0

idp-process.log

错误 [org.opensaml.ws.security.provider.MandatoryAuthenticatedMessageRule:37] - 入站消息发布者未通过身份验证。

shibd.log

错误 OpenSAML.SOAPClient [109]:SOAP 客户端检测到 SAML 错误:(urn:oasis:names:tc:SAML:2.0:status:Responder)(消息不符合安全要求)

错误 Shibboleth.AttributeResolver.Query [109]:属性授权返回 SAML 错误

Shibboleth 身份验证过程正常工作。Active Directory 服务器 (LDAP) 已正确配置为通过 SSL 工作,该 SSL 已使用 LDP.exe 进行了验证。我还编写了一个简单的 Java 程序来尝试通过 SSL 协议连接到 Active Directory 服务器。我能够使用端口 636 连接到服务器,传递了包括密码在内的用户凭据,并且服务器正确响应。

证书已被相应的 JVM cacerts 信任。

设置说明已按照https://wiki.shibboleth.net/confluence/display/SHIB2/ResolverLDAPDataConnector中的说明进行操作

但是,在从 Active Directory 服务器查询属性期间仍然存在错误。以下是配置的片段。

关于属性查询为什么有错误的任何想法?

谢谢。

属性解析器.xml

<resolver:DataConnector id="myLDAP" xsi:type="dc:LDAPDirectory"
    ldapURL="ldaps://WIN-1GB01UK5SL6.VECISADTEST.com" 
    baseDN="CN=Users,DC=vecisadtest,DC=com" 
    principal="Administrator@vecisadtest.com"
    principalCredential="XXX"
    useStartTLS="false"
    >
    <dc:FilterTemplate>
        <![CDATA[
            (uid=$requestContext.principalName)
        ]]>
    </dc:FilterTemplate>

    <StartTLSTrustCredential xsi:type="sec:X509Filesystem"
    xmlns="urn:mace:shibboleth:2.0:resolver:dc"
    id="UA_AD_CA_Certificate">
      <sec:Certificate>C:\Progs\ShibbolethIdP\certs\VECISADTEST.pem</sec:Certificate>
    </StartTLSTrustCredential>

    <StartTLSAuthenticationCredential xsi:type="sec:X509Filesystem"
    xmlns="urn:mace:shibboleth:2.0:resolver:dc"
    id="IdPtoLDAPCredential">
        <sec:PrivateKey>C:\Progs\ShibbolethIdP\credentials\idp.key</sec:PrivateKey>
        <sec:Certificate>C:\Progs\ShibbolethIdP\credentials\idp.crt</sec:Certificate>
    </StartTLSAuthenticationCredential>


</resolver:DataConnector>

登录配置

edu.vt.middleware.ldap.jaas.LdapLoginModule required
  host="WIN-1GB01UK5SL6.VECISADTEST.com"
  port="636"
  base="CN=Users,DC=vecisadtest,DC=com"
  tls="false"
  serviceCredential="XXX"
  userRoleAttribute="sAMAccountName"
  serviceUser="Administrator@vecisadtest.com"
  ssl="true"
  subtreeSearch = "true"
  userField="sAMAccountName";

idp-metadata.xml

<AttributeService Binding="urn:oasis:names:tc:SAML:1.0:bindings:SOAP-binding" Location="https://idp.janet.org:8444/idp/profile/SAML1/SOAP/AttributeQuery"/><AttributeService Binding="urn:oasis:names:tc:SAML:2.0:bindings:SOAP" Location="https://idp.janet.org:8444/idp/profile/SAML2/SOAP/AttributeQuery"/>

谢谢。

4

1 回答 1

1

该问题已通过更新服务提供商上的配置文件shibboleth2.xml得到解决。签名属性必须设置为 true。

[Shibboleth Service Provider 安装位置] \etc\shibboleth\shibboleth2.xml

SPConfig > ApplicationDefaults@signing

默认安装 Shibboleth Service Provider 2.5.2,签名属性为 false。

于 2013-10-09T09:26:17.023 回答