1.1.1 Ticket-Granting Cookie (TGC)<\/h5>\n\n\n\n
C\u2019est un cookie de session qui est transmis par le serveur CAS au navigateur du client lors de la phase de login. Ce cookie ne peut \u00eatre lu \/ \u00e9crit que par le serveur CAS, sur canal s\u00e9curis\u00e9 (HTTPS).<\/p>\n\n\n\n
Si le navigateur web n\u2019accepte pas les cookies, l\u2019utilisateur devra se r\u00e9-authentifier \u00e0 chaque appel au serveur CAS.<\/p>\n\n\n\n
1.1.2 Service Ticket (ST)<\/h5>\n\n\n\n
Ce ticket va servir \u00e0 authentifier une personne pour une application web donn\u00e9e. Il est envoy\u00e9 par le serveur CAS apr\u00e8s que l\u2019utilisateur se soit authentifi\u00e9, et est transport\u00e9 dans l\u2019URL.<\/p>\n\n\n\n
Ce ticket ne peut \u00eatre utilis\u00e9 qu\u2019une seule fois. Il y a ensuite dialogue direct entre l\u2019application web et le CAS via un GET HTTP, avec le ST en param\u00e8tre. En r\u00e9ponse, le serveur CAS retourne l\u2019identifiant de la personne, et donc l\u2019authentifie. Il invalide \u00e9galement le ticket (lib\u00e9ration des ressources associ\u00e9es).<\/p>\n\n\n\n
En fait, ce ticket concerne une personne, pour un service, et utilisable une seule fois.<\/p>\n\n\n\n
1.1.3 Proxy-Granting-Ticket (PGT)<\/h5>\n\n\n\n
Il est envoy\u00e9 par le serveur CAS \u00e0 une application web proxy CAS disposant d\u2019un ST valide. Ce ticket conf\u00e8re au proxy CAS la possibilit\u00e9 de demander au serveur CAS de g\u00e9n\u00e9rer un Proxy Ticket (PT) pour une application tierce et une personne donn\u00e9e.<\/p>\n\n\n\n
1.1.4 Proxy-Ticket (PT)<\/h5>\n\n\n\n
Il est g\u00e9n\u00e9r\u00e9 par le serveur CAS \u00e0 la demande d\u2019un proxy CAS. Il permet d\u2019authentifier l\u2019utilisateur pour un service distant, avec lequel le client web n\u2019a pas d\u2019acc\u00e8s direct. Le service distant l\u2019utilisera comme le ST.<\/p>\n\n\n\n
Il est possible d\u2019utiliser des proxies CAS en cascade.<\/p>\n\n\n\n
Dans le fonctionnement de CAS, le service ayant besoin de l\u2019authentification est en relation directe avec le serveur CAS lors de la validation du ticket. Ceci rend possible l\u2019utilisation de ce m\u00e9canisme pour transporter des informations compl\u00e9mentaires (autorisations, attributs,…).<\/p>\n\n\n\n
Le paquet fourni propose le n\u00e9cessaire pour mettre en \u0153uvre le protocole CAS ; \u00e0 charge de l\u2019impl\u00e9menteur de d\u00e9velopper le module d\u2019authentification interne. Un module d\u2019authentification LDAP a \u00e9t\u00e9 r\u00e9cup\u00e9r\u00e9 pour les essais ; il est \u00e0 am\u00e9liorer.<\/p>\n\n\n\n
Le portage de CAS vers uPortal se fait facilement (les biblioth\u00e8ques sont fournies). Dans ce cas, uPortal devient proxy CAS ; il obtient donc un PGT du serveur CAS. Il est donc possible \u00e0 un canal qui utiliserait un service tiers sachant authentifier CAS de demander un PT pour ce service ; des essais fructueux ont \u00e9t\u00e9 faits dans ce sens.<\/p>\n\n\n\n
1.2 FONCTIONNEMENT DE BASE<\/h4>\n\n\n\n
Le fonctionnement en mode non proxy est le suivant :<\/p>\n\n\n\n A ce moment, la personne est authentifi\u00e9e, et l\u2019application connait son identifiant.<\/p>\n\n\n\n Pour utiliser certains services comme un webmail type Roundcube ou un serveur XMPP type Jappix, il se pose des probl\u00e8mes pour utiliser l\u2019authentificationCAS.<\/p>\n\n\n\n Ces applications utilisent les identifiants des utilisateurs pour se connecter sur d\u2019autres serveurs : serveur imap pour roundcube et serveur jabber (XMPP) pour Jappix.<\/p>\n\n\n\n Or lorsqu\u2019on identifie un utilisateur par le CAS on le fait via un ticket et \u00e0 aucun moment le mot de passe de l\u2019utilisateur n\u2019est accessible par le service qui l\u2019identifie (roundcube par exemple).<\/p>\n\n\n\n Le \u201cCAS proxying\u201d consiste \u00e0 remplacer le mot de passe par un ticket fournis par le CAS, puis transmettre par le proxy ou CAS proxy client (roundcube) au service tiers ou Proxy Service (serveur imap).<\/p>\n\n\n\n Il est donc n\u00e9cessaire de relier le service tiers (serveur imap) au CAS pour qu\u2019il puisse v\u00e9rifier ce ticket.<\/p>\n\n\n\n Le fonctionnement en mode proxy est le suivant :<\/p>\n\n\n\n L\u2019utilisateur est alors authentifi\u00e9 par le web service.<\/p>\n\n\n\n Nous nous basons sur une serveur Ubuntu 14.04 LTS. Nous partons sur la base que nous disposons d\u00e9j\u00e0 d\u2019un serveur LDAP qui va g\u00e9rer l\u2019authentification des utilisateurs. Nous utilisons la version 3.5.2 du serveur CAS.<\/p>\n\n\n\n On part sur le principe que l\u2019annuaire LDAP 389 est d\u00e9j\u00e0 install\u00e9 sur le serveur sous la forme d\u2019un replicat en lecture seule.<\/p>\n\n\n\n Cette \u00e9tape n\u2019est pas obligatoire puisque l\u2019on pourrait directement utiliser l\u2019annuaire ma\u00eetre du laboratoire, mais cela augmente la s\u00e9curit\u00e9 globale du syst\u00e8me.<\/p>\n\n\n\n Le service CAS authentifie des utilisateurs : il suffit donc d\u2019avoir les individus dans l\u2019annuaire.<\/p>\n\n\n\n L\u2019annuaire dispose entres autres des sch\u00e9mas eduperson.schema, supann.schema, nosland.schema, samba.schema permettant de r\u00e9f\u00e9rencer les personnes.<\/p>\n\n\n\n Ces fichiers sont pr\u00e9sents dans l\u2019archive de la documentation.<\/p>\n\n\n\n Remarque : <\/strong>Il est pr\u00e9f\u00e9rable de dupliquer ce ldif sur le serveur CAS, m\u00eame si l\u2019action de r\u00e9plication copiera les objets et classes n\u00e9cessaires<\/p>\n\n\n\n Sur le serveur LDAP ma\u00eetre et son esclave CAS, pour assurer la r\u00e9plication, il est n\u00e9cessaire de cr\u00e9er une base d\u00e9di\u00e9e aux objets manipul\u00e9s par CAS : les individus.<\/p>\n\n\n\n Un sous-suffix \u201cou=people\u201d est cr\u00e9\u00e9 \u00e0 la base du suffix \u201cdc=nosland,dc=com\u201d, et c\u2019est ce suffix qui est r\u00e9pliqu\u00e9 sur le serveur esclave.<\/p>\n\n\n\n Les domaines g\u00e9r\u00e9s dans l\u2019annuaire repr\u00e9sentent l\u2019ensemble des mat\u00e9riels pr\u00e9sents dans le r\u00e9seau des laboratoires.<\/p>\n\n\n\n <\/p>\n\n\n\n FIGURE 1: <\/strong>DIT pour CAS<\/p>\n\n\n\n Voici un exemple de fichier LDIF correspondant au DIT :<\/p>\n\n\n\n dn: ou=people,dc=nosland,dc=com CAS n\u00e9cessite un conteneur J2EE pour fonctionner.<\/p>\n\n\n\n Au choix, on peut utiliser la version Tomcat de la distribution ou t\u00e9l\u00e9charger les binaires du site d\u2019Apache :<\/p>\n\n\n\n Voil\u00e0 la liste des commandes pour faire fonctionner le serveur d\u2019applications :<\/p>\n\n\n\n # apt\u2212get update Note : il peut \u00eatre n\u00e9cessaire d\u2019installer maven (version 3) en lieu et place du paquet maven2 sur les dernieres versions ubuntu suivant la version cas r\u00e9cup\u00e9r\u00e9e (cf ci-apr\u00e8s).<\/p>\n\n\n\n A ce stade, on peut d\u00e9j\u00e0 v\u00e9rifier l\u2019activit\u00e9 du serveur d\u2019applications :<\/p>\n\n\n\n Pour utiliser un serveur CAS, il faut que les connexions soient encrypt\u00e9es en SSL.<\/p>\n\n\n\n Pour cela, il faut soit utiliser un certificat valide (fourni par l\u2019Universit\u00e9 par exemple), soit en g\u00e9n\u00e9rer un.<\/p>\n\n\n\n Dans le second cas, il faut commencer par le g\u00e9n\u00e9rer le keystore :<\/p>\n\n\n\n # keytool \u2212genkey \u2212alias tomcat \u2212keypass changeit \u2212keyalg RSA Le fichier .keystore est g\u00e9n\u00e9r\u00e9. On ajoute ensuite le certificat \u00e0 la JRE :<\/p>\n\n\n\n # keytool \u2212export \u2212alias tomcat \u2212keypass changeit \u2212file .keystore On modifie le fichier de configuration du serveur Tomcat \u201c\/var\/lib\/tomcat6\/conf\/server.xml<\/em><\/strong>\u201d :<Connector port=\u00a0\u00bb8080″ protocol=\u00a0\u00bbHTTP\/1.1″ On t\u00e9l\u00e9charge la version de CAS d\u00e9sir\u00e9e :<\/p>\n\n\n\n # wget http:\/\/downloads.jasig.org\/cas\/cas\u2212server\u22123.5.2\u2212release.tar.gz On configure l\u2019utilisation du support LDAP en modifiant \u201cpom.xml\u201d :<\/p>\n\n\n\n <dependency> On nettoie les librairies non utilis\u00e9es, on t\u00e9l\u00e9charge les derni\u00e8res versions, et on copie le tout dans la racine des applications du serveur :<\/p>\n\n\n\n # cp ..\/modules\/cas\u2212server\u2212webapp\u22123.5.2.war \/var\/lib\/tomcat6\/webapps\/ ![\"PIC\"\/](\"http:\/\/cv.geniaut.fr\/Paris8\/wikiP8\/webdsi.univ-paris8.fr\/site\/Systeme\/Sso\/Images\/cas1.png\")
<\/figure>\n\n\n\n
En param\u00e8tre du GET est pass\u00e9 l\u2019ID du service (c\u2019est en fait l\u2019URL de retour).<\/li>
Il redirige la requ\u00eate vers l\u2019appli initiale. Si le client web accepte les cookies, le TGC est positionn\u00e9.<\/li>
Le serveur CAS s\u2019assure de la validit\u00e9 du ticket ; il retourne l\u2019uid de la personne. Le ticket ne peut plus \u00eatre rejou\u00e9.<\/li><\/ol>\n\n\n\n1.3 FONCTIONNEMENT EN MODE PROXY<\/h4>\n\n\n\n
![\"PIC\"\/](\"http:\/\/cv.geniaut.fr\/Paris8\/wikiP8\/webdsi.univ-paris8.fr\/site\/Systeme\/Sso\/Images\/cas2.png\")
<\/figure>\n\n\n\n
En param\u00e8tre du GET est pass\u00e9 l\u2019ID du service (c\u2019est en fait l\u2019URL de retour).<\/li>
Il redirige la requ\u00eate vers l\u2019appli initiale. Si le client web accepte les cookies, le TGC est positionn\u00e9.<\/li>
Si le ST est valide, le serveur retourne comme auparavant l\u2019identifiant de l\u2019utilisateur, et un PGT-id : ce n\u2019est pas le PGT, mais un index permettant de valider le PGT.<\/li>
Maintenant, l\u2019application web proxy CAS dispose d\u2019un PGT propre \u00e0 l\u2019utilisateur. Gr\u00e2ce \u00e0 celui-ci, le proxy CAS pourra demander au CAS de lui g\u00e9n\u00e9rer des PT, qui sont l\u2019\u00e9quivalent du ST, mais pour des services (URLs) tiers.On suppose maintenant que le proxy CAS fait appel \u00e0 un service tiers n\u00e9cessitant authentification ; \u00e7a peut \u00eatre tout type d\u2019application, ce qui compte, c\u2019est qu\u2019elle sache parler http. Dans l\u2019illustration, il s\u2019agit d\u2019un \u2019web service\u2019.<\/li>2 INSTALLATION<\/h3>\n\n\n\n
2.1 PARAMETRAGE DE L\u2019ANNUAIRE<\/h4>\n\n\n\n
2.1.1 OBJETS ET CLASSES<\/h5>\n\n\n\n
2.1.2 DIT<\/h5>\n\n\n\n
![\"\"](\"http:\/\/blog.nosland.com\/wp-content\/uploads\/2018\/12\/image.png\")
<\/figure>\n\n\n\n
objectClass: organizationalunit
objectClass: top
ou: dns
dn: uid=nospheratus,ou=people,dc=nosland,dc=com
objectClass: sambaSamAccount
objectClass: person
objectClass: organizationalPerson
objectClass: supannPerson
objectClass: inetOrgPerson
objectClass: shadowAccount
objectClass: posixAccount
objectClass: account
objectClass: top
cn: NosPHeratus
gidNumber: 666
homeDirectory: \/users\/nospheratus
sambaSID: S\u2212XXXXXXXXXXXXXXXXXXXXXXXXXXXX
sn: NosPHeratus
uid: nospheratus
uidNumber: 666
displayName: NosPHeratus
gecos: NosPHeratus,demandeur NosPHeratus,Permanent
givenName: NosPHeratus
labeledURI: http:\/\/cas.nosland.com\/~nospheratus\/
loginShell: \/bin\/bash
mail: nospheratus@nosland.com
preferredLanguage: fr
sambaAcctFlags: [U]
sambaLMPassword: XXXXXXXXXXXXXXXXXXXXXXXXXXXX
sambaNTPassword: XXXXXXXXXXXXXXXXXXXXXXXXXXXX
sambaPasswordHistory: 000000000000000000000000000000000000000000000000000000
0000000000
sambaPwdLastSet: 765908865
sambaPwdMustChange: 256899754
shadowLastChange: 15392
shadowMax: 1000
shadowWarning: 7
supannAliasLogin: nospheratus
supannCivilite: M.
supannListeRouge: TRUE
supannParrainDN: uid=nospheratus,ou=people,dc=nosland,dc=com
telephoneNumber: +33 6 XX XX XX XX
userPassword:: XXXX<\/p>\n\n\n\n2.2 TOMCAT<\/h4>\n\n\n\n
# apt\u2212get install openjdk\u22126\u2212jdk
# apt\u2212get install tomcat6
# apt\u2212get install maven2
# apt\u2212get install ant
# apt\u2212get install maven\u2212ant\u2212helper<\/p>\n\n\n\n![\"PIC\"\/](\"http:\/\/cv.geniaut.fr\/Paris8\/wikiP8\/webdsi.univ-paris8.fr\/site\/Systeme\/Sso\/Images\/tomcat.png\")
<\/figure>\n\n\n\n2.3 CERTIFICAT<\/h4>\n\n\n\n
Tapez le mot de passe du Keystore :
Ressaisissez le nouveau mot de passe :
Quels sont vos prenom et nom ?
[Unknown] : NosPHeratus
Quel est le nom de votre unite organisationnelle ?
[Unknown] : NosLand
Quelle est le nom de votre organisation ?
[Unknown] : DSI
Quel est le nom de votre ville de residence ?
[Unknown] : RIOZ
Quel est le nom de votre etat ou province ?
[Unknown] : Franche-Comte
Quel est le code de pays a deux lettres pour cette unite ?
[Unknown] : FR
Est\u2212ce CN=NosPHeratus, OU=NosLand, O=DSI, L=Rioz, ST=Franche-Comte, C=FR ?
[non] : oui<\/p>\n\n\n\n
Note :<\/p>\n\n\n\n
# keytool \u2212import \u2212alias tomcat \u2212file .keystore \\
\u2212keypass changeit \u2212keystore \/etc\/ssl\/certs\/java\/cacerts<\/p>\n\n\n\n
connectionTimeout=\u00a0\u00bb20000″
redirectPort=\u00a0\u00bb8443″ \/>
<Connector port=\u00a0\u00bb8443″ protocol=\u00a0\u00bbHTTP\/1.1″ SSLEnabled=\u00a0\u00bbtrue\u00a0\u00bb
maxThreads=\u00a0\u00bb150″ scheme=\u00a0\u00bbhttps\u00a0\u00bb secure=\u00a0\u00bbtrue\u00a0\u00bb
clientAuth=\u00a0\u00bbfalse\u00a0\u00bb sslProtocol=\u00a0\u00bbTLS\u00a0\u00bb \/><\/p>\n\n\n\n2.4 CAS<\/h4>\n\n\n\n
# tar \u2212xvzf cas\u2212server\u22123.5.2\u2212release.tar.gz
# cd cas\u2212server\u22123.5.2\/cas\u2212server\u2212wepapp<\/p>\n\n\n\n
<groupId>${project.groupId}<\/groupId>
<artifactId>cas\u2212server\u2212support\u2212ldap<\/artifactId>
<version>${project.version}<\/version>
<\/dependency><\/p>\n\n\n\n
# mvn clean package
# cp \u2212Rp target\/cas\u2212server\u2212webapp\u22123.5.2 \/var\/lib\/tomcat6\/webapps\/<\/p>\n\n\n\n
![\"PIC\"\/](\"http:\/\/cv.geniaut.fr\/Paris8\/wikiP8\/webdsi.univ-paris8.fr\/site\/Systeme\/Sso\/Images\/tomcat3.png\")
<\/figure>\n\n\n\n![\"PIC\"\/](\"http:\/\/cv.geniaut.fr\/Paris8\/wikiP8\/webdsi.univ-paris8.fr\/site\/Systeme\/Sso\/Images\/tomcat2.png\")
<\/figure>\n\n\n\n![\"PIC\"\/](\"http:\/\/cv.geniaut.fr\/Paris8\/wikiP8\/webdsi.univ-paris8.fr\/site\/Systeme\/Sso\/Images\/proxy.png\")
<\/figure>\n\n\n\n![\"\"](\"http:\/\/blog.nosland.com\/wp-content\/uploads\/2018\/12\/image-1.png\")
<\/figure>\n\n\n\n