| Beide Seiten der vorigen Revision Vorhergehende Überarbeitung Nächste Überarbeitung | Vorhergehende Überarbeitung Nächste ÜberarbeitungBeide Seiten der Revision |
| de:shibidp3troubleshoot [2019/07/31 15:47] – Silke Meyer | de:shibidp3troubleshoot [2019/08/29 17:11] – Silke Meyer |
|---|
| | ~~NOTOC~~ |
| ====== Troubleshooting ====== | ====== Troubleshooting ====== |
| | {{INLINETOC 2}} |
| |
| * Shibboleth Wiki: [[https://wiki.shibboleth.net/confluence/display/IDP30/Troubleshooting|Seite]] ist im Aufbau begriffen | ===== Links ===== |
| * Loglevel hochsetzen und Appender definieren in conf/logback.xml (wird alle 5 Minuten neu geladen), siehe auch im Shibboleth Wiki unter [[https://wiki.shibboleth.net/confluence/display/IDP30/LoggingConfiguration|LoggingConfiguration]] und [[https://wiki.shibboleth.net/confluence/display/IDP30/AdvancedLogging|AdvancedLogging]]. | |
| | * [[https://wiki.shibboleth.net/confluence/display/IDP30/Troubleshooting|Troubleshooting-Seite]] im Shibboleth Wiki |
| | |
| | ===== Grundsätzliche Vorgehensweise bei der Fehlersuche ===== |
| | * Beobachten Sie die fortlaufenden Logdateien ''idp-process.log'' (Standardpfad: ''/opt/shibboleth-idp/logs/'') und das Tomcat-Log. |
| | * Setzen Sie das Loglevel auf DEBUG hoch. In vielen Fällen reicht es, dies für idp, ldap und opensaml zu tun:<file properties /opt/shibboleth-idp/conf/logback.xml> |
| | <variable name="idp.loglevel.idp" value="DEBUG" /> |
| | <variable name="idp.loglevel.ldap" value="DEBUG" /> |
| | <variable name="idp.loglevel.messages" value="INFO" /> |
| | <variable name="idp.loglevel.encryption" value="INFO" /> |
| | <variable name="idp.loglevel.opensaml" value="DEBUG" /> |
| | </file> |
| | * Stoßen Sie das Neuladen des Servlets manuell an (''touch /opt/shibboleth-idp/war/idp.war'') oder warten Sie bis zum automatischen Reload der Logging-Konfiguration. Die Reload-Intervalle sind in ''/opt/shibboleth-idp/conf/services.properties'' konfigurierbar. Für die ''conf/logback.xml'' sind standardmäßig 5 Minuten eingestellt. |
| | * Appender definieren in conf/logback.xml (wird alle 5 Minuten neu geladen), siehe auch im Shibboleth Wiki unter [[https://wiki.shibboleth.net/confluence/display/IDP30/LoggingConfiguration|LoggingConfiguration]] und [[https://wiki.shibboleth.net/confluence/display/IDP30/AdvancedLogging|AdvancedLogging]]. |
| * Werte in Property Files: Trailing Space Characters (Blank) unbedingt vermeiden. Ein Blank hinter einem Passwort macht dieses ungültig! | * Werte in Property Files: Trailing Space Characters (Blank) unbedingt vermeiden. Ein Blank hinter einem Passwort macht dieses ungültig! |
| |
| # ... | # ... |
| </file> | </file> |
| | |
| | ===== opensaml::SecurityPolicyException ===== |
| | |
| | "opensaml::SecurityPolicyException Message was signed, but signature could not be verified." |
| | |
| | Diese Fehlermeldung erscheint, wenn das Zertifikat, das Sie beim IdP in der Metadatenverwaltung publiziert haben, nicht mit dem Zertifikat übereinstimmt, das am IdP für die SAML-Kommunikation verwendet wird. Bei der IdP-Installation wird automatisch ein selbstsigniertes Zertifikat generiert und in ''conf/idp.properties'' vorkonfiguriert. Dort müssen Sie die Pfadangaben zu Ihrem PKI-Zertifikat einstellen. |
| | |
| | Übrigens: Die Datei ''metadata/idp-metadata.xml'' wird ebenfalls automatisch angelegt und mit den initialen Metadaten des IdP befüllt. In der DFN-AAI wird diese Datei aber ignoriert. Was dort drinsteht, ist also irrelevant. Für den IdP "gelten" die Metadaten, die Sie in der Verwaltung einpflegen und aktuell halten. |
| |
| ===== JPAStorage mit PostgreSQL ===== | ===== JPAStorage mit PostgreSQL ===== |