フリーソフト/Shibboleth-SP
をテンプレートにして作成
[
トップ
] [
新規
|
一覧
|
検索
|
最終更新
|
ヘルプ
|
ログイン
]
開始行:
RIGHT:[[フリーソフトウェアのコンパイル]]
*Shibboleth SP のインストール [#la694f14]
**環境 [#n955d177]
RHEL8
**パッケージインストール [#ce10a1b1]
Shibboleth用のrepositoryファイルをダウンロード.
# wget https://shibboleth.net/cgi-bin/sp_repo.cgi?platfo...
yum に repository ファイルを追加
# cp sp_repo.cgi\?platform=* /etc/yum.repos.d/shibboleth...
Shibbolethのインストール
# yum install shibboleth
**httpd 設定
/etc/httpd/conf.d/ssl.conf にて,ServerNameを設定.
ServerName shib-sp.example.jp:443
**shibd 起動 [#q17d01c3]
# systemctl start shibd
# systemctl enable shibd
# systemctl restart httpd
*Shibboleth SPの設定 [#qa7d3c58]
https://meatwiki.nii.ac.jp/confluence/pages/viewpage.acti...
shibboleth2.xml の編集
https://meatwiki.nii.ac.jp/confluence/pages/viewpage.acti...
//https://meatwiki.nii.ac.jp/confluence/pages/viewpage.ac...
学認運用フェデレーションのメタデータ検証用証明書をダウン...
https://metadata.gakunin.nii.ac.jp/gakunin-signer-2017.cer
/etc/shibboleth/cert 配下にメタデータ検証用をコピー
# cp gakunin-signer-2017.cer /etc/shibboleth/cert/
/etc/shibboleth/cert 配下にサーバ証明書と秘密鍵をコピー
# mkdir /etc/shibboleth/cert
# cp /etc/pki/tls/private/server.key /etc/shibboleth/cert/
# cp /etc/pki/tls/certs/server.crt /etc/shibboleth/cert/
/etc/shibboleth/cert/server.key はユーザ shibd によって読...
Shibboleth SP のデフォルト設定である以下を参考にパーミッ...
# chown shibd:shibd /etc/shibboleth/cert/server.key
# chmod 440 /etc/shibboleth/cert/server.key
/etc/shibboleth/shibboleth2.xml の該当する部分を変更
<!-- Simple file-based resolvers for separate signing...
<CredentialResolver type="File" use="signing"
key="cert/server.key" certificate="cert/server.c...
↑秘密鍵の格納先 ↑サー...
<CredentialResolver type="File" use="encryption"
key="cert/server.key" certificate="cert/server.c...
↑秘密鍵の格納先 ↑サー...
*Shibboleth SP と Moodle 連携の設定 [#x692c764]
/var/www/html/moodle/auth/shibboleth/README.txt
1. moodle/auth/shibboleth/index.php をShibboleth で保護.
<Directory /var/www/html/auth/shibboleth/index.php>
AuthType shibboleth
ShibRequireSession On
require valid-user
</Directory>
2. Moodle に admin でログインし,'サイト管理 > プラグイン...
'Shibboleth' をクリック.
3. 必要事項を入力.
-Username
-First name
-eppn
-jaGivenName
-jasn
-mail
*学内システムとして構築する場合の設定 [#u6edb9df]
https://meatwiki.nii.ac.jp/confluence/pages/viewpage.acti...
メタデータ中の特定のIdPのみ利用を許可する方法
https://meatwiki.nii.ac.jp/confluence/pages/viewpage.acti...
**MetadataProvider の設定(IdP が学認に登録されていればこ...
idp のメタデータ(学認の一覧から切り取り)を
mahara の /etc/shibboleth/idp-metadata.xml に置く.
で,/etc/shibboleth2.xml の編集
<!-- Example of locally maintained metadata. -->
<!-- コメントアウト解除 -->
<MetadataProvider type="XML" file="idp-metadata.x...
<!-- コメントアウト解除 -->
(中略)
<SSO entityID="https://shibboleth-idp.example...
discoveryProtocol="SAMLDS" discoveryURL=...
SAML2
</SSO>
**MetadataProvider の設定(IdP が学認に登録されている場合...
https://meatwiki.nii.ac.jp/confluence/pages/viewpage.acti...
https://meatwiki.nii.ac.jp/confluence/pages/viewpage.acti...
/etc/shibboleth2.xml の編集
<MetadataProvider type="XML" uri="https://metadat...
backingFilePath="federation-metadata.xml" re...
<MetadataFilter type="RequireValidUntil" maxV...
<MetadataFilter type="Signature" certificate=...
<MetadataFilter type="Whitelist">
<Include>(...IdPのentityID...)</Include>
<Include>https://shibboleth-idp.example.jp...
→ Includeの行を増やすことで、...
</MetadataFilter>
</MetadataProvider>
<!-- コメントアウト解除 -->
(中略)
<SSO entityID="https://shibboleth-idp.example...
discoveryProtocol="SAMLDS" discoveryURL=...
SAML2
</SSO>
(中略)
<!-- コメントアウト
<SessionInitiator type="Chaining" Location="/...
<SessionInitiator type="SAML2" template="...
<SessionInitiator type="Shib1"/>
<SessionInitiator type="SAMLDS" URL="http...
</SessionInitiator>
コメントアウト -->
**IdP 側の設定 [#x8d49731]
***(1)Shibbolet SP のメタデータを IdP に配置 [#aa5ccada]
https://shib-sp.example.jp/Shibboleth.sso/Metadata
で取得できる SP のメタデータ(shib-sp-metadata.xml)を
IdP の /opt/shibboleth-idp/metadata/
に転送する.
IdP の conf/metadata-providers.xml を編集
https://meatwiki.nii.ac.jp/confluence/pages/viewpage.acti...
を参照
最後から 2行目ぐらいに以下を追加
<MetadataProvider id="sp-shib" xsi:type="FilesystemMetad...
***(2)新規SPの登録 [#k6c52d05]
/opt/shibboleth-idp/conf/attribute-filter.xml に開示する...
参考)
https://meatwiki.nii.ac.jp/confluence/pages/viewpage.acti...
-eduPersonPrincipalName
-jaGivenName
-jasn
-mail
で tomcat をリスタート
終了行:
RIGHT:[[フリーソフトウェアのコンパイル]]
*Shibboleth SP のインストール [#la694f14]
**環境 [#n955d177]
RHEL8
**パッケージインストール [#ce10a1b1]
Shibboleth用のrepositoryファイルをダウンロード.
# wget https://shibboleth.net/cgi-bin/sp_repo.cgi?platfo...
yum に repository ファイルを追加
# cp sp_repo.cgi\?platform=* /etc/yum.repos.d/shibboleth...
Shibbolethのインストール
# yum install shibboleth
**httpd 設定
/etc/httpd/conf.d/ssl.conf にて,ServerNameを設定.
ServerName shib-sp.example.jp:443
**shibd 起動 [#q17d01c3]
# systemctl start shibd
# systemctl enable shibd
# systemctl restart httpd
*Shibboleth SPの設定 [#qa7d3c58]
https://meatwiki.nii.ac.jp/confluence/pages/viewpage.acti...
shibboleth2.xml の編集
https://meatwiki.nii.ac.jp/confluence/pages/viewpage.acti...
//https://meatwiki.nii.ac.jp/confluence/pages/viewpage.ac...
学認運用フェデレーションのメタデータ検証用証明書をダウン...
https://metadata.gakunin.nii.ac.jp/gakunin-signer-2017.cer
/etc/shibboleth/cert 配下にメタデータ検証用をコピー
# cp gakunin-signer-2017.cer /etc/shibboleth/cert/
/etc/shibboleth/cert 配下にサーバ証明書と秘密鍵をコピー
# mkdir /etc/shibboleth/cert
# cp /etc/pki/tls/private/server.key /etc/shibboleth/cert/
# cp /etc/pki/tls/certs/server.crt /etc/shibboleth/cert/
/etc/shibboleth/cert/server.key はユーザ shibd によって読...
Shibboleth SP のデフォルト設定である以下を参考にパーミッ...
# chown shibd:shibd /etc/shibboleth/cert/server.key
# chmod 440 /etc/shibboleth/cert/server.key
/etc/shibboleth/shibboleth2.xml の該当する部分を変更
<!-- Simple file-based resolvers for separate signing...
<CredentialResolver type="File" use="signing"
key="cert/server.key" certificate="cert/server.c...
↑秘密鍵の格納先 ↑サー...
<CredentialResolver type="File" use="encryption"
key="cert/server.key" certificate="cert/server.c...
↑秘密鍵の格納先 ↑サー...
*Shibboleth SP と Moodle 連携の設定 [#x692c764]
/var/www/html/moodle/auth/shibboleth/README.txt
1. moodle/auth/shibboleth/index.php をShibboleth で保護.
<Directory /var/www/html/auth/shibboleth/index.php>
AuthType shibboleth
ShibRequireSession On
require valid-user
</Directory>
2. Moodle に admin でログインし,'サイト管理 > プラグイン...
'Shibboleth' をクリック.
3. 必要事項を入力.
-Username
-First name
-eppn
-jaGivenName
-jasn
-mail
*学内システムとして構築する場合の設定 [#u6edb9df]
https://meatwiki.nii.ac.jp/confluence/pages/viewpage.acti...
メタデータ中の特定のIdPのみ利用を許可する方法
https://meatwiki.nii.ac.jp/confluence/pages/viewpage.acti...
**MetadataProvider の設定(IdP が学認に登録されていればこ...
idp のメタデータ(学認の一覧から切り取り)を
mahara の /etc/shibboleth/idp-metadata.xml に置く.
で,/etc/shibboleth2.xml の編集
<!-- Example of locally maintained metadata. -->
<!-- コメントアウト解除 -->
<MetadataProvider type="XML" file="idp-metadata.x...
<!-- コメントアウト解除 -->
(中略)
<SSO entityID="https://shibboleth-idp.example...
discoveryProtocol="SAMLDS" discoveryURL=...
SAML2
</SSO>
**MetadataProvider の設定(IdP が学認に登録されている場合...
https://meatwiki.nii.ac.jp/confluence/pages/viewpage.acti...
https://meatwiki.nii.ac.jp/confluence/pages/viewpage.acti...
/etc/shibboleth2.xml の編集
<MetadataProvider type="XML" uri="https://metadat...
backingFilePath="federation-metadata.xml" re...
<MetadataFilter type="RequireValidUntil" maxV...
<MetadataFilter type="Signature" certificate=...
<MetadataFilter type="Whitelist">
<Include>(...IdPのentityID...)</Include>
<Include>https://shibboleth-idp.example.jp...
→ Includeの行を増やすことで、...
</MetadataFilter>
</MetadataProvider>
<!-- コメントアウト解除 -->
(中略)
<SSO entityID="https://shibboleth-idp.example...
discoveryProtocol="SAMLDS" discoveryURL=...
SAML2
</SSO>
(中略)
<!-- コメントアウト
<SessionInitiator type="Chaining" Location="/...
<SessionInitiator type="SAML2" template="...
<SessionInitiator type="Shib1"/>
<SessionInitiator type="SAMLDS" URL="http...
</SessionInitiator>
コメントアウト -->
**IdP 側の設定 [#x8d49731]
***(1)Shibbolet SP のメタデータを IdP に配置 [#aa5ccada]
https://shib-sp.example.jp/Shibboleth.sso/Metadata
で取得できる SP のメタデータ(shib-sp-metadata.xml)を
IdP の /opt/shibboleth-idp/metadata/
に転送する.
IdP の conf/metadata-providers.xml を編集
https://meatwiki.nii.ac.jp/confluence/pages/viewpage.acti...
を参照
最後から 2行目ぐらいに以下を追加
<MetadataProvider id="sp-shib" xsi:type="FilesystemMetad...
***(2)新規SPの登録 [#k6c52d05]
/opt/shibboleth-idp/conf/attribute-filter.xml に開示する...
参考)
https://meatwiki.nii.ac.jp/confluence/pages/viewpage.acti...
-eduPersonPrincipalName
-jaGivenName
-jasn
-mail
で tomcat をリスタート
ページ名: