Système d'authentification centralisée SSO ( Single Sign- On: une seule authentification pour plusieurs applications ) avec fournisseur d'identités

Installation CAS server

Il s'agit ici du server de SSO [5] :

#wget http://downloads.jasig.org/cas/cas-server-3.4.11-release.tar.gz

#tar xvzf cas-server-3.4.11-release.tar.gz

#more cas-server-3.4.11/INSTALL.txt

#cd cas-server-3.4.11/cas-server-webapp

vi pom.xml

<!-- Dependance support LDAP -->

<dependency>

<groupId>${project.groupId}</groupId>

<artifactId>cas-server-support-ldap</artifactId>

<version>${project.version}</version>

</dependency>

La suite de la configuration de CAS a été faite grâce au fichier à l'adresse : http://www.artduweb.com/tutoriels/cas-sso

2.3.3.2 CONFIGURATION DU SERVEUR IdP SHIBBOLETH

La configuration de l'idp Schibboleth [6] se fait en plusieurs étapes :

Création des certificats

#opensslgenrsa -out pcserver.iut-fv.cm.key 1024

#opensslreq -new -x509 -days 365 -key pcserver.iut-fv.cm.key -out pcserver.iut-fv.cm.crt

Configuration d'apache

SSLCertificateFile / etc/pki/tls/certs/pcserver .iut-fv.cm.crt

SSLCertificateKeyFile / etc/pki/tls/private/pcserver.iut-fv.cm.key

La génération du certificat nous devons éditer le fichier ssl.conf. Ajoutons les lignes suivantes pour que Apache utilise ces éléments.

Apache sera configuré avec le module mod_ssl supportant SSL et le module mod_proxy_ajp pour rediriger les requêtes à Tomcat. Obtenir un certificat de SWITCHpki à l'adresse : www.switch.ch/quovadis/quvsslica.crt.pem.

#cppcserver.iut-fv.cm.key/etc/ssl/private/

#cppcserver.iut-fv.cm.crt/etc/ssl/certs/

#mv qvsslica.crt.pem /etc/ssl/certs/

ServerTokensProd

Améliorons le degré de sécurité de notre serveur, ajoutons dans de directive /etc/apache2/conf.d/security.

Le fichier de configuration /etc/apache2/site-availabe/pcserver sera présenté en annexe 2.Ensuite survient l'activation de l'host virtuel, l'activation du module SSL etl'activation du module proxy ajp.

Configuration du module JAAS pour l'authentification des utilisateurs

Il faut configurer l'authentification pour ShibbolethIdP avec le module JAAS. http://docs.oracle.com/javase/1.5.0/docs/guide/security/jaas/JAASRefGuide.html

Configurons JAAS in /opt/shibboleth-idp/conf/login.config avec VTLdappour LDAPS.

ShibUserPassAuth {

// Example LDAP authentication

edu.vt.middleware.ldap.jaas.LdapLoginModule required

ldapUrl="ldaps://ldap.iut-fv.cm"

baseDn="ou=people,dc=iut-fv,dc=cm"

bindDn="cn=idp-user,dc=iut-fv,dc=cm"

bindCredential="password for idp-user";

};

Configuration de tomcat

<!-- Define an AJP 1.3 Connector on port 8009 -->

<Connector port="8009" address="127.0.0.1"

enableLookups="false" redirectPort="443"

protocol="AJP/1.3"

tomcatAuthentication="false" />

<!--

<ListenerclassName="org.apache.catalina.core.AprLifecycleListener" SSLEngine="on" />

-->

Dans /etc/tomcat6/server.xml, configurons le connecteur AJP 1.3 au port 8009:

Configuration de l'IdP

Les qualifications employées par ShibbolethIdP sont dans/opt/shibboleth-idp/credentials/annuaire.L'installateur produit d'un certificat individuel signé qui sera employé dans la fédération de SWITCHaai.Le certificat est également inclus dans le metadata de l'IdP dans le dossier/opt/shibboleth-idp/metadata/idp-metadata.xml.Toutes les fois que les qualifications de l'IdP sont changées, ce dossier doit être aussi bien changé. Etant donné que nous ne faisons pas partie de la fédération SWITCHaai, nous préparons l'IdP pour une fédération.

#cd /opt/shibboleth-idp/credentials

#chown root idp.key

#chgrp tomcat6 idp.{key,crt}

#chmod 440 idp.key

#chmod 644 idp.crt

Le dossier spécifique de SWITCHaai relying-party.xml [7] peut être téléchargé comme calibre pour l'installation.

#cd /opt/shibboleth-idp/conf/

#mv relying-party.xml relying-party.xml.orig

#curl -Ok https://www.switch.ch/aai/docs/shibboleth/SWITCH/2.3/idp/deployment/relying-party.xml

#vim /opt/shibboleth-idp/metadata/metadata.aaitest.xml

Ce fichier de configuration est présenté en annexe 3.

Résolution d'attribut et de filtrage

Téléchargons le dossier spécifique attribute-resolver.xml de configuration de SWITCHaai et l'adapter.

#cd /opt/shibboleth-idp/conf/

#curl -Ok https://www.switch.ch/aai/docs/shibboleth/SWITCH/2.3/idp/deployment/attribute-resolver.xml

Le fichier /opt/shibboleth-idp/conf/attribute-resolver.xml se présente en annexe 4.

Redéployons l'application ShibbolethIdP.Tomcat rechargera l'application d'enchaînement à condition que le descripteur de contexte se dirige au dossier/opt/shibboleth-idp/war/idp.war.

répondezno à la question Would you like to overwrite this Shibboleth configuration?Après le redémarrage de Tomcat, vous pourrez vérifier que l'application Shibboleth a correctement démarrée.

Conclusion

La fédération d'identités vise justement à simplifier la gestion des identités dans un contexte distribué entre plusieurs entreprises.
Si on caricature le fonctionnement d'une fédération d'identité, on peut imaginer un douanier qui ne fait pas forcément confiance à une personne lui présentant son passeport. Néanmoins notre douanier aura confiance au gouvernement qui a délivré le passeport. Ainsi notre individu est authentifié par son gouvernement et présente la preuve de son authentification au douanier qui le laisse alors franchir la douane.