貴学にてIdPv4をインストールする場合の構築手順
貴学にてIdPをインストールする場合の構築手順
貴学にて、貴学のサーバにOSを含めShibboleth IdPならびに必要なパッケージのインストール・設定を行う手順を説明します。
1. Shibboleth IdP (version 4以降) の動作要件
以下は本技術ガイドで構築する前提となる環境です。
メモリ3GB以上
Java実行環境への推奨割り当てメモリ量が1.5GBですので、その動作に支障がないようにしてください。Apache HTTP Server 2.4 以上 と mod_ssl
以下のパッケージはインストール方法も含めて以降の手順で説明します。
Jetty 9.4
jetty-distribution-9.4.32.v20200930を使った手順となっています。
※いずれも以下のShibbolethのサイト「Jetty94」が情報源です。以前の技術ガイドではサーブレットコンテナとしてTomcatを用いたものをご案内しておりました。その関係で継続してTomcat利用を強くご希望の方向けに、暫定的にShibboleth IdP V4をTomcat 9で構築する方法を別途ご案内しております:
⇒旧: 貴学にてIdPv4(Tomcat)をインストールする場合の構築手順いずれにしろTomcat 10およびそれ以降はサポートできかねますのでご了承ください。
あくまでも暫定版です。すでに運用中でTomcatをお使いの方は動作確認の上Jettyへの移行をご検討ください。
Java 11
Java 11以降のバージョンのみ対応しています。
Oracle JDK / OpenJDK 11にてLDAPサーバへの接続にLDAPSを使う場合、以下のエラーになるという情報があります。
java.lang.NullPointerException: Thread local SslConfig has not been set原因はJDKのバグであるとのことです。該当する場合、以下でUnboundIDを使う回避策が提示されています。
https://wiki.shibboleth.net/confluence/display/IDP30/LDAPonJava>8
詳細: https://issues.shibboleth.net/jira/browse/IDP-1357エントロピー不足で起動が遅くなる場合があるという情報があります。jre/conf/security/java.securityやシステムプロパティ等で対処してください。
確認方法および手順例: IdPのサービス動作状況の確認の「よくあるエラー」の503エラーの項この問題はCentOS 7を使っている場合に顕著です。
VMで稼働させていてこの問題がある場合、ホストマシンでHavegedを導入しVMからこれを参照する等で十分なエントロピーを生成できる場合があるようですので、合わせてご検討ください。
GNU Javaは利用できません。 OpenJDKもしくはOracleのJavaを利用してください。
最新の情報はShibbolethのサイトでご確認ください:
全体, Jetty 9.4
2. OSをインストールする
1. OSでの設定
・OS(CentOS 7)インストール
インストーラでインストールするもの。
Webサーバー (HTTPのみ)
OpenLDAP
その他のパッケージは必要に応じてインストールしてください。
ただし、Java開発とJettyは後の手順で別にインストールします。
運用フェデレーション参加後に、ホスト名を変更する場合はいくつか考慮・解決すべき点があります。
ホスト名は十分ご検討いただいた上で設定してください。詳しくは IdPのホスト名変更に関する注意点 をご参照ください。
※このテキストはSELinuxはPermissiveに設定されているものとして書かれております。下記コマンドでSELinux設定を確認してください。
$ /usr/sbin/getenforce
・ネットワーク設定
環境に合わせ、ホスト名・ネットワーク・セキュリティを設定して下さい。
2. DNSへ登録する
新しいホスト名とIPアドレスをDNSに登録してください。