Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

--- de:shibidp:troubleshooting_idp_5 [2024/05/08 14:48] – Doreen Liebenau
+++ de:shibidp:troubleshooting_idp_5 [2024/11/27 10:00] (aktuell) – [Allgemeine Hinweise] Doreen Liebenau
@@ Zeile 1: / Zeile 1: @@
-====== net.shibboleth.plugin.storage.jdbc======
+====== Troubleshooting Upgrade Shib IdP 5.x ======
+===== net.shibboleth.plugin.storage.jdbc =====
 __Fehler__
@@ Zeile 110: / Zeile 113: @@
 </code>
-Vielen Dank an Michael Pietsch für´s Teilen!
+**Vielen Dank an Michael Pietsch für´s Teilen!**
+===== MetadataFilterConfiguration =====
+Metadaten können gefiltert werden, nachdem sie geladen, aber vor ihrer Verwendung. Wie Metadatenanbieter werden auch Metadatenfilter durch ihr xsi:type-Attribut definiert. Mit Version 4.1 wurde der xsi:type //EntityRole// eingeführt. Er ist identisch mit dem vorher vorhandenen xsi:type //EntityRoleWhiteList//. In Version 4.1 bis 4.3 werden beiden unterstützt. Ab Version 5.0 wird ausschließlich der xsi:type //EntityRole// unterstützt.
+__Fehler__
+Beim Upgrade auf 5.x tritt bei der Verwendung der alten Konfiguration folgende Fehlermeldung im Logfile idp-process.log auf:
+<code>
+net.shibboleth.shared.spring.service.ReloadableSpringService.doReload(ReloadableSpringService.java:375)
+Caused by: org.springframework.beans.factory.xml.XmlBeanDefinitionStoreException:
+Line 88 in XML document from file
+[/opt/shibboleth-idp/conf/metadata-providers.xml] is invalid
+        at
+org.springframework.beans.factory.xml.XmlBeanDefinitionReader.doLoadBeanDefinitions(XmlBeanDefinitionReader.java:411)
+Caused by: org.xml.sax.SAXParseException: cvc-elt.4.2: 'EntityRoleWhiteList' kann
+nicht als Typdefinition für Element 'MetadataFilter' aufgelöst werden.
+</code>
+__Lösung__
+Ersetzen Sie in der Datei //metadata-providers.xml// den alten durch den neuen xsi:type
+<file>
+<MetadataFilter xsi:type="EntityRole" xmlns:md="urn:oasis:names:tc:SAML:2.0:metadata">
+          <RetainedRole>md:SPSSODescriptor</RetainedRole>
+</MetadataFilter>
+</file>
+===== DataConnector übergibt keine Attribute =====
+__Fehler__
+nach dem Upgrade von Shibboleth IdP 4.x auf 5.x erscheint im Debug-Modus folgende Meldung in den Logfiles:
+<code>
+DEBUG [net.shibboleth.idp.attribute.resolver.AbstractDataConnector:194] - myLDAP No attributes were produced during resolution
+DEBUG [net.shibboleth.idp.attribute.resolver.AbstractResolverPlugin:188] - Resolver plugin 'myLDAP' produced no value.
+DEBUG [net.shibboleth.idp.attribute.resolver.impl.AttributeResolverImpl:404] - Attribute Resolver 'ShibbolethAttributeResolver': Data connector 'myLDAP' produced no attributes
+</code>
+__Lösung__
+Die Variable //requestContext// wurde aus einer Konfiguration aus [[https://shibboleth.atlassian.net/wiki/spaces/IDP30/pages/2496561608/FilterTemplate | Shibboleth IdP V3]] für den DataConnector myLDAP in der Datei //attribute-resolver.xml// übernommen:
+<file>
+<FilterTemplate>
+            <![CDATA[
+          (sAMAccountname=$requestContext.principalName)
+            ]]>
+</FilterTemplate>
+</file>
+Diese Überbleibsel aus der Unterstützung für IdP V2-Scripte sollte bereits in V4 deprecated sein und wurde nun in V5 entfernt. Stattdessen ist die [[https://shibboleth.atlassian.net/wiki/spaces/IDP5/pages/3199503969/FilterTemplate | Variable]] //resolutionContext// zu verwenden:
+<file>
+<FilterTemplate>
+  <![CDATA[
+          (sAMAccountName=$resolutionContext.principal)
+  ]]>
+</FilterTemplate>
+</file>
+===== Key-Rollover =====
+__Fehler__
+<code>
+/opt/shibboleth-idp/bin/update-sealer.sh
+Error: Could not find or load main class
+net.shibboleth.utilities.java.support.security.BasicKeystoreKeyStrategyTool
+Caused by: java.lang.ClassNotFoundException:
+net.shibboleth.utilities.java.support.security.BasicKeystoreKeyStrategyTool
+</code>
+__Lösung__
+Das Skript, welches die Sealer-relevanten Einstellungen aus ./conf/idp-properties liest und damit neue Schlüsselwerte erzeugt, wurde für v5 angepasst. Das Skript unter ///opt/shibboleth-idp/bin/update-sealer.sh// muss ersetzt werden. Siehe [[de:shibidp:config-sealer|Key-Rollover]]
+**Vielen Dank an Dirk Schäfer für´s Teilen!**
+===== Tomcat startet nicht mehr =====
+__Fehler__
+Nach der Installation von Java 17 und dem Auswählen dieser Version, startet tomcat nicht mehr.
+__Lösung__
+wegen des veralteten Garbage Collectors in ///etc/default/tomcat9//:
+  JAVA_OPTS="-Djava.awt.headless=true -XX:+UseCondcMarkSweepGC -Xms1024m -Xmx2048m"
+In ///etc/default/tomcat9// diese Option entfernen, dann startet der Tomcat auch wieder:
+  JAVA_OPTS="-Djava.awt.headless=true -Xms1024m -Xmx2048m"
+**Vielen Dank an Georg Scheurich für´s Teilen!**
+===== Allgemeine Hinweise =====
+**attribute-resolver.xml**
+Die ''attribute-resolver.xml'' aus einer IdP 3.x-Installation kann nicht einfach in eine Neuinstallation von IdP 4.x hineinkopiert werden! Die Elemente "DisplayName", "DisplayDescription" und "AttributeEncoder", die in der Resolver-Syntax des 3er-IdP enthalten waren, sind jetzt in der Attribute Registry unterhalb von ''./conf/attributes'' definiert. Diese Zeilen müssen aus ''attribute-resolver.xml'' entfernt werden, damit die Datei in einem neu installierten 4er-IdP verwendet werden kann.
+Ab Shibboleth IdP 4.0.0 werden die Encoder in der Attribute Registry konfiguriert. Bis Shibboleth IdP 3.4.6 standen die Encoder mit in der Attributdefinition in ''./conf/attribute-resolver.xml'' drin. Die alte Konfigurationsweise über ''./conf/attribute-resolver.xml'' ist weiterhin lauffähig! Bei einer Neuinstallation sollten Sie jedoch den Weg der Attribute Registry gehen. Sie macht die Attributdefinition übersichtlicher.