Einführung von SSO CAS

Dieses Dokument beschreibt, wie BlueMind die CAS-Authentifizierung (Central Authentication Service) erkennt.

Funktionsweise der CAS-Authentifizierung

Für eine erste Authentifizierung :

1. Der Benutzer sucht nach einer Verbindung zu BlueMind, die er in seinem Browser öffnet.
2. Da er noch nicht authentifiziert wurde, leitet ihn der BlueMind Server zum CAS-Server um, damit er sich authentifizieren kann.
3. Nach der Authentifizierung wird ein CAS-Cookie in den Browser des Benutzers gesetzt, der dann mit einem Ticket zum Einlösen zu BlueMind weitergeleitet wird.
4. Der BlueMind Server :
   1. sieht dieses Ticket,
   2. fragt den CAS-Server, ob er gültig ist,
   3. Wenn dies der Fall ist, erlaubt die Verbindung und setzt ein BlueMind Cookie in den Browser.

Bei der nächsten Authentifizierung :

1. Der Kunde fordert erneut Zugang zum BlueMind Server an.
2. Da er das BlueMind-Cookie besitzt, wird er automatisch authentifiziert, solange dieses Cookie gültig ist.

Weitere Informationen:

• http://aldian.developpez.com/tutoriels/javaee/authentification-centralisee-sso-cas/images/09_diagramme_full.png
• http://www.jasig.org/cas/protocol

Installation

Um die CAS-Authentifizierung zu implementieren, installieren Sie das erforderliche Paket :

Debian/Ubuntu

aptitude install bm-plugin-hps-cas

Redhat/CentOS

yum install bm-plugin-hps-cas

Starte dann BlueMind neu:

bmctl restart

Konfiguration

1. Wenn Sie als admin0 angemeldet sind, gehen Sie zu Systemverwaltung > Systemkonfiguration > Registerkarte Authentifizierung.
2. Wählen Sie die CAS-Authentifizierungsmethode aus dem Dropdown-Menü und füllen Sie die entsprechenden Felder aus:
   
   • URL des CAS-Servers
   • BlueMind-Domain als Standard.
3. Klicken Sie auf "Speichern", um die Änderungen zu speichern.
4. Starten Sie den bm-hps-Dienst neu.

Die Benutzer werden dann automatisch zum CAS-Server weitergeleitet, wenn sie auf die Authentifizierungsseite zugreifen**.

Bekannte Fehler

Fehler 403: Ihr Benutzerkonto existiert nicht in diesem BlueMind.

Ursache: Diese Fehlermeldung bedeutet, dass das Login, mit dem sich der Benutzer im CAS authentifiziert hat, für diese Domäne nicht existiert. Dies kann geschehen, wenn der Benutzer noch nicht in BlueMind angelegt wurde, oder absichtlich, weil Sie nicht möchten, dass dieser Benutzer darauf zugreift.

**Zwei Lösungen sind möglich:

1. Erstellen Sie in BlueMind in der richtigen Domäne den Benutzer, der mit dem CAS-Login verbunden ist.
2. Ignorieren Sie den Fehler, wenn die Zugangsverweigerung freiwillig erfolgte.

Fehler 500: Internal Server Error

Diese Fehlermeldung kann mehrere Gründe haben. Um die Ursache zu untersuchen und zu beheben, konsultieren Sie die HPS-Logs, z.B. mit dem folgenden Befehl:

cat /var/log/bm-hps/hps.log | grep CAS

Verwendung eines selbstsignierten Zertifikats oder einer unbekannten Zertifizierungsstelle

Symptome: Wenn ein selbstsigniertes Zertifikat für den CAS-Server verwendet wird oder die Zertifizierungsstelle des CAS-Servers nicht aufgelistet ist, tritt ein Sicherheitsfehler beim Aufbau der https-Verbindung zum CAS-Server auf.

**Um diesen Fehler zu beheben, importieren Sie das selbstsignierte Zertifikat oder die Stammzertifizierungsstelle in den Keystore der jvm, die BlueMind verwendet.

keytool -import -trustcacerts -alias cas -file cert_racine.crt -keystore /usr/lib/jvm/bm-jdk/lib/security/cacerts
Enter keystore password: changeit

Weitere Informationen finden Sie unter http://www.sslshopper.com/article-most-common-java-keytool-keystore-commands.html.