Настройка Shibboleth - обратный прокси с Nginx на Jetty 9.4.9

Question

Я настраиваю Shibboleth для использования SAML 2.0.Эта настройка содержит обратный прокси-сервер с использованием Nginx для Jetty 9.49, который указывает на файл shibboleth idp.war.Для тестирования я использую сервисный провайдер django из этого примера здесь .

Я использую самоподписанные сертификаты.

Я могу получить доступ к обоим https://idp.localhost/idp/shibboleth и https://idp.localhost/idp/status,, но не https://idp.localhost/idp/profile/SAML2/POST/SSO. Из файла журнала Shibboleth я получаю эту ошибку каждый раз, когда просматриваю https://idp.localhost/idp/profile/SAML2/POST/SSO:

2018-04-2518: 20: 47,746 - ОШИБКА [org.opensaml.saml.common.binding.security.impl.ReceivedEndpointSecurityHandler: 200] - Обработчик сообщений: конечная точка назначения сообщения SAML 'https://idp.localhost/idp/profile/SAML2/POST/SSO' не соответствует конечной точке получателя' http://idp.localhost/idp/profile/SAML2/POST/SSO'

==> idp-warn.log <== 2018-04-25 18: 20: 47,746 - ОШИБКА [org.opensaml.saml.common.binding.security.impl.ReceivedEndpointSecurityHandler: 200]- Обработчик сообщений: конечная точка назначения сообщения SAML '<a href="https://idp.localhost/idp/profile/SAML2/POST/SSO" rel="nofollow noreferrer">https://idp.localhost/idp/profile/SAML2/POST/SSO' не соответствует конечной точке получателя' http://idp.localhost/idp/profile/SAML2/POST/SSO'

==> idp-process.log <== 2018-04-25 18:20: 47,748 - ПРЕДУПРЕЖДЕНИЕ [net.shibboleth.idp.profile.impl.WebFlowMessageHandlerAdaptor: 202] - Действие профиля WebFlowMessageHandlerAdaptor: ExСообщение обработки ceg org.opensaml.messaging.handler.==> idp-warn.log <== 2018-04-25 18: 20: 47,748 - WARN [net.shibboleth.idp.profile.impl.WebFlowMessageHandlerAdaptor: 202] - Действие профиля WebFlowMessageHandlerAdaptor: сообщение об обработке исключения org.opensaml.messaging.handler.MessageHandlerException: сообщение SAML не прошло проверку полученной конечной точки на org.opensaml.saml.common.binding.security.impl.ReceivedEndpointSecurityHandler.checkEndpointURI (ReceivedEndpointSecurityHandler.java:202) </p> * 1030-=.>log <== 2018-04-25 18: 20: 47,749 - WARN [org.opensaml.profile.action.impl.LogEvent: 105] - Во время обработки запроса произошло непереходное событие: MessageAuthenticationError </p>

==> idp-warn.log <== 2018-04-25 18: 20: 47,749 - WARN [org.opensaml.profile.action.impl.LogEvent: 105] - Во время обработки запроса произошло непереходное событие: MessageAuthenticationError </p>

Где я ошибся?

Answer 1

Я думаю, что запрос был выполнен в HTTPS, а ответ возвращен в чистом HTTP.Такая проблема иногда возникает, когда Jetty не был установлен из источника или с другими поврежденными пакетами.В этой ситуации трудно диагностировать.

Попробуйте скомпилировать jetty из исходного кода, сначала очистите вашу старую установку.

Я также собрал полную процедуру установки IDP / SP с apache2 или nginx/ tomcat или установка молы здесь, с ansible:

https://github.com/peppelinux/Ansible-Shibboleth-IDP-SP-Debian9

Требуется 4 минуты, чтобы получить то, что вы ожидаете. Требуется существующая установка LDAP.