Installation d'un serveur CAS

Dans ce vous allez installer un serveur Apereo CAS utilisant ldap. Durant ce TP vous devez faire un rapport qui sera noté. Vous devez utiliser un template de TP sauvegardé.

Le système installé doit utiliser 3 services :

1. Un premier serveur https/nginx qui reçoit les requêtes et transmet au serveur tomcat.
2. Un serveur http/tomcat 8 (attention de bien utiliser java 1.8) qui s'occupe du CAS.
3. Un serveur openldap existant à l'adresse

Les serveur du TP devront utiliser un crrtificat X509 issue d'une autorité crée spécialement. Vous devez donc commencer par récupérer le CA root qui se trouve sur la machine tpr3-a : moi@tpr3-a:~/Certif/cacert.pem

Cette autorité doit être placée dans le magasin des autorité de votre client web.

Le serveur nginx a le rôle d'un reverse proxy, il doit gérer le protocole https et pour cela utiliser un certificat signé par l'autorité du TP. Vous trouverez dans les lien suivant

• une documentation sur la configuration SSL
• une documentation sur la configuration en tant que proxy inverse

L'authentification des serveurs pour SSL doit utiliser des certificats x509. C'est relativement simple en utilisant openssl. Vous trouverez ici un fichier de configuration qui permet d'utiliser des noms alternatifs. Vous pouvez voir ici une description des commandes openssl

Il faut créer :

• une clef secrète pour le serveur
• une requète de certificat (attention de bien choisir les noms alternatifs correspondant à votre groupe).
• Signer la requète avec le certificat présent sur la machine tpr3-A dans le répertoire ~moi/Certif/.

Le mot de passe de la clef privée du certificat racine est toto.

Vous devez tester sont fonctionnement à partir de tout navigateur qui accepte l'autorité de certification du TP.

Normalement, il faut suivre la méthode décrite ici avec utilisation de l'utilitaire maven. Mais cela prendrait trop de temps. Je joins donc ici une archive utilisable directement. Le fichier cas.war est dans le sous répertoire target. Les configuration seront recherché dans le répertoire /etc/cas/ dont un exemple est dans l'archive.

La documentation pour l'installation est ici :

1. suivez la documentation d l'installation avec l'authentification ldap.
2. utilisez la méthode war overlay à partir de l'archive fournie
3. utilisez le script de configuration build.sh
4. attention à la version de java qui doit être 1.8.

<settings>
  <proxies>
    <proxy>
    <active>true</active>
    <protocol>http</protocol>
    <host>proxy.univ-lyon1.fr</host>
    <port>3128</port>
    </proxy>
    <proxy>
    <active>true</active>
    <protocol>https</protocol>
    <host>proxy.univ-lyon1.fr</host>
    <port>3128</port>
    </proxy>
    <proxy>
    <active>true</active>
    <protocol>ftp</protocol>
    <host>proxy.univ-lyon1.fr</host>
    <port>3128</port>
    </proxy>
  </proxies>
</settings>

Vous pouvez lancer le serveur cas soit standalone soit via un serveur de servlet comme tomcat. Pour qu CAS fonctionne bien, il est nécessaire que le serveur nginx propose ssl et de signaler à tomcat que le connecteur sur le port 8080 est bien sécurisé (contacté via le protocole https). Vous devez donc :

1. soit ajouter l'option secure=“true” à la configuration du connecteur du port 8080 de tomcat dans le fichier de configuration server.xml
2. soit suivre cette documentation pour le mode standalone

Un serveur ldap a été mis en place dans la salle pour faire fonctionner le TP :

1. son adresse est ldap.tpr.univ-lyon1.fr
2. son domaine de base est dc=univ-lyon1,dc=fr
3. c'est un openldap (i.e. les utilisateur sont sous dc=People,dc=univ-lyon1,dc=fr)
4. vous pouvez l’interroger avec le compte cn=lecteur,dc=tpr,dc=univ-lyon1,dc=fr dont le mot de passe des passedulecteur
5. sont certificat a été signé par l'autorité du TP.