MoinMoin + SAML SSO

結構長い道のりなので、ググってヒットして喜んでる人がいたらとりあえず頭を冷やそうか。

環境は
  • SP (= MoinMoin側)
    • Ubuntu 12.04 LTS
    • python-moimoin 1.9.3-1ubuntu2
    • moinmoinsaml 最終更新 2012-06-12 時点
  • IdP
    • SimpleSAMLphp 1.8.2-1
      • 同じマシンで別のホスト名を使ってやりとりさせてるトリッキーな設定

○ MoinMoinってもわもわしてる。

いいえ、Pythonで書かれたWikiです。

SAML対応はプラグインを書いている方がいる。ただ、それほど親切な実装にはなってないので、比較的SAMLを理解してないとこれは使いづらい。分かってれば比較的大丈夫だけど、ライブラリの挙動を見つつ書くってのは結構骨が折れる。やりたいのはただのSSOなんだけど。

moimoinsamlをそのまま使うと、IdPから送られてきた「uid」のattributeを勝手にMoinMoin内のアカウント名として認識してログインする。

今回はその部分を「givenNameとsn (sur name = 姓)」の両方があった場合は結合して使おうとしてみる、というロジックも入れた。いやだってそういう名前でログインしてたんだもん!

○ やること

基本的に現在上記のページ (moinmoinsaml) に書いてあることの意味を汲み取って書く感じに

1. pysaml2 を入れる

思ったより問題なく入った。

そういえばこれに関連してpyxmlsecのメンテされなさ具合を意識してたんだが、pysaml2自体はxmlsecを直接使ってるだけなのね (ていうかコマンドライン経由で使ってるのか……!) 

# xmlsec自体は証明書周りの処理に使うのだと思う。コマンドラインツールは優秀だぞっ

というわけでpysaml2自体は安牌だった。

なお、本家で必要になるかもしれないと指摘されているパッケージはMoinMoinでのケースでは必要ないように見える。ただ、エラーが出たらその都度入れるべき。

2. とりあえずmoinmoinのログを見られるようにする

/usr/local/share/moin/moin.wsgi でコメントアウトされている from MoinMoin import log 辺りをいじる。
もともとあるファイルを参照する形で log.load_config('/usr/local/share/moin/config/logging/logfile') といった感じでやってしまったが、別の方法でも別に問題ない気がする。

なお、Apacheの再起動が必要に見えた。以降も逐一再起動した。reloadでも良い可能性はあるけど。

3. moinmoinsamlに入っているsaml.pyとSAMLMetadata.pyを指定された場所にコピー
Copy the saml.py file to the MoinMoin/auth directory. This may be located in
the Python site-packages directory or on a local directory depending on the
way you have installed MoinMoin.

Then copy the SAMLMetadata.py file to wiki/data/plugin/action/ directory of
your wiki instance.

今回の環境では
  • /usr/local/lib/python2.7/dist-packages/MoinMoin/auth/
  • /usr/local/share/moin/data/plugin/action/
よくわかんないときはlocateとか色々駆使するのだ。

4. wikiconfig.py に設定を書き連ねる

最大の山場

ちなみにこれをやって、再起動した時点から以前のユーザ名パスワード画面が出ずにSSOを強制使用するようになる。wikiconfig.pyは特に注意して設定しないと二度とログインできなくなる

こういう感じにした

ちなみに本家サイトの設定例にもある eduPersonAffiliation という部分は実際には使ってない。uidを使う。

この辺り、本家は「最後にこういう感じで」とか書いてあって超シンプルに終わってるのだけど、IdPのメタデータの断片をpysaml2形式で書き連ねるとかそういうところが密やかにどっちゃり入ってて、筆者のダルさが感じられる。うぐぅ

この辺りでSAMLの仕様を全力で利用しきった設定を書くにはpysaml2の方を理解する必要がある気がする。今回のプラグインはそれを使ってるだけなので。

テスト中はクッキーの挙動とかが未知なので、Chromeのincognito windowを使うとか、サブのブラウザを開いて閉じてを繰り返したりとか、IdP側のクッキーを逐一消すとかの工夫があったほうが良いかもしれない。今回は、はまらなかったけど……

5. attribute_map_dir を作って __init__.py にMAPを作る

これがないとMoinMoinがクラッシュする。

今回の環境で上の設定ファイルの場合は /usr/local/share/moin/attribute-maps。これはwikiconfig.pyで指定されたディレクトリを見に行くので、別にどこにしても良いとは思う。

基本的にはこの辺りなども参照しながらよろしくやる。


このattribute mapというものについての説明が全然ないのだが、attribute mapはIdPから送られてきたattributeをどこにマッピングするかを決めるもの「っぽい」 (ShibbolethにもAttribute Mapperってのがあるよね)。

今回については背後にLDAPがあってそのuidなどを使う前提にしていたので、この設定はかなりいい加減。具体的には、上記のサイトのをコピーした。

# Active Directory的な何かの設定に見えるな……

attribute_map_dirを設定しない場合にどうなるかは試してない。なくてエラーが出ないようならソッチの方が健全な気がする。

6. IdP 側にこのSPのメタデータを登録する。

http://(spのホスト)/moin/?action=SAMLMetadata にアクセスすると、moimoinsamlがうまく動いていればメタデータのxmlを吐き出してくれる。というわけでそれをIdPに教える。

ちなみに今回もIdPがSimpleSAMLphpなため、自前のxmltophp的ツール使ってみた。……そしたら、明らかなバグがあってドン引きした。ごめんよごめんよ。やる気なくてごめんよ。

6. とりあえずログイン出来るのを確認しよう。

エラーは Apache と moinmoinのどっちに出るかはケースバイケース。IdP側のログも見るべき。

7. ログインに使う名前を、IdPから与えられた givenName と sn から構築出来るか試す。

明らかにバックエンドが LDAP でスキーマとしてinetOrgPerson と posixAccount というのを前提にしているのだけど普通そうじゃね? eduPerson とかここでつかわねーよなぁ……つかうのかなぁ……

最初にコピーした saml.py の uid をMoiMoinの名前に変換するロジックに少しコードを挟むだけ。Python知ってればすぐできる。出来なかったら、ねんじろ!


givenNameとsnがない場合は素直に uid を使う実装になっている、はず。

このブログの人気の投稿

風花雪月

 2019年のゲームなので今更感あるんだけど「なしルナ」(金鹿)までやったのでメモっとく(ただしカジュアル)。主に「難易度」と「ストーリー」について感想を書く。 ちょっと前提 自分があまりこの手のゲームに慣れていないこと、あと「ルナは別格に難しい」なんて説明があったこともあって、色々調べ物をしたり警戒しながらやってたんだけど、ネットなどの情報がだいぶ出揃ってる2021年現在、そういう情報をフルに使いこなすと「ルナでも簡単」なのかなと思う。強いキャラとそれに合った成長プランが大体全部出揃ってるのと、試しながらやらないといけないのとでは、そりゃぁ辛さが違うよね、と。 難易度面 ノーマル、ハードについて、難易度的に特に指摘するほどのものがない…… ノーマルは自分の基準からするとおおよそ「イージー」。1周目から個人的にはハード選べば良かった気がした。この手のTRPGにあんまり慣れがないので、色々安全寄りに倒したら(フリー戦闘とかね!)後半がダルダルになってしまった。とはいえ、これは振り返ってそう思うのであって、はじめてやったときに計略が全く使いこなせてなかったり色々システムの基本を追いかけられてなかった中では、妥当かもなとも思う面がある。 基本的に、このゲームはハードですらシステム全体を活用する必要があまりない。一方、ルナだとシステムをそれなりに活用しないと辛いので、ルナがコアなプレイヤーの標準難易度ってことになる気がする。 一方、じゃぁ「標準難易度」としてルナが丁度よいかというと、こちらは、なんというか「ピーキー」で、妙にキッツキツにしすぎているところが目立ってしまって、逆に若干息苦しい。 後で書くけど、DLCの煤闇の章はルナに近接していて、かつ敵が単体で跳ね回る感じではなく、敵の総数がしっかりこちらを押してくる感じがより好印象だった。しかも物語が短くコンパクト。良い。 ルナで厳しく管理しないと行けないと思った要素は後で述べる。 「引き継ぎありハード」のあと、そのまま「引き継ぎなしルナティック」(なしルナ)にチャレンジした(3周目でなしルナ)。「ありルナ」をちょっと試したのだけど、EP.3くらいには「これは後半ダレる!」ってのが目に見えたので、「なしルナ」一直線で、これはちょっとドキドキした。 ルナの前半は面白くもないパズルゲーという感じで、敵の攻撃力があまりに高いので戦
続きを読む

pemって言ったら改行も仕様に含むんだよもん

冗談じゃねぇ、と思ったけどPEMはBASE64を使っていてBASE64はMIMEの仕様の一部で、とたどっていった結果、一行あたりの制約がPEMの仕様に漏れでてくる、ということのようだ。 http://ja.wikipedia.org/wiki/Base64 https://bitbucket.org/hdknr/openidcx/issue/61/certs-pem どうしてそんなことになったかというと、OpenSSLで鍵を読み込んでいるときに、ファイル経由でpemを読んだら問題なかったのに、それをメモリ上にのっけてやってみたらだめだったという事件の流れ。データの違いは改行の違いだけで「この改行って意味があるの!?」とかびびった。 具体的には、PEM_read_bio_PrivateKey() が "bad base64 decode" とか言い出した。そんなわけあるんかいな、と思ったら、あったのだ。 メモリ上にマッピングするときに「改行なんて要らないよね」とか言った自分が悪い。いや、しかし…… PEMというのは -----BEGIN CERTIFICATE----- MIICnjCCAYYCCQCvgY9YjPLo2DANBgkqhkiG9w0BAQUFADARMQ8wDQYDVQQDEwZ1 YnVudHUwHhcNMTIxMDAzMDkyOTM1WhcNMjIxMDAxMDkyOTM1WjARMQ8wDQYDVQQD EwZ1YnVudHUwggEiMA0GCSqGSIb3DQEBAQUAA4IBDwAwggEKAoIBAQC8lP+hcVM3 ... Qjyuxx//vDtL53k92bKb2orQkL/3u/cF4ynwy6p646UkEyrQAtbUS1O/F91ZG6k9 GigCBfK8xKa5yMJ7vQQk/vmkrI+pfqc0G4uKV/lvCSmPkXqjxgA/6OvRStazr9Jt LA0gcsiaR0HwBMYe4ESZb3vzKyQKQZwr4SbfLQWPr8DA09kC3nxBo2hAhLYWptlz c9u9i7DWOPMNDxDQvXl+ibG/jqSumEONN+493z5uj/awqSt9lUyPVU7Ngn54FeVN 1iU= -----END CER
続きを読む

LibreOfficeで表紙、目次、本体でフッターのページ番号のスタイルを変える

イメージ
○ やりたいこと 次のようなドキュメントをLibreOfficeで作りたいの 表紙 (フッターのページ番号はなし) 目次 (フッターのページ番号はローマ数字で例えば i〜iii) 本文 (フッターのページ番号はリセットされて例えば 1〜40) ○ 覚えとく概念 「書式(O)」の「スタイルと書式設定」で段落のスタイルとかを設定できます。 これの内、 段落スタイル を使って色々楽しくやる方法については、以下の本を参照してくだされ。 「スタイルと書式設定」の4つめのボタンが「ページスタイル」の設定です。今回フッターをページごとに変える際にも使います。 ○ 表紙のページスタイルを「最初のページ」にする まぁ簡単ですな ○ 表紙のページで「改ページ」するとともにスタイルもリセットする 「挿入(I)」から「任意区切り」を選んで、改ページを選択します。 ここで「スタイル」ってありますね。ここで次のページのスタイルを設定します。 言い方変えると、改ページしない限り、「次ページのスタイルを変える」ことは原則できません。例外が各ページスタイルで設定されている「次に続くスタイル」です。 基本的にこの項目は「左右見開き」とかそういう限定された時にしか使えませんね。 リセットして、目次用のスタイルを上記「区切りの挿入」で指定します。 ああ、「目次」なんていうページスタイルがLibreOfficeにはない。 というわけで作ります。「スタイルと書式設定」のページスタイルの項で右クリック、「新規作成」を選択します。ここの読者がこんなところでハマると信じたくはないな。……信じとぅない! 「ページ」タブが重要。最初に「フッターのページ番号をローマ数字にする」って言ったわけで。 これで目次用のスタイルが出来たので、改ページと一緒に次のページスタイルをこれにします。あと、「ページ番号の変更」で1を選ぶのを忘れない。 ○ 目次挿入 「挿入(I)」の「目次と索引 >> 目次と索引」を使います。上の本がちょっとだけ詳しいから省略。 ○ フッターにページ番号入れる。 フッターあたりをクリックして適当にやります。適当に。 フッターを中央寄せ
続きを読む