Installation d'un serveur CAS
Introduction
Dans ce vous allez installer un serveur Apereo CAS utilisant ldap. Durant ce TP vous devez faire un rapport qui sera noté. Vous devez utiliser un template de TP sauvegardé.
Le système installé doit utiliser 3 services :
- Un premier serveur https/nginx qui reçoit les requêtes et transmet au serveur tomcat.
- Un serveur http/tomcat 8 (attention de bien utiliser java 1.8) qui s'occupe du CAS.
- Un serveur openldap existant à l'adresse
Préparation
Les serveur du TP devront utiliser un crrtificat X509 issue d'une autorité crée spécialement. Vous devez donc commencer par récupérer le CA root qui se trouve sur la machine tpr3-a : moi@tpr3-a:~/Certif/cacert.pem
Cette autorité doit être placée dans le magasin des autorité de votre client web.
Serveur nginx et certificat X509
Le serveur nginx a le rôle d'un reverse proxy, il doit gérer le protocole https et pour cela utiliser un certificat signé par l'autorité du TP. Vous trouverez dans les lien suivant
- une documentation sur la configuration SSL
- une documentation sur la configuration en tant que proxy inverse
L'authentification des serveurs pour SSL doit utiliser des certificats x509. C'est relativement simple en utilisant openssl. Vous trouverez ici un fichier de configuration qui permet d'utiliser des noms alternatifs. Vous pouvez voir ici une description des commandes openssl
Il faut créer :
- une clef secrète pour le serveur
- une requète de certificat (attention de bien choisir les noms alternatifs correspondant à votre groupe).
- Signer la requète avec le certificat présent sur la machine tpr3-A dans le répertoire
~moi/Certif/
.
Le mot de passe de la clef privée du certificat racine est toto.
Vous devez tester sont fonctionnement à partir de tout navigateur qui accepte l'autorité de certification du TP.
Serveur CAS de Apereo
Normalement, il faut suivre la méthode décrite ici avec utilisation de l'utilitaire maven
. Mais cela prendrait trop de temps. Je joins donc ici une archive utilisable directement. Le fichier cas.war
est dans le sous répertoire target
. Les configuration seront recherché dans le répertoire /etc/cas/
dont un exemple est dans l'archive.
La documentation pour l'installation est ici :
- suivez la documentation d l'installation avec l'authentification ldap.
- utilisez la méthode
war overlay
à partir de l'archive fournie - utilisez le script de configuration
build.sh
- attention à la version de java qui doit être 1.8.
Vous pouvez lancer le serveur cas soit standalone soit via un serveur de servlet comme tomcat. Pour qu CAS fonctionne bien, il est nécessaire que le serveur nginx propose ssl et de signaler à tomcat que le connecteur sur le port 8080
est bien sécurisé (contacté via le protocole https). Vous devez donc :
- soit ajouter l'option
secure=“true”
à la configuration du connecteur du port 8080 de tomcat dans le fichier de configurationserver.xml
- soit suivre cette documentation pour le mode standalone
Serveur ldap
Un serveur ldap a été mis en place dans la salle pour faire fonctionner le TP :
- son adresse est
ldap.tpr.univ-lyon1.fr
- son domaine de base est
dc=univ-lyon1,dc=fr
- c'est un openldap (i.e. les utilisateur sont sous
dc=People,dc=univ-lyon1,dc=fr
) - vous pouvez l’interroger avec le compte
cn=lecteur,dc=tpr,dc=univ-lyon1,dc=fr
dont le mot de passe despassedulecteur
- sont certificat a été signé par l'autorité du TP.