通过端口8000上的反向代理进行身份验证时出现Shibboleth错误

Question

尝试使用Apache作为反向代理，使shibboleth在Docker容器上工作。 发生问题是因为我为公共Apache实例使用端口80，为内部实例使用端口8000，这使shibboleth感到困惑：

2017-10-03 07:34:23 ERROR OpenSAML.MessageDecoder.SAML2POST [5]: POST targeted at (https://dashboard.hpc.unimelb.edu.au/Shibboleth.sso/SAML2/POST), but delivered to (https://dashboard.hpc.unimelb.edu.au:8000/Shibboleth.sso/SAML2/POST)

第一个URL是最终用户看到的外部URL。 第二个URL是docker容器在收到代理请求时（转发的HTTP主机名）看到的内容。

注意我在内部apache实例上使用了“ ShibURLScheme https”，以确保它认为正在使用https，因为反向代理可确保所有请求都是https。

无论如何，我打电话告诉Shibboleth，这没关系，URL真的一样吗？ 也许通过重写shibboleth看到的URL或其他内容？

谢谢

Answer 1

我要检查两件事：

1. 确保Apache conf文件中的ServerName指令设置为https://dashboard.hpc.unimelb.edu.au:80 。 注意:80 。 完全省略端口号也可能起作用。 您希望Apache和vis-a-vis，shibd查看客户端正在使用的ServerName 。 您还应确保自己具有UseCanonicalName On指令作为此指令的一部分。
2. 这可能不是什么大问题，但是请确保您提供给IdP的sp-元数据是正确的。 您应该为客户端看到的FQDN添加条目。 请注意，大部分文档页面不适用于您的方案，但是添加正确的元数据条目至关重要。

看来您在Apache中的ServerName不正确，所以我从那里开始。