XML : trying backup file, exception loading remote resource: Metadata instance was invalid at time of acquisition.
ERROR OpenSAML.MetadataProvider.XML : metadata instance was invalid at time of acquisition
CRIT Shibboleth.Application : error initializing MetadataProvider: Metadata instance was invalid at time of acquisition.

何か別に設定等ありますでしょうか。

今回試験環境として構築しているのは、SPとIdpのみの為ダウンロードしない設定でMetadataProviderタグを以下に変更してみましたが
       <MetadataProvider type="XML" validate="true" path="idp-metadata.xml"/>
やはり以下エラーになってしまいます。
WARN Shibboleth.Application : insecure cookieProps setting, set to "https" for SSL/TLS-only usage
WARN Shibboleth.Application : handlerSSL should be enabled for SSL/TLS-enabled web sites
ERROR OpenSAML.MetadataProvider.XML : metadata instance was invalid at time of acquisition
CRIT Shibboleth.Application : error initializing MetadataProvider: Metadata instance was invalid at time of acquisition.

これはmetadataが間違っているということでしょうか。


質問ばかりですみませんがご教授頂けると幸いです。
-----Original Message-----
From: xxxxxxxx@xxxxxxxxxxxxxx <xxxxxxxx@xxxxxxxxxxxxxx> 
Sent: Tuesday, January 22, 2019 9:03 AM
To: xxxxxxxx@xxxxxxxxx
Subject: [upki-fed:01259] Re: IISでのSP構築について

櫻本様

慶應義塾の細川です。

とりあえず、IdPに接続ができないというか、
IdP上に置かれたメタデータにアクセスできないというエラーで、
IISかどうかに関係なく、よく見るタイプのエラーメッセージに見えます。

念の為の確認ですが、メタデータのURLがhttpでhttpsではないのは、
間違いないということで問題ないのでしょうか?

正しいとして、そのサーバ上から、
http:// {IDP側FDQN}/idp-metadata.xml にアクセスができる状態でしょうか?
(ファイアウォールのルール、必要ならプロキシ設定など)

ご確認できますでしょうか。

細川

On 2019/01/21 19:17, 櫻本 雄三 wrote:
> 皆様
> 
> 櫻本と申します。
> 先ほどMLに登録させて頂きました。
> 
> 現在IISでのShibbolethSP構築を依頼されており、IISでの情報が少なく手詰まりな為こちらで2、3相談させてください。
> 
> OS環境は以下です。
> SP
> ・Windowsserver2012 R2
>  Shibboleth sp 3.0.2
> 試験用IDP
> ・centos7
>    Shibboleth Idp 3.4.3
> 
> IISで構築するにあたりIIS側に以下設定を行っています。
> ・Shibboleth ISAPIフィルタ(ISAPIフィルタ)の追加
> ・.ssoファイルハンドラのISAPIライブラリへのマッピング(ハンドラマッピング)
> ・許可された拡張子のリストへのShibboleth ISAPI Extensionの追加(ISAPIとCGIの制限)
> ・shibdサービスのインストールと設定
> ・Webサイトのホスト名を設定し、shibboleth2.xmlファイル内設定は修正
> 
> 
> 他にIISで構築するにあたり設定が必要な項目はありますでしょうか
> 
> また、現在設定ファイルエラーとなっています。
> 
> エラーメッセージは以下です。
> ERROR XMLTooling.ParserPool : fatal error on line 0, column 0, message: unable to connect socket for URL 'http:// {IDP側FDQN}/idp-metadata.xml'
> ERROR OpenSAML.MetadataProvider.XML : error while loading resource 
> ({http://IDP側FDQN}/idp-metadata.xml): XML error(s) during parsing, 
> check log for specifics WARN OpenSAML.MetadataProvider.XML : adjusted 
> reload interval to 600 seconds WARN OpenSAML.MetadataProvider.XML : trying backup file, exception loading remote resource: XML error(s) during parsing, check log for specifics ERROR XMLTooling.ParserPool : fatal error on line 0, column 0, message: unable to open primary document entity 'C:/opt/shibboleth-sp/var/cache/shibboleth/idp-metadata.xml'
> ERROR OpenSAML.MetadataProvider.XML : error while loading resource 
> (C:/opt/shibboleth-sp/var/cache/shibboleth/idp-metadata.xml): XML 
> error(s) during parsing, check log for specifics CRIT 
> Shibboleth.Application : error initializing MetadataProvider: XML 
> error(s) during parsing, check log for specifics
> 
> エラーと思われるMetadataProviderは以下に設定しています。
>          <MetadataProvider type="XML" validate="true"
> 	            url="http:// {IDP側FDQN}/idp-metadata.xml"
>                backingFilePath="idp-metadata.xml" maxRefreshDelay="7200">
>              <MetadataFilter type="RequireValidUntil" maxValidityInterval="2419200"/>
>              <MetadataFilter type="Signature" certificate="C:\opt\shibboleth-sp\etc\shibboleth\cert.cer" verifyBackup="false"/>
>              <DiscoveryFilter type="Blacklist" matcher="EntityAttributes" trimTags="true"
>                attributeName="http://macedir.org/entity-category"
>                attributeNameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri"
>                attributeValue="http://refeds.org/category/hide-from-discovery" />
>          </MetadataProvider>
> このエラーはIDPへ接続ができないことに対してのエラーでしょうか?
> 
> IISでの構築の情報をかき集めながら作業をしていますが、難しくご助力頂けると幸いです。
> 
> 以上、よろしくお願い致します。
> 
> 


--
慶應義塾ITC本部  細川達己  xxxxxxxx@xxxxxxxxxxxxxx Tel. 03-5427-1685  Fax. 03-5427-1722