SimpleSAMLphp のdefault-spとdefault-idpを連携 @ CentOS

SimpleSAMLphp のdefault-spをOpenIdPと連携させるテスト @ CentOS

前回の話を下敷きに、idpをOpenIdPではなくSimpleSAMLphpにします。
  • 作業日: 2012-11-04
  • さくらのVPS上
  • CentOS release 6.3 (Final)
  • simplesamlphp-1.10.0

まず先回りで注意ですが、同じホスト名ではidpとspを兼ねられません。クッキーの問題なのでSAMLの制約なのかもしれません。あるいはSimpleSAMLphpの問題なのかも。どちらにしても今回は1ホスト名で両方は出来ないことをまず前提とします。
When running a simpleSAMLphp IdP and a simpleSAMLphp SP on the same computer, the SP and IdP MUST be configured with different hostnames. This prevents cookies from the SP to interfere with cookies from the IdP. (SimpleSAMLphp Identity Provider QuickStart 9.1)
ちゃんと設定する場合、証明書が2つ必要、と言っているようにも感じられます。

今回は自己振出証明書 (オレオレ証明書) でidpを構築することにします。それであんまり難易度が上がったりはしませんが、証明書や設定を逆にすると後々面倒なので注意。sp側は普通の証明書が既にあります (前回の記事と同じ)

このドキュメントではidp側を idp.host、sp側を sp.host としていきます。

○ さんこうにするぺーじ

0. DNSエントリーを追加、証明書の準備、など。

idp.hostをDNSに登録します。また証明書も準備します (自己振り出しで良ければこのページの7に記述があります)

本稿はDNSや証明書のことをあんまり理解していない人がこれを書いているので、この部分は詳しく説明しません。idp.hostのAレコードを新たに追加します。

1. httpsの設定を追加

まず https://(idp.host)/simplesamlphp/ と https://(sp.host)/simplesamlphp/ の両方がブラウザから見れるようにします。

本稿はApacheのことをあんまり理解してない人以下略。

おおまかに言うと、/etc/https/conf.d/ssl.conf を見てVirtualHost のホスト指定部分, ServerName,SSLCertificateFile, SSLCertificateKeyFile, SSLCertificateChainFile に矛盾がないかを確認し、設定を修正します。 <VirtualHost *:443>とかなってたら多分まともに動きません。

idp.host に対応するVirtualHostにはそちらの証明書などを、sp.host に対応するVirtualHostにはそちらの証明書などをバラで指定する必要があるはず。

"Alias /simplesamlphp/ /opt/simplesamlphp-1.10.0/www/" も両方に指定します (前回の記事参照)

両方のホスト名でSimpleSAMLphpの初期ページが見れることを確認します。ここで証明書の設定も正しくできていることを確認します (今回は片方が「良くない証明書」ということで警告を受けるはずです。両方だとなにかおかしい)

2. saml20-idp を有効化

'enable.saml20-idp' => true,

本家では(別の有名なSSOの)Shibboleth対応と思われるshib13-idpも有効にしてますが、これは設定上若干混乱のもとなので、今回は切ったままの方が良いと思われます。

3. 認証モジュールの設定

本家を参照してください。簡単なので最初はexampleauth:Userpassから初めて良いのでは。ただ、パスワードはデフォルトからはせめて変えたほうが良いと思います。

4. IdPの設定

本家をもとにします。ただし、今回の場合はホスト名を手で指定します。


$metadata['https://(idp.host)/simplesamlphp/saml2/idp/metadata.php'] = array(
        /*
         * The hostname of the server (VHOST) that will use this SAML entity.
         *
         * Can be '__DEFAULT__', to use this entry by default.
         */
        'host' => '(idp.host)',

        /* X.509 key and certificate. Relative to the cert directory. */
        'certificate' => '/usr/local/ssl/selfcert/idp_exp.crt',
        'privatekey'  => '/usr/local/ssl/selfcert/idp_exp.key',
        // no password

        /*
         * Authentication source to use. Must be one that is configured in
         * 'config/authsources.php'.
         */
        'auth' => 'example-userpass',
        //'auth' => 'example-ldap',

        /* Uncomment the following to use the uri NameFormat on attributes. */
        'attributes.NameFormat' => 'urn:oasis:names:tc:SAML:2.0:attrname-format:uri',
        'authproc' => array(
                // Convert LDAP names to oids.
                100 => array('class' => 'core:AttributeMap', 'name2oid'),
        ),

);


5. spの設定見直し

idpのホストを直に打ったのと並行してspのホストも直打ちします。手元で試したときには、これをやらないと、ホスト名部分でSimpleSAMLphpが混乱して、両者を混在させて動作しない、という不思議動作をやらかしました (私がなにか間違ってたのかもしれないけど)

といってもやるのは authsource.php の entityID を指定するだけです。NULLではなくhttps://(sp.host)/simplesamlphp/module.php/saml/sp/metadata.php/default-sp などを入れます。

6. 自分に自分をspとして認識させる。自分に自分をidpとして認識させる。

  • spとしての自分をidpとしての自分に認識させるために、 metadata/saml20-sp-remote.php に設定を追加します。
  • idpとしての自分をspとしての自分に認識させるために、 metadata/saml20-idp-remote.php に設定を追加します。

前者は前回OpenIdPに登録した内容に類似します。

後者はEntityIDをSPのものと間違えないように (私は間違えた)。中途半端にコピーして https://(idp.host)/simplesamlphp/module.php/saml/sp/metadata.php/default-sp とかやらないように (idpとspが混ざってるよくない例)。

例えばsaml20-idp-remote.phpにはこういった設定が入るはずです。


$metadata['https://(idp.host)/simplesamlphp/saml2/idp/metadata.php'] = array (
  'name' => 'idp_exp',
  'metadata-set' => 'saml20-idp-remote',
  'entityid' => 'https://(idp.host)/simplesamlphp/saml2/idp/metadata.php',
  'SingleSignOnService' =>
  array (
    0 =>
    array (
      'Binding' => 'urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect',
      'Location' => 'https://(idp.host)/simplesamlphp/saml2/idp/SSOService.php',
    ),
  ),
  'SingleLogoutService' => 'https://(idp.host)/simplesamlphp/saml2/idp/SingleLogoutService.php',
  'certData' => 'ここは状況により違う',
  'NameIDFormat' => 'urn:oasis:names:tc:SAML:2.0:nameid-format:transient',
);


7. テスト

うまくやれば以下のような感じに。



○ 注意事項

同じマシン上での作業になるため、idpとspの役割を混ぜて混乱を起こすというのを上記の過程で私も何度もやってます。エラーを見たら、とりあえずidpとspを取り違えてメタデータを設定してないかは確認してみてください。

あと、困ったら本家をもう一度読みなおすと何か分かるかもしれません。

このブログの人気の投稿

風花雪月

 2019年のゲームなので今更感あるんだけど「なしルナ」(金鹿)までやったのでメモっとく(ただしカジュアル)。主に「難易度」と「ストーリー」について感想を書く。 ちょっと前提 自分があまりこの手のゲームに慣れていないこと、あと「ルナは別格に難しい」なんて説明があったこともあって、色々調べ物をしたり警戒しながらやってたんだけど、ネットなどの情報がだいぶ出揃ってる2021年現在、そういう情報をフルに使いこなすと「ルナでも簡単」なのかなと思う。強いキャラとそれに合った成長プランが大体全部出揃ってるのと、試しながらやらないといけないのとでは、そりゃぁ辛さが違うよね、と。 難易度面 ノーマル、ハードについて、難易度的に特に指摘するほどのものがない…… ノーマルは自分の基準からするとおおよそ「イージー」。1周目から個人的にはハード選べば良かった気がした。この手のTRPGにあんまり慣れがないので、色々安全寄りに倒したら(フリー戦闘とかね!)後半がダルダルになってしまった。とはいえ、これは振り返ってそう思うのであって、はじめてやったときに計略が全く使いこなせてなかったり色々システムの基本を追いかけられてなかった中では、妥当かもなとも思う面がある。 基本的に、このゲームはハードですらシステム全体を活用する必要があまりない。一方、ルナだとシステムをそれなりに活用しないと辛いので、ルナがコアなプレイヤーの標準難易度ってことになる気がする。 一方、じゃぁ「標準難易度」としてルナが丁度よいかというと、こちらは、なんというか「ピーキー」で、妙にキッツキツにしすぎているところが目立ってしまって、逆に若干息苦しい。 後で書くけど、DLCの煤闇の章はルナに近接していて、かつ敵が単体で跳ね回る感じではなく、敵の総数がしっかりこちらを押してくる感じがより好印象だった。しかも物語が短くコンパクト。良い。 ルナで厳しく管理しないと行けないと思った要素は後で述べる。 「引き継ぎありハード」のあと、そのまま「引き継ぎなしルナティック」(なしルナ)にチャレンジした(3周目でなしルナ)。「ありルナ」をちょっと試したのだけど、EP.3くらいには「これは後半ダレる!」ってのが目に見えたので、「なしルナ」一直線で、これはちょっとドキドキした。 ルナの前半は面白くもないパズルゲーという感じで、敵の攻撃力があまりに高いので戦
続きを読む

pemって言ったら改行も仕様に含むんだよもん

冗談じゃねぇ、と思ったけどPEMはBASE64を使っていてBASE64はMIMEの仕様の一部で、とたどっていった結果、一行あたりの制約がPEMの仕様に漏れでてくる、ということのようだ。 http://ja.wikipedia.org/wiki/Base64 https://bitbucket.org/hdknr/openidcx/issue/61/certs-pem どうしてそんなことになったかというと、OpenSSLで鍵を読み込んでいるときに、ファイル経由でpemを読んだら問題なかったのに、それをメモリ上にのっけてやってみたらだめだったという事件の流れ。データの違いは改行の違いだけで「この改行って意味があるの!?」とかびびった。 具体的には、PEM_read_bio_PrivateKey() が "bad base64 decode" とか言い出した。そんなわけあるんかいな、と思ったら、あったのだ。 メモリ上にマッピングするときに「改行なんて要らないよね」とか言った自分が悪い。いや、しかし…… PEMというのは -----BEGIN CERTIFICATE----- MIICnjCCAYYCCQCvgY9YjPLo2DANBgkqhkiG9w0BAQUFADARMQ8wDQYDVQQDEwZ1 YnVudHUwHhcNMTIxMDAzMDkyOTM1WhcNMjIxMDAxMDkyOTM1WjARMQ8wDQYDVQQD EwZ1YnVudHUwggEiMA0GCSqGSIb3DQEBAQUAA4IBDwAwggEKAoIBAQC8lP+hcVM3 ... Qjyuxx//vDtL53k92bKb2orQkL/3u/cF4ynwy6p646UkEyrQAtbUS1O/F91ZG6k9 GigCBfK8xKa5yMJ7vQQk/vmkrI+pfqc0G4uKV/lvCSmPkXqjxgA/6OvRStazr9Jt LA0gcsiaR0HwBMYe4ESZb3vzKyQKQZwr4SbfLQWPr8DA09kC3nxBo2hAhLYWptlz c9u9i7DWOPMNDxDQvXl+ibG/jqSumEONN+493z5uj/awqSt9lUyPVU7Ngn54FeVN 1iU= -----END CER
続きを読む

LibreOfficeで表紙、目次、本体でフッターのページ番号のスタイルを変える

イメージ
○ やりたいこと 次のようなドキュメントをLibreOfficeで作りたいの 表紙 (フッターのページ番号はなし) 目次 (フッターのページ番号はローマ数字で例えば i〜iii) 本文 (フッターのページ番号はリセットされて例えば 1〜40) ○ 覚えとく概念 「書式(O)」の「スタイルと書式設定」で段落のスタイルとかを設定できます。 これの内、 段落スタイル を使って色々楽しくやる方法については、以下の本を参照してくだされ。 「スタイルと書式設定」の4つめのボタンが「ページスタイル」の設定です。今回フッターをページごとに変える際にも使います。 ○ 表紙のページスタイルを「最初のページ」にする まぁ簡単ですな ○ 表紙のページで「改ページ」するとともにスタイルもリセットする 「挿入(I)」から「任意区切り」を選んで、改ページを選択します。 ここで「スタイル」ってありますね。ここで次のページのスタイルを設定します。 言い方変えると、改ページしない限り、「次ページのスタイルを変える」ことは原則できません。例外が各ページスタイルで設定されている「次に続くスタイル」です。 基本的にこの項目は「左右見開き」とかそういう限定された時にしか使えませんね。 リセットして、目次用のスタイルを上記「区切りの挿入」で指定します。 ああ、「目次」なんていうページスタイルがLibreOfficeにはない。 というわけで作ります。「スタイルと書式設定」のページスタイルの項で右クリック、「新規作成」を選択します。ここの読者がこんなところでハマると信じたくはないな。……信じとぅない! 「ページ」タブが重要。最初に「フッターのページ番号をローマ数字にする」って言ったわけで。 これで目次用のスタイルが出来たので、改ページと一緒に次のページスタイルをこれにします。あと、「ページ番号の変更」で1を選ぶのを忘れない。 ○ 目次挿入 「挿入(I)」の「目次と索引 >> 目次と索引」を使います。上の本がちょっとだけ詳しいから省略。 ○ フッターにページ番号入れる。 フッターあたりをクリックして適当にやります。適当に。 フッターを中央寄せ
続きを読む