Beide Seiten der vorigen Revision Vorhergehende Überarbeitung Nächste Überarbeitung | Vorhergehende Überarbeitung Nächste ÜberarbeitungBeide Seiten der Revision |
de:shibidp3troubleshoot [2019/07/31 15:47] – Silke Meyer | de:shibidp3troubleshoot [2019/08/29 17:11] – Silke Meyer |
---|
| ~~NOTOC~~ |
====== Troubleshooting ====== | ====== Troubleshooting ====== |
| {{INLINETOC 2}} |
| |
* Shibboleth Wiki: [[https://wiki.shibboleth.net/confluence/display/IDP30/Troubleshooting|Seite]] ist im Aufbau begriffen | ===== Links ===== |
* Loglevel hochsetzen und Appender definieren in conf/logback.xml (wird alle 5 Minuten neu geladen), siehe auch im Shibboleth Wiki unter [[https://wiki.shibboleth.net/confluence/display/IDP30/LoggingConfiguration|LoggingConfiguration]] und [[https://wiki.shibboleth.net/confluence/display/IDP30/AdvancedLogging|AdvancedLogging]]. | |
| * [[https://wiki.shibboleth.net/confluence/display/IDP30/Troubleshooting|Troubleshooting-Seite]] im Shibboleth Wiki |
| |
| ===== Grundsätzliche Vorgehensweise bei der Fehlersuche ===== |
| * Beobachten Sie die fortlaufenden Logdateien ''idp-process.log'' (Standardpfad: ''/opt/shibboleth-idp/logs/'') und das Tomcat-Log. |
| * Setzen Sie das Loglevel auf DEBUG hoch. In vielen Fällen reicht es, dies für idp, ldap und opensaml zu tun:<file properties /opt/shibboleth-idp/conf/logback.xml> |
| <variable name="idp.loglevel.idp" value="DEBUG" /> |
| <variable name="idp.loglevel.ldap" value="DEBUG" /> |
| <variable name="idp.loglevel.messages" value="INFO" /> |
| <variable name="idp.loglevel.encryption" value="INFO" /> |
| <variable name="idp.loglevel.opensaml" value="DEBUG" /> |
| </file> |
| * Stoßen Sie das Neuladen des Servlets manuell an (''touch /opt/shibboleth-idp/war/idp.war'') oder warten Sie bis zum automatischen Reload der Logging-Konfiguration. Die Reload-Intervalle sind in ''/opt/shibboleth-idp/conf/services.properties'' konfigurierbar. Für die ''conf/logback.xml'' sind standardmäßig 5 Minuten eingestellt. |
| * Appender definieren in conf/logback.xml (wird alle 5 Minuten neu geladen), siehe auch im Shibboleth Wiki unter [[https://wiki.shibboleth.net/confluence/display/IDP30/LoggingConfiguration|LoggingConfiguration]] und [[https://wiki.shibboleth.net/confluence/display/IDP30/AdvancedLogging|AdvancedLogging]]. |
* Werte in Property Files: Trailing Space Characters (Blank) unbedingt vermeiden. Ein Blank hinter einem Passwort macht dieses ungültig! | * Werte in Property Files: Trailing Space Characters (Blank) unbedingt vermeiden. Ein Blank hinter einem Passwort macht dieses ungültig! |
| |
# ... | # ... |
</file> | </file> |
| |
| ===== opensaml::SecurityPolicyException ===== |
| |
| "opensaml::SecurityPolicyException Message was signed, but signature could not be verified." |
| |
| Diese Fehlermeldung erscheint, wenn das Zertifikat, das Sie beim IdP in der Metadatenverwaltung publiziert haben, nicht mit dem Zertifikat übereinstimmt, das am IdP für die SAML-Kommunikation verwendet wird. Bei der IdP-Installation wird automatisch ein selbstsigniertes Zertifikat generiert und in ''conf/idp.properties'' vorkonfiguriert. Dort müssen Sie die Pfadangaben zu Ihrem PKI-Zertifikat einstellen. |
| |
| Übrigens: Die Datei ''metadata/idp-metadata.xml'' wird ebenfalls automatisch angelegt und mit den initialen Metadaten des IdP befüllt. In der DFN-AAI wird diese Datei aber ignoriert. Was dort drinsteht, ist also irrelevant. Für den IdP "gelten" die Metadaten, die Sie in der Verwaltung einpflegen und aktuell halten. |
| |
===== JPAStorage mit PostgreSQL ===== | ===== JPAStorage mit PostgreSQL ===== |