おつかれさまです。Dです。

Shibboleth認証のSPサーバーの設定をする機会があったのですが、絶妙にハマったことがあるので備忘録がてらに残しておこうかと思います。

環境

OS:AlmaLinux9

Shibbolethのバージョン:3.5.0

何にハマったのか

Shibbolethのセットアップを実施して数日が経った頃・・

お客様からベーシック認証が通らなくなったとのお話が・・

確認してみると確かに以前まで通っていたベーシック認証が通らなくなっており、追加で設定したベーシック認証も通らなくなっていました。

よくあるIDやPWのコピペミスやベーシック認証のパスワードファイルのパスが誤ってないか等いろいろ調査すること2時間・・・最近サーバー側で設定変更したのはShibboleth関連のみ・・まさか・・ということでShibbolethに舵を切って調査したところShibbolethのある設定が悪さをしていました。

ApacheとShibbolethを連携させる設定ファイルが以下になります。そのパラメータの一つである「ShibCompatValidUser」というパラメータがデフォルトでOFFなのですが、こちらが原因でした。OFFになっているとApacheとの連携の兼ね合いでベーシック認証が上手く動作しないようです。

/etc/httpd/conf.d/shib.conf

ShibCompatValidUser OFF

以下のようにONにしてshibdを再起動してやると、以前から設定しているベーシック認証も通るようになりました。

/etc/httpd/conf.d/shib.conf

ShibCompatValidUser ON

【まとめ】

あまりShibboleth認証に関わる機会は無いかもしれないのですが、もし導入の対応が必要になった時は頭の片隅に置いておくと良いかもしれないです。知ってたらすぐに解決出来たのに。。というお話でした。ではまた！