JASIG CASを使用した単一認証（SSO）。 パート2

こんにちは、Habro読者の皆さん。 JASIG CASに関する一連の記事の続きです。 このパートでは、CASアーティファクトを収集して作業を開始する方法を説明します。 さらに読む前に、 最初のパートをお読みください。

私たちは調整し、集めました...整理しました。

彼らが言うように、正しい態度は戦いの半分です。 CASのバージョンを適切に構成および構築するには、SpringとMavenがどのように機能するかを十分に理解する必要があります。

CAS設定の最初から最後までを知りたい場合は、 ここにいます。 最初の記事で説明した環境でCASを正常に起動するために知っておく必要がある基本的なことについて説明します。

最初に、構成に必要なファイルをリストします。 その後、私が最も重要だと思うものについて説明します。 元のリストはここにあります 。

構成ファイル

• WEB-INF / classes / log4j.xml。 このファイルには、ロギング設定が含まれています。 必要に応じて、独自のロガーを追加できます。CASは制限を課しません。
• WEB-INF / cas-servlet.xml。 これは、CASサービスURLを処理するサーブレットのSpring MVC構成です。
• WEB-INF / cas.properties。 これには、サービスサービスURL、SQLダイアレクト、および一般的に考えられるすべてのプロパティが含まれています。ここに追加できます。
• WEB-INF / deployerConfigContext.xml。 ほとんどすべてのサービス設定はこのファイルにあります。
• WEB-INF / login-webflow.xml。 ここで、Spring Web Flowの助けを借りて、承認フローが構成されます。
• WEB-INF / restlet-servlet.xml。 RESTful APIのセットアップ。 理論的には、このファイルを変更する必要はありません。
• WEB-INF /クラス/メッセージ_ *。プロパティ。 これは、CASのローカライズに使用されるプロパティファイルのセットです。
• WEB-INF / spring-configuration。 このディレクトリには、ほとんどのコンポーネントの設定が含まれています。 それらの多くは簡単に再定義できます。

WEB-INF / spring-configurationにある構成ファイル

• applicationContext.xml。 AutowiringスケジューラやQuartzタスク設定など、通常再定義する必要のない標準Beanが含まれています。
• ticketRegistry.xml。 チケット登録。 変更することはまずありません。
• argumentExtractorsConfiguration.xml。 プロトコルの選択を担当します。 デフォルトでは、CASおよびSAML。
• propertyFileConfigurer.xml。 プロパティを取得する場所からのパスを指定します。 デフォルトではWEB-INF / cas.propertiesから
• securityContext.xml。
• ticketExpirationPolicies.xml。 チケットの作成と検証に関連する設定。
• ticketGrantingTicketCookieGenerator.xml。 TGTを作成する方法を説明します。 ほとんどの場合、変更する必要はありません。
  
  

deploymentconfigContext.xml

したがって、主要なCAS構成ファイルはdeployerConfigContext.xmlです。 これはかなり大きなファイルなので、上から下に断片的に解析します。

ファイルの最初に、資格情報リゾルバーのリストがあります。 リゾルバは、サーバーに到着した承認リクエストから資格情報を取得する責任があります。

<property name="credentialsToPrincipalResolvers"> ... </property>
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

認証フォームから提供されたログイン/パスワード以外を使用しない場合、このセクションはそのままにしておいてかまいません。



以下は、CASが受信した資格情報を使用する方法を担当するハンドラーの説明です。 LDAPでユーザーを検索するために使用します

 <property name="authenticationHandlers"> <list> <bean class="org.jasig.cas.adaptors.ldap.BindLdapAuthenticationHandler" p:filter="userLogin =%u" p:searchBase="" p:timeout="${ldapReadConnectTimeout}" p:contextSource-ref="contextSource"/> </property>
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

重要！ 製品環境では、必ずSimpleTestUsernamePasswordAuthenticationHandlerを削除してください。



重要！ pパラメータに注意してください：timeout = "$ {ldapReadConnectTimeout}" 。 これは、LDAPを使用した読み取り/接続タイムアウトです。 このパラメーターを設定しないと、標準パラメーターは上書きされず、設定パラメーターcom.sun.jndi.ldap.connect.timeout com.sun.jndi.ldap.read.timeoutについても確認されません。これについては後で説明します。



次の構成ブロックは、ユーザーデータソースの構成に関連付けられています。 ユーザーがopenLdapに保存されている場合の構成例を示します。

LDAPでユーザーを検索するには、2つの方法があります。

• FastBindLdapAuthenticationHandler。 これは最速ですが、資格情報から識別名（DN）を直接構築できる場合にのみ適しています。 uid =％u、ou = users、dc = domain。 ここで、％uは提供されたログインです。
  
  
• BindLdapAuthenticationHandler。 少し遅くなりますが、適切なレコードを選択する自由が増えます。 2段階で動作します-最初からLDAPバインドが発生します。 バインドの資格情報はcontextSourceから取得されます。これについては後で説明します。 ステージ2-フィルターを使用したLDAP検索。
  
  

重要！ LDAPを使用する場合、ベースは検索操作とバインド操作で異なる方法で使用されます。 バインドの場合は、常にエントリのフルネームを指定する必要があります。たとえば、cn = user、dc = sso、dc = ru、baseはdc = sso、dc = ruです。 したがって、contextSource設定のベースは常に入力する必要があり、userDNは常にCASがLDAPで許可されるユーザーのフルネームです。



検索中に、検索領域を制限するためにsearchBaseが検索フィルターに追加されます。 空の場合もあります。この場合、ディレクトリ内の検索条件はフィルターによってのみ決定されます。



contextSourceを設定する例。

 <bean id="contextSource" class="org.springframework.ldap.core.support.LdapContextSource"> <property name="pooled" value="false"/> <property name="urls"> <list> <value>ldap://your.host.nameORip</value> </list> </property> <property name="userDn" value="cn=user,dc=subdomain,dc=domain"/> <property name="password" value="verybigsecret"/> <property name="base" value="dc=subdomain,dc=domain"/> <property name="baseEnvironmentProperties"> <map> <entry> <key> <value>java.naming.security.authentication</value> </key> <value>simple</value> </entry> <entry key="com.sun.jndi.ldap.connect.timeout" value="5000"/> <entry key="com.sun.jndi.ldap.read.timeout" value="5000"/> </map> </property> </bean>
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

パラメーターcom.sun.jndi.ldap。（接続、読み取り）.timeoutは、LDAPに接続してデータを読み取るときのタイムアウトをそれぞれ担当します。



userDetailsS​​erviceに問題はないはずなので、最後の重要な設定であるサービスリポジトリに移りましょう。 登録されたサービスを保存するには、いくつかの方法があります。 デフォルトはinMemoryリポジトリです。 このオプションは、製品環境や、複数のCASサーバー間でサービスの単一リストを共有したい場合には適していません。 CASサーバーと同じマシンにデプロイされたMySqlを使用します。 このオプションが受け入れられる場合は、この構成をコピーして、ユーザー名/パスワードに置き換えることができます。

 <bean id="serviceRegistryDao" class="org.jasig.cas.services.JpaServiceRegistryDaoImpl" p:entityManagerFactory-ref="entityManagerFactory"/> <bean id="entityManagerFactory" class="org.springframework.orm.jpa.LocalContainerEntityManagerFactoryBean"> <property name="dataSource" ref="dataSource"/> <property name="jpaVendorAdapter"> <bean class="org.springframework.orm.jpa.vendor.HibernateJpaVendorAdapter"> <property name="generateDdl" value="true"/> <property name="showSql" value="true"/> </bean> </property> <property name="jpaProperties"> <props> <prop key="hibernate.dialect">org.hibernate.dialect.MySQLDialect</prop> <prop key="hibernate.hbm2ddl.auto">update</prop> </props> </property> </bean> <bean id="transactionManager" class="org.springframework.orm.jpa.JpaTransactionManager"> <property name="entityManagerFactory" ref="entityManagerFactory"/> </bean> <tx:annotation-driven transaction-manager="transactionManager"/> <bean id="dataSource" class="org.apache.commons.dbcp.BasicDataSource" p:driverClassName="com.mysql.jdbc.Driver" p:url="jdbc:mysql://localhost:3306/cas?autoReconnect=true" p:username="root" p:password=""/>
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

ticketExpirationPolicies.xml

これは別の重要な構成ファイルです。 STおよびTGTの有効期限ポリシーについて説明します。 対話プロトコルを変更する予定がある場合、深刻なネットワーク遅延がある場合、またはSSOに参加しているサーバーの時間が十分に同期されていない場合は、STのパラメーター値を増やす必要があります。

cas.properties

ここには多くの標準プロパティがありません。

cas.securityContext.serviceProperties.service。 その値は、たとえばhttps：// localhost：8443 / cas / services / j_acegi_cas_security_checkです。 これは、チケットチェックを実行するサーブレットのURLです。 ここでは次のようになります：$ {service} since MAVENプロファイルのプロパティにこれと他の多くの設定を配置し、アセンブリ中にそれらを置き換えることをお勧めします。 これがどのように行われるかについては、少し後で説明します。

cas.securityContext.serviceProperties.adminRoles = ROLE_ADMIN。 このプロパティには、Spring Securityのユーザーロール名が含まれています。 これらの役割を持つユーザーは、CASサービスインターフェイスにアクセスできます。 この設定は、deployerConfigContext.xmlのuserDetailsS​​erviceに直接関連しています。

cas.securityContext.casProcessingFilterEntryPoint.loginUrl。 このパスに沿って、ユーザー資格情報を受け入れるサーブレットがあります。

cas.securityContext.ticketValidator.casServerUrlPrefix。 CAS URL。

host.name。 私が理解しているように、このパラメーターは主にTGTおよびSTという名前のプレフィックスとして使用されます。 したがって、好みに応じて任意の名前を選択できます。

database.hibernate.dialect。 このプロパティは、Hibernate SQLダイアレクトを定義します。 deployerConfigContext.xmlでは、サービスの保存にMySQlを選択したため、値をorg.hibernate.dialect.MySQLDialectに設定する必要があります。



CASを使用すると、CASテーマを使用して、Webインターフェイスに異なるデザインを指定できます。 これがどのように行われるかは、おそらく別の記事で説明します。 トピックの詳細はこちらをご覧ください 。

組立

設定がわかったので、独自のアーティファクトを組み立ててみることができます。 Maven戦争オーバーレイを使用して収集します

最初に、後で必要になるプロパティを説明します

 <properties> <spring.version>3.0.4.RELEASE</spring.version> <spring.security.version>3.0.3.RELEASE</spring.security.version> <cas.version>3.4.8</cas.version> <compiler.version>2.0.2</compiler.version> <source.version>1.6</source.version> <project.build.sourceEncoding>UTF-8</project.build.sourceEncoding> </properties>
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

重要！ プロジェクトをビルドするときに使用されるリソースエンコーディングを必ず指定してください。 そうしないと、ロシア語のテキストに問題がある可能性があります。



deployerConfigContext.xmlで行われた設定に従って、プロジェクトに依存関係を追加します。

 <!—   CAS     OVERLAY --> <dependency> <groupId>org.jasig.cas</groupId> <artifactId>cas-server-webapp</artifactId> <version>${cas.version}</version> <type>war</type> <scope>runtime</scope></dependency> <!—       --> <dependency> <groupId>c3p0</groupId> <artifactId>c3p0</artifactId> <version>0.9.1.2</version> </dependency> <dependency> <groupId>org.hibernate</groupId> <artifactId>hibernate-entitymanager</artifactId> <version>3.6.0.Final</version> <exclusions> <exclusion> <artifactId>hibernate-core</artifactId> <groupId>org.hibernate</groupId> </exclusion> </exclusions> </dependency> <dependency> <groupId>mysql</groupId> <artifactId>mysql-connector-java</artifactId> <version>5.1.14</version> </dependency> </dependencies> <!--     LDAP--> <dependency> <groupId>org.jasig.cas</groupId> <artifactId>cas-server-support-ldap</artifactId> <version>${cas.version}</version> <exclusions> <exclusion> <groupId>org.hibernate</groupId> <artifactId>hibernate-core</artifactId> </exclusion> <exclusion> <artifactId>jaxb-impl</artifactId> <groupId>com.sun.xml.bind</groupId> </exclusion> <exclusion> <artifactId>spring-expression</artifactId> <groupId>org.springframework</groupId> </exclusion> <exclusion> <artifactId>spring-expression</artifactId> <groupId>org.springframework</groupId> </exclusion> <exclusion> <artifactId>spring-expression</artifactId> <groupId>org.springframework</groupId> </exclusion> </exclusions> </dependency>
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

オーバーレイを使用したビルドは、プロファイルとリソースフィルターは必要ないが、別のプロジェクトのリソースをアセンブリのベースとして使用する場合に適しています。

たとえば、アーティファクトのdeployerConfigContext.xmlとcas.propertiesを置き換える必要がある場合、次のようにできます...

 <plugin> <artifactId>maven-war-plugin</artifactId> <configuration> <warName>cas</warName> <overlays> <overlay> <groupId>org.jasig.cas</groupId> <artifactId>cas-server-webapp</artifactId> <excludes> <exclude>WEB-INF/deployerConfigContext.xml</exclude> <exclude>WEB-INF/cas.properties</exclude> </excludes> </overlay> </overlays> </plugin>
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

この方法は非常に優れていますが、プロファイルの使用をお勧めします 。 アプリケーションを構成する際の自由度が大幅に向上します。 たとえば、彼らの助けを借りて、製品およびテスト環境のアーティファクトのアセンブリを整理するのは非常に簡単です。

ビルドタグは次のようになります

 <plugin> <artifactId>maven-war-plugin</artifactId> <configuration> <warName>cas</warName> <webResources> <resource> <directory>src/main/config</directory> <!-- override the destination directory for this resource --> <targetPath>WEB-INF</targetPath> <!-- enable filtering --> <filtering>true</filtering> </resource> </webResources> </configuration> </plugin>
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

次にプロファイルを追加します

 <profiles> <profile> <id>test</id> <activation> <activeByDefault>true</activeByDefault> </activation> <properties> <service> https://localhost:8443/cas/services/j_acegi_cas_security_check </service> </properties> </profile> <profile> <id>prod</id> <properties> <service> https://auth.tcsbank.ru:8443/cas/services/j_acegi_cas_security_check </service> </properties> </profile> </profiles>
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

異なる環境で異なるすべてのプロパティをプロファイルタグに入れるのが賢明です。





これで、/ src / main / configディレクトリを作成し、Mavenを使用してフィルタリングするすべてのリソースをコピーできます。 その結果、プロジェクトの構造は右の画像のように見える場合があります。

たとえば、食品環境のために、プロジェクトを組み立てるだけです...

 mvn -e clean compile package -P prod
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

-e修飾子は、発生したエラーのスタックトレースなど、ビルドプロセスに関するより詳細な情報を表示するように指示します。



重要！ アセンブリする前に、CASを使用する予定のすべてのロケールのすべてのメッセージが存在することを確認してください。 これを行うには、必要なロケールのメッセージファイルにenロケールのファイルと同じメッセージが含まれていることを確認してください。 そうでない場合は、リソースバンドルをプロジェクトのディレクトリ/ webapp / WEB-INF / classes /にコピーし、メッセージのリストを手動で追加する必要があります。 そうしないと、CASは必要なメッセージが欠落しているサービスインターフェイスを表示できません。

離陸

CASが組み立てられて起動します。最後のステップで、信頼できるサービスを追加する本格的な単一の承認サービスから分離されます。 これを行う方法の詳細な手順については、 こちらをご覧ください 。



重要！ 最初のサービスであるCASを追加する必要があります。 これを行わないと、他のサービスを追加した後、サービスインターフェイスが使用できなくなり、ほとんどの場合、サービスストアを手動でクリアするか、CASを追加する必要があります。



CASにサービスを追加するには、https：// $ {serverUrl} /services/add.htmlのサービス管理ページにアクセスする必要があります。 許可されたユーザーのみがこのページにアクセスできます。 ユーザーロールは、cas.propertiesおよびdeployerConfigContext.xmlで構成されます。

サービスURLはANTスタイルのテンプレートをサポートします。 たとえば、ローカルマシンにあるすべてのサービスを信頼済みサービスに追加するには、このパターン-ht tp *：// localhost：* / **を使用できます。



一度だけです。 第3部では、いくつかの一般的な問題に対処し、パフォーマンスを最適化し、外部フォームから、さらには非同期でログインする方法を説明します。



最後まで読んでくれてありがとう）