問題タブ [jasig]

現時点では、Jasig CAS HttpModule を Orchard CMS に実装しようとしています。

CMS はマルチテナンシーを使用してセットアップされます。つまり、web.config ファイルへの変更は最小限に抑え、クライアント固有ではありません。

問題は、CAS に提供されるデフォルトのモジュールが、すべてのクライアントの Orchard CMS 内のあらゆる種類の認証をオーバーライドする HTTPModule であることです。

MVC アクション フィルターを使用して CAS HTTP モジュールを再実装する際に問題はありますか?

誰もこれを試みましたか？

CAS のインストールに奇妙な問題があります。最近、RememberMe のチケットの有効期間が 3 か月で、RememberMe 機能を有効にしました。

クライアント アプリケーションのセッションが期限切れになると、CAS に送り返されました。

CASTGC Cookie が存在し、有効な CAS が再度ログイン ページを表示しているにもかかわらず。サービス パラメータを指定せずに上記の URL を呼び出すと、「Login-Success」ページにリダイレクトされるため、CAS はログインしていることを認識します。

renew パラメータを送信しない限り、CAS が Cookie のログインを確認し、クライアント アプリケーションに送り返すことを期待します。

CAS のインストールで何かを台無しにしたのでしょうか、それともこれは予期された動作ですか?

アプリケーション（すべてJAVA）でSSOを実行するには、CASサーバーをセットアップする必要があります。これが私の状況です：

1. CAS1: ORACLE LDAP に基づく既存の CAS サーバー (CAS1 と LDAP を制御することはできません)。これは無視する予定です。この CAS に統合されたいくつかのアプリケーション。

2. CAS2: 新規ユーザーが多いため、MS Active Directory に基づく新しい CAS サーバーをセットアップする予定です。AD でそれらを維持する予定です。CAS2 で SSO をセットアップする予定のアプリケーションも同じです。

必要なのは、既存の LDAP のユーザーと新しい AD のユーザーの両方が SSO によってアプリケーションにログインできることです。

1. LDAP と AD の両方を使用するように新しい CAS をセットアップするなど、簡単な方法はありますか。そのため、両側のユーザーがアプリケーションにログインできます。可能であれば、これは私が考えるより良い方法です。詳細な例はありますか？

2. 2 つの CAS 間のフェデレーションをセットアップできますか? Jasig CASは可能ですか？

助けてください！どうもありがとう！

私は.net 4.0でWebフォームを使用していますが、これを機能させるのに本当に苦労しています。jasig サイトのドキュメントを使用し、クライアント用の nuget パッケージをインストールしました。

https://wiki.jasig.org/display/CASC/.Net+Cas+Client

ログインに成功し、CAS サーバーからトークンを取得していますが、認証できないようです。私が見る限り、トークンを検証するために呼び出す 3 つの異なるサービス メソッドがあります。

/検証

/サービス検証

/saml検証

検証メソッドは単に「いいえ」の Web 応答を返しますが、serverValidate メソッドを呼び出すと、XML 応答で INVALID_TICKET のコードを返します。samlValidate も試しましたが、403 エラーが表示されます (これは有効な応答である可能性があることを理解しています)。

私の検証コードは次のようなものです：

私のCAS構成は次のとおりです。

なんらかの設定に違いないと思いますが、私の人生では、設定が何であるかを理解することはできません.

トークンを検証できない理由を誰か教えてもらえますか?

編集： これについてもう少し考えてみると、さらに混乱しています。以下の @Steven V が言うように、クライアント アプリの Cookie が httpmodule によって作成された場合、ページはどのように認証されますか? たとえば、クライアント (RP) アプリ ページ (landing.aspx など) にいて、制限付きコンテンツ (restricted.aspx など) への (IP) 認証サーバーへのリンクをクリックすると、サーバーはどのように魔法のように Cookie を作成しますか?ログインした後、restricted.aspx にリダイレクトする前にクライアントでFormsAuthentication.CreateAuthCookie()。

制限付きページへのリンクをクリックすると、予想どおり (IP) CAS サーバー ページにリダイレクトされ、ログインに成功すると無限リダイレクトが発生します。これは、おそらくアプリにローカル クライアント Cookie がないためです。認証を試みるため、すでに認証されているサーバーにリダイレクトされ、クライアントにリダイレクトされますが、ローカル Cookie がないため、認証が必要です..永遠に。

もう一度編集:私はこれについてさらに読みました (利用できるものはあまりありません)。この認証は非常に低いレベルで発生し、ページ リダイレクトの前に Cookie を設定するクライアント アプリ (RP) で発生するはずであることがわかりました。これは明らかに私には起こっていません。何がうまくいかないのかをどうやって解決するかについての手がかりがありません.

ASP.NET 互換モードで実行される WCF サービスをセットアップして、サイトの残りの部分で使用される SSO 認証を利用できるようにしました。SSO は Jasig の CAS に基づいており、WCF サービスで動作するように dotNetCasClient を変更しました。dotNetCasClient http モジュールが、サービスに対して行われたすべての要求をインターセプトし、CAS が提供するチケットに従ってプリンシパルをセットアップするという考え方です。

この作業を行うには、次の方法ですべての匿名ユーザーへのアクセスを拒否する必要がありました。

この時点までのすべてが機能します。認証されていないユーザーが拒否されている間、認証されたユーザーは私のサービスを呼び出すことができます。問題は、.svc?wsdl を介して WSDL にアクセスできないことです。私は単に401.2を取得します。

サービスの残りの部分への匿名トラフィックを拒否しながら、WSDL への匿名トラフィックを許可する方法はありますか?

次のバリエーションを使用してみましたが、パスに ?wsdl があるのは好きではありません。

また、匿名トラフィックを許可し、代わりにPrincipalPermissionAttributeを使用して遊んでみましたが、Windows プリンシパルではなく dotNetCasClient を介してカスタム プリンシパルを使用しているため、これはおそらく機能しません。

web.config から認証タグを削除すると、再び WSDL にアクセスできるようになりますが、SSO 認証が正しく機能しなくなることに注意してください。

これが私の完全なweb.configです

CAS がフォーム認証を使用し、MVC 5 が OWIN に移行したことを理解しています。私はいくつかの調査を行い、これを実装しようとしている人が数人いることを発見しました- https://groups.google.com/forum/#!msg/jasig-cas-dev/vPqa5X6aYew/FwciRjilbgEJ、ダウンロードしましたWill Dean の Git リポジトリ ( https://github.com/willdean/owin-cas )からのファイルを含めました。

私の質問は、CAS サーバーで動作するようにこれを構成するにはどうすればよいですか? ログイン URL 変数をいくつか変更しましたが、うまくいきませんでした。

3 つの Grails アプリケーションを同じ Tomcat サーバー (tomcat-7.0.54) にデプロイし、数 (3 ～ 4) 日後、ログイン後に 1 つまたは 2 つのアプリケーションでリダイレクト ループに陥ったようです。アプリケーションは常に問題ないようで、問題はありません。3 つすべてに同じ CAS 構成があり、一方のアプリケーションから他方のアプリケーションにコピーされますが、唯一の違いはインターセプト URL マップです。

誰もがこれを経験しましたか、またはどこを見ればよいか分かりますか? 問題を解決するには、Tomcat を再起動する必要があります。一度再起動すると、あと 3 ～ 4 日間は 3 つとも問題なく動作します。