3

我第一次尝试运行 Shibboleth SP,但我立即遇到了一个我三天不理解的问题:/

我首先使用 docker 映像unicon/shibboleth-sp作为基础。到目前为止,我只是shibboleth2.xml在两个地方进行了修改。entityID我在该部分中编写了一个特定的 IdP ,<SSO>并添加了一个<MetadataProvider>指向包含 IdP 元数据的外部 XML 文件的文件。

恕我直言,当我尝试访问 SP 上受保护的 URL 时,这应该足以重定向到 IdP。但相反,我得到一个 Shibb-Exception No MetadataProvider available

这些是我所做的更改shibboleth2.xml

<ApplicationDefaults entityID="https://sp.example.org/shibboleth" ... >
    ...
    <Sessions ... >
        ...
        <!--
        Configures SSO for a default IdP. To properly allow for >1 IdP, remove
        entityID property and adjust discoveryURL to point to discovery service.
        You can also override entityID on /Login query string, or in RequestMap/htaccess.
        -->
        <SSO entityID="https://testidp.aai.dfn.de/idp/shibboleth"
            discoveryProtocol="SAMLDS" discoveryURL="http://www.aai.dfn.de/DS/WAYF">
            SAML2
        </SSO>
        ...
    </Sessions>
    ...
    <MetadataProvider type="XML" id="dfn-aai-test-metadata"
        url="http://www.aai.dfn.de/fileadmin/metadata/dfn-aai-test-metadata.xml"
        backingFilePath="federation-dockermeta-metadata.xml" maxRefreshDelay="3600">
        <MetadataFilter type="RequireValidUntil" maxValidityInterval="2419200"/>
        <MetadataFilter type="Signature" certificate="/etc/ssl/aai/dfn-aai.g2.pem" verifyBackup="false"/>
    </MetadataProvider>
    ...
</ApplicationDefaults>

经过几天的调试,我很确定 SP 正确解析了<MetadataProvider>标签,但似乎完全忽略了它。设置 Log-Levels 以DEBUG显示 MetadataProvider 已被解析(其 XML 结构在日志输出中可见),但它不会尝试访问 URL。甚至没有 DNS 请求,www.aai.dfn.de也没有尝试访问该 URL。此外,日志中没有错误。甚至没有任何迹象表明它试图在日志中加载外部元数据。我在日志文件中遇到的第一个也是唯一一个错误是No MetadataProvider available在尝试访问受保护的资源之后。

我以前从未设置过 Shibboleth SP(因为每个人都告诉我这是一个 PITA)。我不确定这是否是 Shibboleth SP 或 docker 映像的问题。很可能我是问题所在,我只是错过了一些非常明显的东西......

我需要帮助 :)

我使用的完整代码可以在这里找到: https ://gitlab.com/xsrf/shibb-sp/tree/5380f4550ac1a5ffb47d96138d837f1cf6acdb60

4

1 回答 1

3

当我看到这通常是权限问题......即运行该shibd进程的用户无权访问元数据文件(或者在这种情况下更可能是用于验证的权限文件)。我认为仅docker add在 Dockerfile 中执行该目标还不够,因为 shibd 无法读取/etc/ssl/aai/.

我必须拉出你的回购并自己尝试弄清楚要做什么,但似乎一个快速的软糖就是把证书放进去/etc/shibbolethshibd可以读取该目录。

编辑:除了权限问题之外,它似乎无法下载该元数据......我通过添加更正了权限问题

RUN chown -R shibd:shibd /etc/shibboleth/
RUN chown -R shibd:shibd /var/cache/shibboleth/

到你的 Dockerfile。

现在,当我尝试测试配置时看到此错误:

root@ac4861a1faae shibboleth]# /usr/sbin/shibd -t
2019-10-03 16:51:39 CRIT XMLTooling.Config : libcurl lacks OpenSSL-specific options, this will greatly limit functionality
2019-10-03 16:51:39 WARN Shibboleth.Application : insecure cookieProps setting, set to "https" for SSL/TLS-only usage
2019-10-03 16:51:39 WARN Shibboleth.Application : handlerSSL should be enabled for SSL/TLS-enabled web sites
2019-10-03 16:51:39 ERROR XMLTooling.libcurl.InputStream [dfn-aai-test-metadata]: error while fetching http://www.aai.dfn.de/fileadmin/metadata/dfn-aai-test-metadata.xml: (22) The requested URL returned error: 404 Not Found
2019-10-03 16:51:39 ERROR XMLTooling.ParserPool [dfn-aai-test-metadata]: fatal error on line 0, column 0, message: internal error in NetAccessor
2019-10-03 16:51:39 ERROR OpenSAML.MetadataProvider.XML [dfn-aai-test-metadata]: error while loading resource (http://www.aai.dfn.de/fileadmin/metadata/dfn-aai-test-metadata.xml): XML error(s) during parsing, check log for specifics
2019-10-03 16:51:39 WARN OpenSAML.MetadataProvider.XML [dfn-aai-test-metadata]: adjusted reload interval to 600 seconds
2019-10-03 16:51:39 WARN OpenSAML.MetadataProvider.XML [dfn-aai-test-metadata]: trying backup file, exception loading remote resource: XML error(s) during parsing, check log for specifics
2019-10-03 16:51:39 ERROR XMLTooling.ParserPool [dfn-aai-test-metadata]: fatal error on line 0, column 0, message: unable to open primary document entity '/var/cache/shibboleth/federation-dockermeta-metadata.xml'
2019-10-03 16:51:39 ERROR OpenSAML.MetadataProvider.XML [dfn-aai-test-metadata]: error while loading resource (/var/cache/shibboleth/federation-dockermeta-metadata.xml): XML error(s) during parsing, check log for specifics
2019-10-03 16:51:39 CRIT Shibboleth.Application : error initializing MetadataProvider: XML error(s) during parsing, check log for specifics
overall configuration is loadable, check console or log for non-fatal problems

而且,果然……尝试从 docker 容器中卷曲该 URL 失败:

[root@ac4861a1faae shibboleth]# curl http://www.aai.dfn.de/fileadmin/metadata/dfn-aai-test-metadata.xml
<!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN">
<html><head>
<title>404 Not Found</title>
</head><body>
<h1>Not Found</h1>
<p>The requested URL was not found on this server.</p>
</body></html>

即使它在我的本地机器上成功。使用静态文件有效,请参阅:https ://i.imgur.com/gXxC7z9.png这基本上是我希望看到的实际上并未与该 IdP 集成的 SP。

因此,我认为问题出在您的 docker 网络中。

编辑#2:不,刚刚杀死了我以某种方式没有连接的虚拟网络服务器正在运行,它工作得很好。就像我说的那样,这是一个权限问题。将这两RUN行添加到 Dockerfile 的末尾,它应该可以工作。

于 2019-10-03T15:24:38.050 回答