Einführung von SSO CAS
Dieses Dokument beschreibt, wie BlueMind die CAS-Authentifizierung (Central Authentication Service) erkennt.
Funktionsweise der CAS-Authentifizierung
Für eine erste Authentifizierung :
- Der Benutzer sucht nach einer Verbindung zu BlueMind, die er in seinem Browser öffnet.
- Da er noch nicht authentifiziert wurde, leitet ihn der BlueMind Server zum CAS-Server um, damit er sich authentifizieren kann.
- Nach der Authentifizierung wird ein CAS-Cookie in den Browser des Benutzers gesetzt, der dann mit einem Ticket zum Einlösen zu BlueMind weitergeleitet wird.
- Der BlueMind Server :
- sieht dieses Ticket,
- fragt den CAS-Server, ob er gültig ist,
- si c'est bien le cas, autorise la connection et pose un cookie BlueMind dans le navigateur.
Bei der nächsten Authentifizierung :
- Der Kunde fordert erneut Zugang zum BlueMind Server an.
- Da er das BlueMind-Cookie besitzt, wird er automatisch authentifiziert, solange dieses Cookie gültig ist.
Weitere Informationen:
- http://aldian.developpez.com/tutoriels/javaee/authentification-centralisee-sso-cas/images/09_diagramme_full.png
- http://www.jasig.org/cas/protocol
Installation
Pour mettre en œuvre l'authentification CAS, installer le paquet nécessaire :
- Debian/Ubuntu
- Redhat/CentOS
aptitude install bm-plugin-hps-cas
yum install bm-plugin-hps-cas
Puis redémarrer BlueMind :
bmctl restart
Configuration
- Connecté en tant qu'admin0, se rendre dans Gestion du système > Configuration système > onglet Authentification.
- Sélectionner le mode d'authentification CAS dans le menu déroulant et renseigner les champs associés :
- URL du serveur CAS
- Domaine BlueMind par défaut
- Klicken Sie auf "Speichern", um die Änderungen zu speichern.
- Redémarrer le service bm-webserver.
Die Benutzer werden dann automatisch zum CAS-Server weitergeleitet, wenn sie auf die Authentifizierungsseite zugreifen.
Bekannte Fehler
Erreur 403 : Your user account does not exist in this BlueMind.

Cause : Ce message d'erreur signifie que le login avec lequel l'utilisateur s'est authentifié sur le CAS n'existe pas pour ce domaine. Cela peut arriver lorsque l'utilisateur n'a pas encore été créé dans BlueMind ou de façon volontaire car on ne souhaite pas que cet utilisateur y ait accès.
Solutions : Deux solutions permettent sont possibles :
- Créer dans BlueMind, dans le bon domaine, l'utilisateur associé au login CAS.
- Ignorer l'erreur si le refus d'accès est volontaire.
Fehler 500: Internal Server Error
Diese Fehlermeldung kann mehrere Gründe haben. Pour investiguer sur la cause et savoir la résoudre, consulter les logs du webserver.
Verwendung eines selbstsignierten Zertifikats oder einer unbekannten Zertifizierungsstelle
Symptome: Wenn ein selbstsigniertes Zertifikat für den CAS-Server verwendet wird oder die Zertifizierungsstelle des CAS-Servers nicht aufgelistet ist, tritt ein Sicherheitsfehler beim Aufbau der https-Verbindung zum CAS-Server auf.
Lösung: Um diesen Fehler zu beheben, importieren Sie das selbstsignierte Zertifikat oder die Stammzertifizierungsstelle in den Keystore der jvm, die BlueMind verwendet.
keytool -import -trustcacerts -alias cas -file cert_racine.crt -keystore /usr/lib/jvm/bm-jdk/lib/security/cacerts
Enter keystore password: changeit
Weitere Informationen finden Sie unter http://www.sslshopper.com/article-most-common-java-keytool-keystore-commands.html.