Historique de la page
...
Sv translation | ||||||||||||||||||||||||||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| ||||||||||||||||||||||||||||||||||||
How CAS authentication works
InstallationInstall the needed package :
Restart BlueMind :
Configuration
Known errorsError 403: Your user account does not exist in this BlueMind.This error message means that the username entered to authenticate on the CAS does not exist in the domain domain.tld. You have two options:
Error 500: Internal Server ErrorThis error message can have several causes. The easiest way to find out is to look at your server's HPS logs, using the command below, for instance:
Using a self-signed certificate or an unknown certification authorityIf you use a self-signed certificate for your CAS server, or your CAS server's certification authority is not indexed, you will probably get an error message when you connect to the CAS server via https. The easiest way to resolve this error is to import the certificate into the jvm keystore BlueMind uses.
| ||||||||||||||||||||||||||||||||||||
Sv translation | ||||||||||||||||||||||||||||||||||||
|
Remarque |
---|
Im weiteren Verlauf dieses Dokuments betrachten wir die URL des CAS-Servers cas.domain.tld und die BlueMind Domäne domain.tld, die sich auf dem Server bm.domain.tld befindet |
Avertissement |
---|
Die CAS-Authentifizierung ist für eine BlueMind-Installation mit einer Domäne geeignet. |
borderWidth | 3 |
---|
Auf dieser Seite:
Sommaire | ||
---|---|---|
|
So funktioniert die CAS-Authentifizierung
- Der Client fordert den Zugriff auf eine geschützte Ressource (z. B. BlueMind) an. Er wird nicht auf CAS authentifiziert.
- Der Server leitet ihn zur Authentifizierung an den CAS-Server weiter.
- Nach der Authentifizierung wird ein CAS-Cookie im Browser des Clients platziert und er wird zur geschützten Ressource mit einem Ticket zur Validierungweitergeleitet.
- Der BlueMind-Server sieht dieses Ticket, fragt den CAS-Server, ob es gültig ist, und bei Bestätigung lässt er den Client passieren und verbindet ihn als login_cas. Er legt ein BlueMind Cookie in seinem Browser ab.
- Der Client bittet erneut um Zugriff auf den BlueMind-Server. Da er das BlueMind-Cookie besitzt, wird er automatisch authentifiziert, solange dieses Cookie gültig ist.
Développer | ||
---|---|---|
| ||
http://aldian.developpez.com/tutoriels/javaee/authentification-centralisee-sso-cas/images/09_diagramme_full.png |
Installation
Um die CAS-Authentifizierung zu implementieren, das erforderliche Paket installieren:
Bloc de code | ||
---|---|---|
| ||
aptitude install bm-plugin-hps-cas |
Bloc de code | ||
---|---|---|
| ||
yum install bm-plugin-hps-cas |
Dann BlueMind neustarten:
Bloc de code |
---|
bmctl restart |
Konfiguration
- Melden Sie sich als admin0an und gehen Sie zu Systemverwaltung > Systemkonfiguration > Registerkarte Authentifizierung.
- Wählen Sie den CAS Authentifizierungsmodus im Dropdown-Menü aus und füllen Sie die zugehörigen Felder aus:
- Speichern Sie die Änderungen.
- Starten Sie den Dienst bm-hps neu.
Info |
---|
Wurde die CAS-Authentifizierung aktiviert, werden Sie automatisch zum CAS-Server weitergeleitet, wenn Sie die Authentifizierungsseite aufrufen. Wenn Sie eine Verbindung in admin0 oder in einer anderen Domäne herstellen möchten, gehen Sie zu: http://bm.domain.tld/native Dieser Zugang bleibt bei Konfigurationsproblemen immer verfügbar, so dass Sie zur Korrektur auf die Konsole zugreifen können. |
Bekannte Fehler
Fehler 403: Ihr Benutzerkonto existiert nicht in diesem BlueMind.
Diese Fehlermeldung bedeutet, dass das Login, mit dem sich der Benutzer am CAS authentifiziert hat, nicht in der domain.tld-Domäne existiert. Es stehen Ihnen zwei Lösungen zur Verfügung:
- Erstellen Sie den Benutzer mit der CAS Anmeldung, die in der Domäne domain.tld nicht akzeptiert wird
- Ignorieren Sie den Fehler. Dieser Fall kann auftreten, wenn einige Benutzer Ihrer CAS-Datenbank keinen Zugriff auf Ihr BlueMind haben.
Fehler 500: Internal Server Error
Diese Fehlermeldung kann von mehreren Quellen stammen. Am einfachsten ist es, wenn Sie sich auf Ihrem Server die HPS Protokolle ansehen, z.B. mit dem folgenden Befehl:
Bloc de code | ||
---|---|---|
| ||
cat /var/log/bm-hps/hps.log | grep CAS |
Verwendung eines selbstsignierten Zertifikats oder einer unbekannten Zertifizierungsstelle
Wenn Sie ein selbstsigniertes Zertifikat für Ihren CAS-Server verwenden oder die Zertifizierungsstelle Ihres CAS-Servers nicht aufgeführt ist, kann beim Aufbau der https-Verbindung zum CAS-Server ein Fehler auftreten.
Um diesen Fehler zu beheben, ist es am einfachsten, das betreffende Zertifikat in den von BlueMind verwendeten jvm Keystore zu importieren.
Bloc de code | ||||
---|---|---|---|---|
| ||||
keytool -import -trustcacerts -alias cas -file cert_racine.crt -keystore /usr/lib/jvm/bm-jdk/jre/lib/security/cacerts
Enter keystore password: changeit |
Développer | ||
---|---|---|
| ||
http://www.sslshopper.com/article-most-common-java-keytool-keystore-commands.html |