予備知識
IdP Identity Provider 認証を実行
SP Service Provider
設定
「技術ガイド」の「shibboleth2.xml ファイル」を見ながら設定。
https://meatwiki.nii.ac.jp/confluence/pages/viewpage.action?pageId=12158266
/etc/shibboleth/shibboleth2.xml 中、
<!-- Example of remotely supplied batch of signed metadata. -->
<!-- --> ←コメントアウト解除
<MetadataProvider type="XML" validate="true"
uri="https://metadata.gakunin.nii.ac.jp/gakunin-metadata.xml"
↑参照先のURLを設定
backingFilePath="federation-metadata.xml" reloadInterval="7200">
<MetadataFilter type="RequireValidUntil" maxValidityInterval="1296000"/>
↑validUntilの検証設定
<MetadataFilter type="Signature" certificate="/etc/shibboleth/cert/gakunin-signer-2010.cer"/>
↑自動更新メタデータの検証用証明書設定
<DiscoveryFilter type="Blacklist" matcher="EntityAttributes" trimTags="true"
attributeName="http://macedir.org/entity-category"
attributeNameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri"
attributeValue="http://refeds.org/category/hide-from-discovery" />
<TransportOption provider="CURL" option="64">1</TransportOption>
<TransportOption provider="CURL" option="81">2</TransportOption>
<TransportOption provider="CURL" option="10065">/etc/pki/tls/certs/ca-bundle.crt</TransportOption>
とある、この最後の
<TransportOption provider="CURL" option="10065">/etc/pki/tls/certs/ca-bundle.crt</TransportOption>
は多分証明書を置くローカルの場所ということでしょう。
しかしながらこのディレクトリ位置はRedHat系となります。
この位置の
ca-bundle.crt
に追記するそうです。
僕はDebian系の人なのですがDebian系は以下にすればいいかな・・・
/etc/ssl/certs/ca-certificates.crt