Versions Compared

Old Version 42

changes.mady.by.user carsi_pku_team

Saved on

compared with

New Version 43

changes.mady.by.user carsi_pku_team

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.
Table of Contents
minLevel1
maxLevel7

...

    <MetadataProvider id="HTTPMetadata"
         xsi:type="FileBackedHTTPMetadataProvider"
         backingFile="/opt/shibboleth-idp/metadata/carsifed-metadata.xml"
         minRefreshDelay="PT5M"
         maxRefreshDelay="PT10M"
         metadataURL="https://www.carsi.edu.cn/carsimetadata/carsifed-metadata.xml">
        <MetadataFilter xsi:type="SignatureValidation" certificateFile="/opt/shibboleth-idp/credentials/dsmeta.pem" />
        <MetadataFilter xsi:type="EntityRoleWhiteList">
            <RetainedRole>md:SPSSODescriptor</RetainedRole>
        </MetadataFilter>

        <MetadataFilter xsi:type="Algorithm">
                <!-- CBC-only SPs. -->
                <md:EncryptionMethod Algorithm="http://www.w3.org/2001/04/xmlenc#aes128-cbc" />
               <Entity><https://sp entity id1</Entity>
<Entity><https://sp entity id2</Entity>
        </MetadataFilter>

   </MetadataProvider>

20. IdP安装配置时,预上线环境测试显示登陆成功,但释放属性部分显示为空,这个一般是什么原因?

...

  1. 查看idp-process.log, 检查是否有以下错误:
    2022-07-15 11:31:29,165 - 192.168.xx.xxx - ERROR [org.jasig.cas.client.util.CommonUtils:439] - SSL error getting response from host: cas-pass.XXXX.edu.cn : Error Message: Unexpected error: java.security.InvalidAlgorithmParameterException: the trustAnchors parameter must be non-empty
    javax.net.ssl.SSLException: Unexpected error: java.security.InvalidAlgorithmParameterException: the trustAnchors parameter must be non-empty
    at java.base/sun.security.ssl.Alert.createSSLException(Alert.java:133)
    Caused by: java.lang.RuntimeException: Unexpected error: java.security.InvalidAlgorithmParameterException: the trustAnchors parameter must be non-empty
    at java.base/sun.security.validator.PKIXValidator.<init>(PKIXValidator.java:102)
    Caused by: java.security.InvalidAlgorithmParameterException: the trustAnchors parameter must be non-empty
    at java.base/java.security.cert.PKIXParameters.setTrustAnchors(PKIXParameters.java:200)
    2022-07-15 11:31:29,166 - 192.168.70.235 - ERROR [net.unicon.idp.externalauth.ShibcasAuthServlet:111] - Ticket validation failed, returning InvalidTicket
    java.lang.RuntimeException: javax.net.ssl.SSLException: Unexpected error: java.security.InvalidAlgorithmParameterException: the trustAnchors parameter must be non-empty
    at org.jasig.cas.client.util.CommonUtils.getResponseFromServer(CommonUtils.java:440)

  2. 如果有以上错误,请检查CAS认证服务网站数字证书,通常因其证书不完善导致报错。

...

注:www.myssl.com提供免费网站数字证书检测服务。

23. IdP上线运行后,如何检查IdP服务器的运行状态是否正常?

除需要操作系统运行正常外,IdP的运行依赖于Nginx、Jetty以及IdP软件自身的正常运行,检查步骤如下:

  1. 使用systemctl status nginx命令检查Nginx状态是否正常,如果输出如下图所示 active (running),则nginx运行正常。

    Image Added

  2. 使用systemctl status jetty命令检查Jetty状态是否正常,如果输出如下图所示 active (running),则Jetty运行正常。

    Image Added

  3. 使用浏览器打开https://XXX.XXX.edu.cn/idp/shibboleth ,注意使用学校IdP服务器域名替代XXX.XXX.edu.cn,如果能够看到本校IdP服务器的metadata文件,则IdP服务器运行状态正常。

24. 当访问ds.carsi.edu.cn,选择认证学校时,我校名称被虚标显示,是什么原因?

CARSI联盟最近上线了学校IdP服务器运行状态监测软件,会每隔1小时监测一次学校IdP服务器运行状态,监测方式是通过curl方式查看学校IdP服务器metadata文件,如果学校IdP服务器网络链接状态不正常或不能正常查看metadata文件,则在认证学校选择列表中会被虚标。监测软件每小时运行一次,当学校IdP服务器运行恢复正常后,1小时内这虚标现象就会消失。