Comparaison des versions

Ancienne version 46

changes.mady.by.user Marie Piochon

Sauvegardée le

comparé à

Nouvelle version 47

changes.mady.by.user Marie Piochon

Sauvegardée le

Légende

  • Ces lignes ont été ajoutées. Ce mot a été ajouté.
  • Ces lignes ont été supprimées. Ce mot a été supprimé.
  • La mise en forme a été modifiée.
Commentaire: Published by Scroll Versions from space DA and version BM-4.0
Sv translation
languagefr

Ce document a pour but de décrire la mise en place de la reconnaissance par BlueMind de l'authentification CAS.

Remarque

Dans la suite de ce document, nous considérerons l’URL du serveur CAS cas.domain.tld et le domaine BlueMind domain.tld situé sur le serveur bm.domain.tld

Avertissement

L'authentification CAS est adaptée pour une installation BlueMind en mono-domaine.

Volet
borderWidth3

Sur cette page :

Sommaire
maxLevel2


Fonctionnement de l'authentification CAS

  1. Le client demande l'accès à une ressource protégée (par exemple BlueMind). Il n'est pas authentifié sur le CAS.
  2. Le serveur le redirige vers le serveur CAS pour qu'il s'authentifie.
  3. Une fois authentifié, un cookie CAS est posé dans le navigateur du client et il est redirigé vers la ressource protégée avec un ticket à valider.
  4. Le serveur BlueMind voit ce ticket, demande au serveur CAS s'il est valide, et si c'est le cas laisse passer le client et le connecte en tant que login_cas. Il pose un cookie BlueMind dans son navigateur.
  5. Le client demande à nouveau l'accès au serveur BlueMind, comme il possède le cookie BlueMind il est automatiquement authentifié tant que ce cookie est valide.
Développer
titlePour avoir plus d'informations

http://aldian.developpez.com/tutoriels/javaee/authentification-centralisee-sso-cas/images/09_diagramme_full.png
http://www.jasig.org/cas/protocol

Installation

Pour mettre en œuvre l'authentification CAS, installer le paquet nécessaire :

Bloc de code
titleUbuntu/Debian
aptitude install bm-plugin-hps-cas
Bloc de code
titleRedHat
yum install bm-plugin-hps-cas

Puis redémarrer BlueMind :

Bloc de code
bmctl restart

Configuration

  1. Connecté en tant qu'admin0, se rendre sur Gestion du système > Configuration système > onglet Authentification.
  2. Sélectionner le mode d'authentification CAS dans le menu déroulant et renseigner les champs associés :
  3. Sauvegarder les modifications.
  4. Redémarrer le service bm-hps.
Info

Une fois l'authentification CAS activée, vous serez automatiquement redirigé vers le serveur CAS lors de l'accès à la page d'authentification. Si vous voulez vous connecter en admin0 ou sur un autre domaine, allez sur la page : http://bm.domain.tld/native

Cet accès reste toujours disponible en cas de problème de configuration, afin de vous permettre d'accéder à la console pour corriger celle-ci.

Erreurs connues

Erreur 403 : Your user account does not exist in this BlueMind.

Ce message d'erreur signifie que le login avec lequel l'utilisateur s'est authentifié sur le CAS n'existe pas dans le domaine domain.tld. Deux solutions se présentent à vous :

  • Créer l'utilisateur associé au login CAS qui ne passe pas dans le domaine domain.tld
  • Ignorer l'erreur. Ce cas pourra se présenter si certains utilisateurs de votre base CAS n'ont pas accès à votre BlueMind.

Erreur 500 : Internal Server Error

Ce message d'erreur peut provenir de plusieurs sources. Le plus simple est d'aller voir sur votre serveur les logs de HPS, en utilisant par exemple la commande suivante :

Bloc de code
languagebash
cat /var/log/bm-hps/hps.log | grep CAS

Utilisation d'un certificat auto-signé ou d'une autorité de certification inconnue

Si vous utilisez un certificat auto-signé pour votre serveur CAS, ou que l'autorité de certification de votre serveur CAS n'est pas répertoriée, vous allez sûrement connaître une erreur lors de l'établissement de la connexion https vers le serveur CAS.

Pour résoudre cette erreur, le plus simple est d'importer le certificat en question dans le keystore de la jvm qu'utilise BlueMind.

Bloc de code
languagebash
titleImporter l'autorité de certification racine ou un certificat auto-signé
keytool -import -trustcacerts -alias cas -file cert_racine.crt -keystore /usr/lib/jvm/bm-jdk/jre/lib/security/cacerts
Enter keystore password: changeit
Développer
titlePour avoir plus d'informations

http://www.sslshopper.com/article-most-common-java-keytool-keystore-commands.html

Sv translation
languageen

Introduction

This article describes how to configure BlueMind to recognize CAS authentication.

This single sign-on authentication is possible since BlueMind v.3.0.12.

Remarque

In this chapter we look at the CAS server url cas.domain.tld and the BlueMind domain domain.tld located on the server bm.domain.tld.

Avertissement

CAS authentication is suitable for a single-server BlueMind installation.

Volet
borderWidth3

On this page:

Sommaire
maxLevel2


How CAS authentication works

  1. The client requests access to a protected resource (e.g. BlueMind). This client is not authenticated on the CAS server.
  2. The server redirects the client to the CAS server for authentication.
  3. Once authenticated, a CAS cookie is placed in the client's web browser and the client is redirected to the protected resource with a ticket for validation.
  4. The BlueMind server sees this ticket and checks its authenticity with the CAS server. If authentication is successful, the server allows the client in and connects it as login_cas and places a BlueMind cookie in the client's web browser.
  5. The client requests access to the BlueMind server again. As it has the BlueMind cookie, it is authenticated automatically as long as the cookie is valid.
Développer
titleFor more information

http://aldian.developpez.com/tutoriels/javaee/authentification-centralisee-sso-cas/images/09_diagramme_full.png

https://www.apereo.org/cas/protocol

Installation

Install the needed package :

Bloc de code
titleUbuntu/Debian
aptitude install bm-plugin-hps-cas
Bloc de code
titleRedHat
yum install bm-plugin-hps-cas

Restart BlueMind :

Bloc de code
bmctl restart

Configuration

  1. You need to be connected as admin0 and go to System Management > System Configuration > Authentication tab.
  2. Select CAS as authentication mode from the drop-down menu and complete the related authentication settings:
  3. Save changes.
  4. Restart the bm-hps service.
Info

Once CAS authentication is enabled, you will be automatically redirected to the CAS server when you access the authentication page. If you want to connect as admin0 or to another domain, go to the page: https://bm.domain.tld/native

This access always remains reachable in case of configuration problem to be able to access to the administration console to correct it.

Known errors

Error 403: Your user account does not exist in this BlueMind.

This error message means that the username entered to authenticate on the CAS does not exist in the domain domain.tld. You have two options:

  • Create the user bound to the CAS username that does not pass through to the domain domain.tld
  • Ignore the error. You can do this if some users from your CAS database do not have access to your BlueMind. 

Error 500: Internal Server Error

This error message can have several causes. The easiest way to find out is to look at your server's HPS logs, using the command below, for instance:

Bloc de code
languagebash
cat /var/log/bm-hps/hps.log | grep CAS

Using a self-signed certificate or an unknown certification authority 

If you use a self-signed certificate for your CAS server, or your CAS server's certification authority is not indexed, you will probably get an error message when you connect to the CAS server via https.

The easiest way to resolve this error is to import the certificate into the jvm keystore BlueMind uses.

Bloc de code
languagebash
titleImporting a root certificate authority or a self-signed certificate
keytool -import -trustcacerts -alias cas -file cert_racine.crt -keystore /usr/lib/jvm/bm-jdk/jre/lib/security/cacerts
Enter keystore password: changeit
Développer
titleFor more information

http://www.sslshopper.com/article-most-common-java-keytool-keystore-commands.html

 

 

 

Enregistrer

Sv translation
languagede

Dieses Dokument beschreibt die Implementierung von BlueMinds Erkennung der CAS-Authentifizierung.

Remarque

Im weiteren Verlauf dieses Dokuments betrachten wir die URL des CAS-Servers cas.domain.tld und die BlueMind Domäne domain.tld, die sich auf dem Server bm.domain.tld befindet

Avertissement

Die CAS-Authentifizierung ist für eine BlueMind-Installation mit einer Domäne geeignet.

Volet
borderWidth3

Auf dieser Seite:

Sommaire
maxLevel2


So funktioniert die CAS-Authentifizierung

  1. Der Client fordert den Zugriff auf eine geschützte Ressource (z. B. BlueMind) an. Er wird nicht auf CAS authentifiziert.
  2. Der Server leitet ihn zur Authentifizierung an den CAS-Server weiter.
  3. Nach der Authentifizierung wird ein CAS-Cookie im Browser des Clients platziert und er wird zur geschützten Ressource mit einem Ticket zur Validierungweitergeleitet.
  4. Der BlueMind-Server sieht dieses Ticket, fragt den CAS-Server, ob es gültig ist, und bei Bestätigung lässt er den Client passieren und verbindet ihn als login_cas. Er legt ein BlueMind Cookie in seinem Browser ab.
  5. Der Client bittet erneut um Zugriff auf den BlueMind-Server. Da er das BlueMind-Cookie besitzt, wird er automatisch authentifiziert, solange dieses Cookie gültig ist.
Développer
titleFür weitere Informationen

http://aldian.developpez.com/tutoriels/javaee/authentification-centralisee-sso-cas/images/09_diagramme_full.png
http://www.jasig.org/cas/protocol

Installation

Um die CAS-Authentifizierung zu implementieren, das erforderliche Paket installieren:

Bloc de code
titleUbuntu/Debian
aptitude install bm-plugin-hps-cas
Bloc de code
titleRedHat
yum install bm-plugin-hps-cas

Dann BlueMind neustarten:

Bloc de code
bmctl restart

Konfiguration

  1. Melden Sie sich als admin0an und gehen Sie zu Systemverwaltung > Systemkonfiguration > Registerkarte Authentifizierung.
  2. Wählen Sie den CAS Authentifizierungsmodus im Dropdown-Menü aus und füllen Sie die zugehörigen Felder aus:
  3. Speichern Sie die Änderungen.
  4. Starten Sie den Dienst bm-hps neu.
Info

Wurde die CAS-Authentifizierung aktiviert, werden Sie automatisch zum CAS-Server weitergeleitet, wenn Sie die Authentifizierungsseite aufrufen. Wenn Sie eine Verbindung in admin0 oder in einer anderen Domäne herstellen möchten, gehen Sie zu: http://bm.domain.tld/native

Dieser Zugang bleibt bei Konfigurationsproblemen immer verfügbar, so dass Sie zur Korrektur auf die Konsole zugreifen können.

Bekannte Fehler

Fehler 403: Ihr Benutzerkonto existiert nicht in diesem BlueMind.

Diese Fehlermeldung bedeutet, dass das Login, mit dem sich der Benutzer am CAS authentifiziert hat, nicht in der domain.tld-Domäne existiert. Es stehen Ihnen zwei Lösungen zur Verfügung:

  • Erstellen Sie den Benutzer mit der CAS Anmeldung, die in der Domäne domain.tld nicht akzeptiert wird
  • Ignorieren Sie den Fehler. Dieser Fall kann auftreten, wenn einige Benutzer Ihrer CAS-Datenbank keinen Zugriff auf Ihr BlueMind haben.

Fehler 500: Internal Server Error

Diese Fehlermeldung kann von mehreren Quellen stammen. Am einfachsten ist es, wenn Sie sich auf Ihrem Server die HPS Protokolle ansehen, z.B. mit dem folgenden Befehl:

Bloc de code
languagebash
cat /var/log/bm-hps/hps.log | grep CAS

Verwendung eines selbstsignierten Zertifikats oder einer unbekannten Zertifizierungsstelle

Wenn Sie ein selbstsigniertes Zertifikat für Ihren CAS-Server verwenden oder die Zertifizierungsstelle Ihres CAS-Servers nicht aufgeführt ist, kann beim Aufbau der https-Verbindung zum CAS-Server ein Fehler auftreten.

Um diesen Fehler zu beheben, ist es am einfachsten, das betreffende Zertifikat in den von BlueMind verwendeten jvm Keystore zu importieren.

Bloc de code
languagebash
titleImportieren Sie die Root CA oder ein selbstsigniertes Zertifikat
keytool -import -trustcacerts -alias cas -file cert_racine.crt -keystore /usr/lib/jvm/bm-jdk/jre/lib/security/cacerts
Enter keystore password: changeit
Développer
titleFür weitere Informationen

http://www.sslshopper.com/article-most-common-java-keytool-keystore-commands.html