Depuis l'interface d'administration

1. Connecté en tant qu'admin0, se rendre sur Gestion du système > Configuration système > onglet Authentification.
2. Sélectionner le mode d'authentification CAS dans le menu déroulant et renseigner les champs associés :
   Image Removed
3. Sauvegarder les modifications.
4. Redémarrer le service bm-hps.

Configuration de BlueMind à la main

casUrl = https://cas.domain.tld/cas/
casDomain = domain.tld

Fonctionnement de l'authentification CAS

1. Le client demande l'accès à une ressource protégée (par exemple BlueMind). Il n'est pas authentifié sur le CAS.
2. Le serveur le redirige vers le serveur CAS pour qu'il s'authentifie.
3. Une fois authentifié, un cookie CAS est posé dans le navigateur du client et il est redirigé vers la ressource protégée avec un ticket à valider.
4. Le serveur BlueMind voit ce ticket, demande au serveur CAS s'il est valide, et si c'est le cas laisse passer le client et le connecte en tant que login_cas. Il pose un cookie BlueMind dans son navigateur.
5. Le client demande à nouveau l'accès au serveur BlueMind, comme il possède le cookie BlueMind il est automatiquement authentifié tant que ce cookie est valide.

Installation

Pour mettre en œuvre l'authentification CAS, installer le paquet nécessaire :

aptitude install bm-plugin-hps-cas

yum install bm-plugin-hps-cas

Puis redémarrer BlueMind :

bmctl restart

Configuration

1. Connecté en tant qu'admin0, se rendre sur Gestion du système > Configuration système > onglet Authentification.
2. Sélectionner le mode d'authentification CAS dans le menu déroulant et renseigner les champs associés :
   Image Added
3. Sauvegarder les modifications.
4. Redémarrer le service bm-hps.

Erreurs connues

Erreur 403 : Your user account does not exist in this BlueMind.

Ce message d'erreur signifie que le login avec lequel l'utilisateur s'est authentifié sur le CAS n'existe pas dans le domaine domain.tld. Deux solutions se présentent à vous :

• Créer l'utilisateur associé au login CAS qui ne passe pas dans le domaine domain.tld
• Ignorer l'erreur. Ce cas pourra se présenter si certains utilisateurs de votre base CAS n'ont pas accès à votre BlueMind.

Erreur 500 : Internal Server Error

Ce message d'erreur peut provenir de plusieurs sources. Le plus simple est d'aller voir sur votre serveur les logs de HPS, en utilisant par exemple la commande suivante :

cat /var/log/bm-hps/hps.log | grep CAS

Utilisation d'un certificat auto-signé ou d'une autorité de certification inconnue

Si vous utilisez un certificat auto-signé pour votre serveur CAS, ou que l'autorité de certification de votre serveur CAS n'est pas répertoriée, vous allez sûrement connaître une erreur lors de l'établissement de la connexion https vers le serveur CAS.

Pour résoudre cette erreur, le plus simple est d'importer le certificat en question dans le keystore de la jvm qu'utilise BlueMind.

keytool -import -trustcacerts -alias cas -file cert_racine.crt -keystore /usr/lib/jvm/bm-jdk/jre/lib/security/cacerts
Enter keystore password: changeit

How CAS authentication works

1. The client requests access to a protected resource (e.g. BlueMind). This client is not authenticated on the CAS server.
2. The server redirects the client to the CAS server for authentication.
3. Once authenticated, a CAS cookie is placed in the client's web browser and the client is redirected to the protected resource with a ticket for validation.
4. The BlueMind server sees this ticket and checks its authenticity with the CAS server. If authentication is successful, the server allows the client in and connects it as login_cas and places a BlueMind cookie in the client's web browser.
5. The client requests access to the BlueMind server again. As it has the BlueMind cookie, it is authenticated automatically as long as the cookie is valid.

Installation

Install the needed package :

aptitude install bm-plugin-hps-cas

yum install bm-plugin-hps-cas

Restart BlueMind :

bmctl restart

Configuration

1. You need to be connected as admin0 and go to System Management > System Configuration > Authentication tab.
2. Select CAS as authentication mode from the drop-down menu and complete the related authentication settings:
   Image Added
3. Save changes.
4. Restart the bm-hps service.

Known errors

Error 403: Your user account does not exist in this BlueMind.

This error message means that the username entered to authenticate on the CAS does not exist in the domain domain.tld. You have two options:

• Create the user bound to the CAS username that does not pass through to the domain domain.tld
• Ignore the error. You can do this if some users from your CAS database do not have access to your BlueMind. 

Error 500: Internal Server Error

This error message can have several causes. The easiest way to find out is to look at your server's HPS logs, using the command below, for instance:

cat /var/log/bm-hps/hps.log | grep CAS

Using a self-signed certificate or an unknown certification authority 

If you use a self-signed certificate for your CAS server, or your CAS server's certification authority is not indexed, you will probably get an error message when you connect to the CAS server via https.

The easiest way to resolve this error is to import the certificate into the jvm keystore BlueMind uses.

keytool -import -trustcacerts -alias cas -file cert_racine.crt -keystore /usr/lib/jvm/bm-jdk/jre/lib/security/cacerts
Enter keystore password: changeit