Shibboleth IdP3をDockerコンテナ化するスクリプトをGitHubで公開しました

こんにちは、サイオステクノロジー技術部 武井です。今回は、オープンソースな学術系シングルサインオンシステム「Shibboleth IdP」のバージョン3をDockerコンテナ化するための諸々の設定ファイルを作成してみました。SPも含めてすぐに動作検証できる環境が出来上がりますので便利だと思います。以下のGitHubに上げていますので、是非使ってみて下さい。

https://github.com/noriyukitakei/dockerized-shibboleth-idp3

これはなに?

これを使うと、Shibboleth IdPバージョン3の稼働に必要なhttpサーバー(Apache)、アプリケーションサーバー(Tomcat)、LDAPサーバー(OpenLDAP)、SP(Shibboleth SP)のDockerコンテナが、とってもラクチンに作成できます。もちろん、ローカルのPCで動かすことが出来ますし、Kubernetesのようなコンテナオーケストレーターでも動かすことが出来ます。Azure Kubernetes Serviceではサクッと動きました。

どんだけラクチンかというと、以下のコマンドだけでShibboleth IdP、Shibboleth SP、OpenLDAP、SPの環境が出来上がります。手っ取り早く作りたいという方は、とりあえず以下を試してみて下さい(^o^)

ホント、これだけですヮ(゚д゚)ォ!

作った目的

Shibbolethの環境作成は意外に厄介です。Shibboleth本体のみならずLDAPやSPも必要となりますが、このスクリプトを使えば、それらのDockerコンテナが瞬時に出来上がり、Shibboleth Idp3を検証する環境があっという間にできあがりますヮ(゚д゚)ォ!しかもDockerコンテナですので、ローカル環境で動かせるという手軽さもあります。超めんどくさいShibbolethの環境構築を超ラクチン化、そしてベルサッサしてハナキンのアフターファイブを満喫できるようにこのスクリプトを作成しました。

システム構成

システム構成は以下のようになります。このスクリプトを動かすと、Shibboleth Idpを動作させるためのApache、Tomcat、OpenLDAPのコンテナが起動します。そして、Shibboleth SPを動作させるためのShibboleth SPモジュールのコンテナも起動します。IdP、SPはそれぞれidp.example.org、sp.example.orgをいうホスト名を持っており、hostsファイルで127.0.0.1にアクセスさせるようにします。ポートフォワードで443、10443宛のアクセスをそれぞれIdP、SPに転送します。IdPのEntityIDはhttps://idp.example.org/idp/shibboleth、SPのEntityIDはhttps://sp.example.org/shibbolethです。

ファイル構成

ファイル構成は以下のとおりです。トップにdocker-compose.ymlがあり、そのファイルを元にdocker-compose biuldすると必要なコンテンが全て生成されます。各ディレクトリは生成されるコンテナごとの設定ファイルが格納されています。

各ファイルやディレクトリの詳細を以下に記載します。

shibbolethディレクトリ

Shibbolethの設定ファイル(/opt/shibboleth-idp配下のファイル)を生成するために必要なコンテナの設定ファイルを格納するディレクトリです。

■ Dockerfile

Shibbolethの設定ファイルを生成するコンテナを生成するためのDockerfileです。

■ bin/init-idp.sh

Shibboletの設定ファイルを初期化するためのスクリプトです。後述するパッチを実行したりIdPのメタデータのValidUntilを修正したりしてます(過去日付になってSP側で取得できないため)。

■ patch以下のファイル

Shibboletの設定ファイルを変更するためのパッチです。LDAPへの接続を定義したり、SPへの接続設定を定義したりしてます。このディレクトリに入れたパッチはbin/init-idp.shによって全て自動的に実行されるようになっています。もし新しいパッチが必要になった場合は、/opt/shibboleth-idpディレクトリを起点にしてパッチを作成して下さい。

idp-httpdディレクトリ

Apacheのコンテナを作成するための設定ファイルを格納しています。ApacheとShibbolethはAJPプロトコルで連携しています。

■ Dockerfile

Apacheのコンテナを生成するためのDockerfileです。

■ bin/gencert.sh

ApacheのSSL証明書を自動生成するためのスクリプトです。

■ certs

自分で用意したHTTPSのSSL証明書を使いたい場合、このフォルダに格納します。証明書はserver.crt、鍵はserver.keyという名称にして下さい。

■ conf/httpd-shib.conf

ApacheとShibboleth(Tomcat)をAJPプロトコルで連携させるための設定ファイルです。

idp-tomcatディレクトリ

Tomcatのコンテナを作成するための設定ファイルを格納しています。ShibbolethはこのTomcat上で動作します。

■ Dockerfile

Tomcatのコンテナを生成するためのDockerfileです。

■ bin/build.sh

Shibbolethをインストールするときに対話的に聞かれる項目(Shibbolethのインストールディレクトリなど)を自動入力するためのスクリプトです。

openldapディレクトリ

OpenLDAPのコンテナを作成するための設定ファイルを格納しています。

■ Dockerfile

OpenLDAPのコンテナを生成するためのDockerfileです。

■ data/init.ldif

コンテナ生成時にOpenLDAPに登録する初期データを定義しています。

spディレクトリ

Shibboleth SPのコンテナを作成するための設定ファイルを格納しています。

■ Dockerfile

Shibboleth SPのコンテナを生成するためのDockerfileです。

■ app/testsp.php

Shibboleth SPモジュール配下で動作するSPのアプリケーションです。ログインしたユーザーのIDでを表示するPHPです。

■ bin/httpd-shibd-foreground

ApacheとShibboleth SPモジュールを起動するためのスクリプトです。コンテナ起動時にこのスクリプトが起動します。

■ bin/init-sp.sh

Shibbolethの設定ファイルにパッチを適用するためのスクリプトです。

■ certs

自分で用意したHTTPSのSSL証明書を使いたい場合、このフォルダに格納します。証明書はserver.crt、鍵はserver.keyという名称にして下さい。

■ patch以下のファイル

Shibboleth SPモジュールの設定ファイルを変更するためのパッチです。このディレクトリに入れたパッチは全て自動的に実行されるようになっています。もし新しいパッチが必要になった場合は、/etc/shibbolethディレクトリを起点にしてパッチを作成して下さい。

使い方

いよいよこのスクリプトの使い方の説明に入ります。

コンテナ化するための手順

1.GitHubから必要なファイルを取得

以下のGitHubをCloneして下さい。

https://github.com/noriyukitakei/dockerized-shibboleth-idp3

2.Shibbolethの設定ファイルを生成

まずshibbolethディレクトリにて、指定したバージョンのShibbolethの設定ファイル(/opt/shibboleth-idp配下のファイル)を作成します。このコンテナはShibbolethの設定ファイルを生成するための一時的なものです。以下のコマンドを実行します。 実行が終わると、idp-tomcatディレクトリにcustomized-shibboleth-idpというディレクトリが作成されます。これがShibbolethの設定ファイル群です。Docketfile内のidp_versionという環境変数を変更することでShibbolethのバージョンを変更出来ます。以下の2つのコマンドを実行します。

ここで重要なのは、本スクリプトにはShibboleth SPも含まれるのですが、Shibboleth SPまで含めた動作を行いたい場合、Host Name、SAML EntityIDは以下のように設定して下さい(上の図のとおりにやればOKです)。

  • Host Name: idp.example.org
  • SAML EntityID: https://idp.example.org/idp/shibboleth

このEntityIDを前提としてShibboleth IdPやShibboleth SPに設定がなされているためです。

3.【必要に応じて】Shibboleth設定ファイルの編集

idp-tomcatディレクトリに移動します。そこにあるDockerfileのFROMで取得してくるイメージを適宜変えることで、Shibbolethを稼働するTomcatやJavaのバージョンを変えることが出来るかもしれません(動作未確認)。また1で作成したcustomized-shibboleth-idpの中の設定ファイルを環境に合わせて適宜編集して下さい。この設定ファイルがidp-tomcatのコンテナにコピーされShibbolethが起動します。

4.【必要に応じて】LDAP初期データの変更

openldapディレクリに移動します。ここにあるdata/init.ldifはOpenLDAPに投入する初期データをldif形式で書きます。デフォルトでは以下のエントリを生成します。

■ BindDN

  • DN: cn=admin,dc=example,dc=org
  • パスワード: password

■ テスト用ユーザー

  • DN: uid=test001,ou=people,dc=example,dc=org
  • パスワード: password

5.【必要に応じて】テスト用SPアプリの変更

sp/app/testsp.phpはテスト用SPのPHPスクリプトです。デフォルトでは、以下のようにログインしたユーザーIDを表示される単純なものですが、適宜必要に応じて変更してください。ちなみにSPに渡される属性はuidのみです。

6.Dockerコンテナの起動

リポジトリトップのディレクトリに移動して以下のコマンドを実行して下さい。コンテナの生成、起動が開始します。

テスト方法

(1) OSのhostsファイルに以下のように設定して下さい。

(2) 以下のURLにアクセスして下さい。

https://sp.example.org:10443/secure/testsp.php

(3) Shibbolethのログイン画面が表示されるので、以下のユーザー名とパスワードを入力して下さい。

  • ユーザー名: test001
  • パスワード: password

(4) 画面にユーザーIDが表示されれば成功です。

運用

設定ファイルの変更方法など、コンテナ作成後の運用方法について記載致します。

Shibbolethの設定ファイル変更

Shibbolethの設定ファイルを変更したい場合は、idp-tomcat/customized-shibboleth-idp内のファイルを変更して、以下のコマンドを実行して下さい。

Tomcat、LDAPへの接続先変更

httpdからのajpプロトコルによるTomcatへの接続先、及びShibbolethからLDAPへの接続先は、それぞれdocker-compose.yml内の環境変数にて変更出来ます。Desktop Dockerなどで起動する場合はデフォルトのままでいいかもしれませんが、Kubernetesなどで起動するときは変更する必要があります。変更対象は以下に記載のTOMCAT_HOST及びLDAP_HOSTです。

まとめ

どれだけニーズがあるのかわからないのですが、ワタシ的には非常に便利なツールです。これを使って、みなさまも少しでもShibbolethの環境構築が楽になっていただければ幸いですm(_ _)m

>> 雑誌等の執筆依頼を受付しております。
   ご希望の方はお気軽にお問い合わせください!

ご覧いただきありがとうございます! この投稿はお役に立ちましたか?

役に立った 役に立たなかった

2人がこの投稿は役に立ったと言っています。

コメント投稿

メールアドレスは表示されません。


*