/
インストール(IdP)

インストール(IdP)

2023/07/20

IdPv4のインストール

実習セミナー内に準備されたLinuxサーバにJDK、Jetty、Shibboleth IdPをインストールする手順となっています。

 



1. 実習に使用する仮想サーバについて

以下は本技術ガイドで構築する前提となる環境です。

  • OS、DNS、ネットワーク、時刻同期などは設定済みとなっています。(Apache HTTP Server、mod_sslもインストール済み)

  • CentOS7

  • メモリ2GB以上

  • Apache HTTP Server 2.4 と mod_ssl

  • Java 11(OpenJDK)

  • Jetty 9.4

  • Shibboleth IdP v4

また、実習環境ではSELinuxは無効化されているものとして手順を記載しています。下記コマンドでSELinux設定が確認できます。

$ /usr/sbin/getenforce

 

2. Java 11(OpenJDK)をインストールする

1. インストール

CentOS 7にはOpenJDKのパッケージが用意されていますので、これをyumにてインストールします。

# yum install java-11-openjdk-headless

 

3. Jetty 9.4 をインストールする

1. インストール

CentOS 7にはJettyのパッケージがないので、ダウンロードしてインストールします。
実習セミナーでは予めダウンロードした「/root/PKG」内の、jetty-distribution-9.4.*.v????????.tar.gz を使います。
さらに、Shibboleth Projectが配布している各種設定ファイル群(jetty-base)を配置します。
こちらも予め「/root/PKG」内に配置してあるものを使用します。

# cd /root/PKG
# tar zxv -C /opt -f jetty-distribution-9.4.*.v????????.tar.gz
# ( cd /opt ; ln -s jetty-distribution-9.4.*.v???????? /opt/jetty )

# tar zxv -C /opt -f idp-jetty-base-9.4.?.tar.gz


サービス起動は、”jetty”ユーザに設定

"root"ユーザではなく、Jetty起動用のユーザを使用することを推奨します。
ここでは、一般的な "jetty" ユーザを作成します。(以降、"jetty"ユーザを使用する事を前提として説明します。)

# groupadd -g 110 jetty
# useradd -u 110 -g jetty -d /opt/jetty-base -s /sbin/nologin -c "Jetty daemon" jetty
useradd: 警告: ホームディレクトリが既に存在します。
skel ディレクトリからのコピーは行いません。

もしくは、
useradd: warning: the home directory already exists.
Not copying any file from skel directory into it.

(上の手順でディレクトリ作成済みのため警告が出ますが問題ありません)
以下のコマンドでその他 Jetty 関連の設定ファイルやディレクトリの所有者、パーミッションを設定します。

# chown -R root:root /opt/jetty-distribution-9.4.*.v???????? /opt/jetty-base
# chmod -R g-w /opt/jetty-base
# chown jetty:jetty /opt/jetty-base/{logs,tmp}

自動起動スクリプトは、以下のように作成します。

# cp -ip /opt/jetty/bin/jetty.sh /etc/init.d/jetty
# cp -ip /opt/jetty/bin/jetty.service /etc/systemd/system/

jetty.serviceについては、コピー後に以下のように[Service]部分を修正します。

[Service]
Type=forking
EnvironmentFile=-/etc/sysconfig/jetty
PIDFile=/opt/jetty-base/tmp/jetty.pid
ExecStart=/etc/init.d/jetty start
ExecStop=/etc/init.d/jetty stop
ExecReload=/etc/init.d/jetty restart
SuccessExitStatus=143
User=jetty
Group=jetty
TimeoutStartSec=150

以下を実行して、修正した内容を反映させます。

# systemctl daemon-reload

以下の内容で/etc/sysconfig/jettyを作成します。


2. 自動起動の設定

以下のコマンドで自動起動設定を有効にします。


3. jetty-baseの設定 

以下のように関連する設定ファイルの作成や修正を行います。

/opt/jetty-base/webapps/idp.xml の修正

/opt/jetty-base/start.d/idp-backchannel.ini を無効化
/opt/jetty-base/start.d/start.ini の作成

/opt/jetty-base/start.d/idp.ini の修正

/opt/jetty-base/modules/idp.mod の修正
/opt/jetty-base/etc/tweak-ssl.xml の作成

上記ファイルを参照するように /opt/jetty-base/modules/idp-backchannel.mod に追記します。


4. httpd の設定

以下のように設定ファイルの修正を行います。

/etc/httpd/conf/httpd.conf の修正
/etc/httpd/conf.d/ssl.conf の修正
/etc/httpd/conf.d/virtualhost-localhost80.conf の作成

これはShibboleth IdPが提供するreload-metadata.sh等のコマンドを使った操作を可能にするためのものです。

<VirtualHost localhost:80>
ProxyPass /idp/ http://localhost:8080/idp/ connectiontimeout=5 timeout=15
</VirtualHost>