JASIG CAS का उपयोग करके एकल प्राधिकरण (SSO)। भाग २

अभिवादन, प्रिय Habro पाठकों। यहां JASIG CAS के बारे में लेखों की एक श्रृंखला जारी है। इस भाग में मैं आपको बताऊंगा कि कैस आर्टवर्क को कैसे इकट्ठा किया जाए और इसके साथ काम करना शुरू करें। आगे पढ़ने से पहले, मुझे आशा है कि आप पहले भाग को पढ़ेंगे।

हमने ट्यून किया, इकट्ठा किया ... हल निकाला।

जैसा कि वे कहते हैं, सही रवैया आधी लड़ाई है। CAS के अपने संस्करण को ठीक से कॉन्फ़िगर करने और बनाने के लिए, आपके पास एक अच्छा विचार होना चाहिए कि स्प्रिंग और मावेन कैसे काम करते हैं।
यदि आप शुरू से अंत तक सीएएस सेटिंग्स के बारे में जानना चाहते हैं, तो यहां आप हैं । मैं आपको उन मूल चीज़ों के बारे में बताता हूँ, जिन्हें आपको पहले लेख में वर्णित पर्यावरण में सफलतापूर्वक CAS शुरू करने के लिए जानना आवश्यक है।
सबसे पहले, मैं उन फ़ाइलों की सूची दूंगा जो कॉन्फ़िगरेशन के लिए आवश्यक हो सकती हैं। उसके बाद, मैं उन लोगों पर ध्यान केंद्रित करूंगा जिन्हें मैं सबसे महत्वपूर्ण मानता हूं। मूल सूची यहां पाई जा सकती है ।

विन्यास फाइल

• वेब-इन्फो / कक्षाएं / log4j.xml। इस फ़ाइल में लॉगिंग सेटिंग्स हैं। यदि आप चाहें, तो आप अपने स्वयं के लॉगर जोड़ सकते हैं, कैस कोई प्रतिबंध नहीं लगाता है।
• WEB-INF / cas-servlet.xml। यह सर्वलेट्स का स्प्रिंग MVC कॉन्फ़िगरेशन है जो CAS सेवा URL की प्रक्रिया करता है।
• WEB-INF / cas.properties। इसमें सेवा सेवा URL, एक SQL बोली और आम तौर पर आपके द्वारा सोचे जा सकने वाले किसी भी गुण को आप यहाँ जोड़ सकते हैं।
• वेब-इन्फो / परिनियोजनकॉन्फ़िगॉनटैक्स.एक्सएमएल। लगभग सभी सेवा सेटिंग्स इस फ़ाइल में हैं।
• वेब-इन्फो / लॉगिन-वेबफ्लो.एक्सएमएल। यहां, स्प्रिंग वेब फ्लो की सहायता से, प्राधिकरण प्रवाह को कॉन्फ़िगर किया गया है।
• WEB-INF / restlet-servlet.xml। रेस्टफुल एपीआई की स्थापना। सिद्धांत रूप में, आपको इस फ़ाइल को कभी नहीं बदलना होगा।
• WEB-INF / कक्षाएं / संदेश _ *। गुण यह संपत्ति फ़ाइलों का एक सेट है जिसका उपयोग CAS को स्थानीय बनाने के लिए किया जाता है।
• वेब-इन्फो / वसंत-विन्यास। इस निर्देशिका में अधिकांश घटकों के लिए सेटिंग्स हैं। उनमें से कई को आसानी से पुनर्परिभाषित किया जा सकता है।

WEB-INF / वसंत-कॉन्फ़िगरेशन में स्थित कॉन्फ़िगरेशन फ़ाइलें

• applicationContext.xml। मानक बीन्स होते हैं जिन्हें आमतौर पर पुनर्परिभाषित करने की आवश्यकता नहीं होती है, जैसे कि ऑटोवेयरिंग शेड्यूलर और क्वार्ट्ज कार्य सेटिंग्स।
• ticketRegistry.xml। टिकट की रजिस्ट्री। आप इसे बदलना नहीं चाहते हैं।
• argumentExtractorsConfiguration.xml। प्रोटोकॉल की पसंद के लिए जिम्मेदार। डिफ़ॉल्ट रूप से, CAS और SAML।
• propertyFileConfigurer.xml। गुण प्राप्त करने के लिए पथ निर्दिष्ट करता है। WEB-INF / cas.properties से डिफ़ॉल्ट रूप से
• securityContext.xml।
• ticketExpirationPolicies.xml। टिकट निर्माण और सत्यापन से संबंधित सेटिंग्स।
• ticketGrantingTicketCookieGenerator.xml। TGT बनाने का तरीका बताता है। सबसे अधिक संभावना है कि इसे बदलना नहीं होगा।
  

deploymentconfigContext.xml

और इसलिए, कुंजी कैस कॉन्फ़िगरेशन फ़ाइल है ।erConfigContext.xml। यह एक काफी बड़ी फ़ाइल है, इसलिए मैं इसे ऊपर से नीचे तक टुकड़ों में पार्स करूंगा।
फ़ाइल की शुरुआत में क्रेडेंशियल रिज़ॉल्वर की एक सूची है। रिज़ॉल्वर सर्वर पर पहुंचने वाले प्राधिकरण अनुरोध से क्रेडेंशियल्स प्राप्त करने के लिए जिम्मेदार हैं।

<property name="credentialsToPrincipalResolvers"> ... </property> 

यदि आप प्राधिकरण फ़ॉर्म से प्रदान किए गए लॉगिन / पासवर्ड के अलावा किसी अन्य चीज का उपयोग नहीं करेंगे, तो यह अनुभाग सुरक्षित रूप से छोड़ा जा सकता है।

निम्नलिखित उन संचालकों का विवरण है जो इस बात के लिए जिम्मेदार हैं कि कैस कैसे प्राप्त क्रेडेंशियल्स का उपयोग करेगा। मैं उन्हें LDAP में एक उपयोगकर्ता की खोज करने के लिए उपयोग करता हूं

 <property name="authenticationHandlers"> <list> <bean class="org.jasig.cas.adaptors.ldap.BindLdapAuthenticationHandler" p:filter="userLogin =%u" p:searchBase="" p:timeout="${ldapReadConnectTimeout}" p:contextSource-ref="contextSource"/> </property> 

महत्वपूर्ण! उत्पाद वातावरण में, SimpleTestUsernamePasswordAuthenticationHandler को निकालना सुनिश्चित करें।

महत्वपूर्ण! पी पैरामीटर पर ध्यान दें : टाइमआउट = "$ {ldapReadConnectTimeout}" । यह LDAP के साथ रीड / कनेक्ट टाइमआउट है। इस पैरामीटर को सेट किए बिना, मानक मानों को अधिलेखित नहीं किया जाएगा, यहां तक ​​कि सेट मापदंडों com.sun.jndi.ldap.connect.timeout com.sun.jndi.ldap.read.timeout को भी नहीं देखा जाएगा, जिसकी चर्चा बाद में की जाएगी।

कॉन्फ़िगरेशन का अगला ब्लॉक उपयोगकर्ता डेटा स्रोत के कॉन्फ़िगरेशन के साथ जुड़ा हुआ है। जब उपयोगकर्ता ओपनलैप में संग्रहीत होते हैं तो मैं एक उदाहरण कॉन्फ़िगरेशन देता हूं।
LDAP में उपयोगकर्ताओं को खोजने के दो तरीके हैं:

• FastBindLdapAuthenticationHandler। यह सबसे तेज है, लेकिन केवल उन मामलों में उपयुक्त है जहां एक विशिष्ट नाम (डीएन) का निर्माण सीधे क्रेडेंशियल्स से किया जा सकता है, अर्थात्। uid =% u, ou = उपयोगकर्ता, डीसी = डोमेन। जहाँ% u लॉगिन प्रदान किया गया है।
  
• BindLdapAuthenticationHandler। यह थोड़ा धीमा है, लेकिन सही रिकॉर्ड चुनने में अधिक स्वतंत्रता देता है। यह 2 चरणों में काम करता है - शुरुआत से LDAP बाइंड होता है। बाइंड के लिए क्रेडेंशियल संदर्भ स्रोत से लिए गए हैं, जिनके बारे में मैं थोड़ी देर बाद बात करूंगा। स्टेज 2 - एक फिल्टर का उपयोग करके LDAP खोज।
  

महत्वपूर्ण! LDAP के साथ काम करते समय, आधार का उपयोग खोज और बाइंड संचालन के लिए अलग-अलग किया जाता है। बाइंड के लिए, आपको हमेशा प्रविष्टि का पूरा नाम निर्दिष्ट करना चाहिए, अर्थात्, उदाहरण के लिए, cn = user, dc = sso, dc = ru, जहाँ आधार dc = sso, dc = ru है। इसलिए, संदर्भ स्रोत सेटिंग में आधार हमेशा भरा होना चाहिए और उपयोगकर्ता डेटाबेस हमेशा उस उपयोगकर्ता का पूरा नाम होता है जिसके तहत CAS LDAP में अधिकृत है।

खोज के दौरान, खोज क्षेत्र को स्कैन क्षेत्र को सीमित करने के लिए खोज फ़िल्टर में जोड़ा जाता है। यह अच्छी तरह से खाली हो सकता है, इस मामले में निर्देशिका में खोज मानदंड केवल फ़िल्टर द्वारा निर्धारित किया जाता है।

संदर्भ सेटिंग सेट करने का एक उदाहरण।

 <bean id="contextSource" class="org.springframework.ldap.core.support.LdapContextSource"> <property name="pooled" value="false"/> <property name="urls"> <list> <value>ldap://your.host.nameORip</value> </list> </property> <property name="userDn" value="cn=user,dc=subdomain,dc=domain"/> <property name="password" value="verybigsecret"/> <property name="base" value="dc=subdomain,dc=domain"/> <property name="baseEnvironmentProperties"> <map> <entry> <key> <value>java.naming.security.authentication</value> </key> <value>simple</value> </entry> <entry key="com.sun.jndi.ldap.connect.timeout" value="5000"/> <entry key="com.sun.jndi.ldap.read.timeout" value="5000"/> </map> </property> </bean> 

पैरामीटर com.sun.jndi.ldap। (कनेक्ट करें, पढ़ें) .समय पर LDAP से डेटा कनेक्ट करने और पढ़ने पर टाइमआउट के लिए जिम्मेदार हैं।

UserDetailsService के साथ कोई समस्या नहीं होनी चाहिए, तो चलो अंतिम महत्वपूर्ण सेटिंग - सेवा रिपॉजिटरी पर चलते हैं। पंजीकृत सेवाओं को संग्रहीत करने के कई तरीके हैं। डिफ़ॉल्ट इनमेरी रिपॉजिटरी है। यह विकल्प उत्पाद परिवेश और उन मामलों के लिए उपयुक्त नहीं है जब आप कई CAS सर्वरों के बीच सेवाओं की एकल सूची साझा करना चाहते हैं। हम MySql का उपयोग करते हैं, जो CAS सर्वर के समान मशीन पर तैनात है। यदि यह विकल्प आपके लिए स्वीकार्य है, तो आप बस इस कॉन्फ़िगरेशन को कॉपी कर सकते हैं और अपने उपयोगकर्ता नाम / पासवर्ड को बदल सकते हैं।

 <bean id="serviceRegistryDao" class="org.jasig.cas.services.JpaServiceRegistryDaoImpl" p:entityManagerFactory-ref="entityManagerFactory"/> <bean id="entityManagerFactory" class="org.springframework.orm.jpa.LocalContainerEntityManagerFactoryBean"> <property name="dataSource" ref="dataSource"/> <property name="jpaVendorAdapter"> <bean class="org.springframework.orm.jpa.vendor.HibernateJpaVendorAdapter"> <property name="generateDdl" value="true"/> <property name="showSql" value="true"/> </bean> </property> <property name="jpaProperties"> <props> <prop key="hibernate.dialect">org.hibernate.dialect.MySQLDialect</prop> <prop key="hibernate.hbm2ddl.auto">update</prop> </props> </property> </bean> <bean id="transactionManager" class="org.springframework.orm.jpa.JpaTransactionManager"> <property name="entityManagerFactory" ref="entityManagerFactory"/> </bean> <tx:annotation-driven transaction-manager="transactionManager"/> <bean id="dataSource" class="org.apache.commons.dbcp.BasicDataSource" p:driverClassName="com.mysql.jdbc.Driver" p:url="jdbc:mysql://localhost:3306/cas?autoReconnect=true" p:username="root" p:password=""/> 

ticketExpirationPolicies.xml

यह एक और महत्वपूर्ण कॉन्फ़िगरेशन फ़ाइल है। यह एसटी और टीजीटी के लिए समाप्ति नीतियों का वर्णन करता है। आपको एसटी के लिए पैरामीटर मान बढ़ाने की आवश्यकता हो सकती है यदि आप इंटरैक्शन प्रोटोकॉल को बदलने का इरादा रखते हैं, तो गंभीर नेटवर्क विलंब हैं या एसएसओ में भाग लेने वाले सर्वर समय में खराब रूप से सिंक्रनाइज़ हैं।

cas.properties

यहां कई मानक गुण नहीं हैं।
cas.securityContext.serviceProperties.service। इसका मान उदाहरण के लिए हो सकता है https: // localhost: 8443 / cas / services / j_acegi_cas_security_check। यह उस सर्वलेट का URL है जो टिकट जाँच करता है। यहाँ यह इस तरह दिखता है: $ {सेवा} हम MAVEN प्रोफाइल के गुणों में इसे और कई अन्य सेटिंग्स रखना पसंद करते हैं और विधानसभा के दौरान उन्हें स्थानापन्न करते हैं। यह कैसे किया जाता है, मैं थोड़ी देर बाद बताऊंगा।
cas.securityContext.serviceProperties.adminRoles = ROLE_ADMIN। इस संपत्ति में स्प्रिंग सिक्योरिटी से उपयोगकर्ता की भूमिका के नाम हैं। इन भूमिकाओं वाले उपयोगकर्ताओं के पास CAS सेवा इंटरफेस है। यह सेटिंग सीधे userDetailsService से तैनातीकर्ता से संबंधित है। ConfigContext.xml।
cas.securityContext.casProcessingFilterEntryPoint.loginUrl। इस पथ के साथ एक सर्वलेट है जो उपयोगकर्ता क्रेडेंशियल्स को स्वीकार करता है।
cas.securityContext.ticketValidator.casServerUrlPrefix। कैस यूआरएल।
host.name। जैसा कि मैं इसे समझता हूं, यह पैरामीटर मुख्य रूप से टीजीटी और एसटी नामों में एक उपसर्ग के रूप में उपयोग किया जाता है। तो आप अपने स्वाद के लिए किसी भी नाम का चयन कर सकते हैं।
database.hibernate.dialect। यह गुण हाइबरनेट SQL बोली को परिभाषित करता है। तैनातीकर्ताकॉन्फ़िगॉनटेक्स्ट.एक्सएमएल में हमने स्टोरिंग सेवाओं के लिए MySQl का चयन किया है, इसलिए इसका मान org.hibernate.dialect.MySQLDialect में सेट किया जाना चाहिए।

CAS आपको कैस थीम का उपयोग करके अपने वेब इंटरफेस के लिए एक अलग डिज़ाइन निर्दिष्ट करने की अनुमति देता है। यह कैसे किया जाता है, मैं शायद दूसरे लेख में बताऊंगा। विषयों पर विवरण यहाँ पाया जा सकता है ।

सभा

अब जब आप सेटिंग समझ गए हैं, तो आप अपनी स्वयं की कलाकृतियों को इकट्ठा करने का प्रयास कर सकते हैं। हम मावेन युद्ध उपरिशायी का उपयोग करके एकत्र करेंगे
पहले, हम उन गुणों का वर्णन करते हैं जिनकी हमें बाद में आवश्यकता होगी

 <properties> <spring.version>3.0.4.RELEASE</spring.version> <spring.security.version>3.0.3.RELEASE</spring.security.version> <cas.version>3.4.8</cas.version> <compiler.version>2.0.2</compiler.version> <source.version>1.6</source.version> <project.build.sourceEncoding>UTF-8</project.build.sourceEncoding> </properties> 

महत्वपूर्ण! संसाधन एन्कोडिंग को निर्दिष्ट करना सुनिश्चित करें जो प्रोजेक्ट का निर्माण करते समय उपयोग किया जाएगा। अन्यथा, आपको रूसी पाठ के साथ समस्याएं हो सकती हैं।

तैनातीकर्ता में की गई सेटिंग के अनुसार प्रोजेक्ट में निर्भरताएँ जोड़ें। ConfigContext.xml

 <!—   CAS     OVERLAY --> <dependency> <groupId>org.jasig.cas</groupId> <artifactId>cas-server-webapp</artifactId> <version>${cas.version}</version> <type>war</type> <scope>runtime</scope></dependency> <!—       --> <dependency> <groupId>c3p0</groupId> <artifactId>c3p0</artifactId> <version>0.9.1.2</version> </dependency> <dependency> <groupId>org.hibernate</groupId> <artifactId>hibernate-entitymanager</artifactId> <version>3.6.0.Final</version> <exclusions> <exclusion> <artifactId>hibernate-core</artifactId> <groupId>org.hibernate</groupId> </exclusion> </exclusions> </dependency> <dependency> <groupId>mysql</groupId> <artifactId>mysql-connector-java</artifactId> <version>5.1.14</version> </dependency> </dependencies> <!--     LDAP--> <dependency> <groupId>org.jasig.cas</groupId> <artifactId>cas-server-support-ldap</artifactId> <version>${cas.version}</version> <exclusions> <exclusion> <groupId>org.hibernate</groupId> <artifactId>hibernate-core</artifactId> </exclusion> <exclusion> <artifactId>jaxb-impl</artifactId> <groupId>com.sun.xml.bind</groupId> </exclusion> <exclusion> <artifactId>spring-expression</artifactId> <groupId>org.springframework</groupId> </exclusion> <exclusion> <artifactId>spring-expression</artifactId> <groupId>org.springframework</groupId> </exclusion> <exclusion> <artifactId>spring-expression</artifactId> <groupId>org.springframework</groupId> </exclusion> </exclusions> </dependency> 

ओवरले के साथ भवन उपयुक्त है जब आपको प्रोफाइल और संसाधन फिल्टर की आवश्यकता नहीं होती है, लेकिन आप अपनी विधानसभा के लिए आधार के रूप में किसी अन्य परियोजना के संसाधनों का उपयोग करना चाहते हैं।
उदाहरण के लिए, यदि आपको किसी आर्टवर्क में तैनाती करने वाले कॉन्सिफिग कॉन्टेक्स्ट.एक्सएमएल और कैसप्रोपरेटी को बदलने की आवश्यकता है, तो आप इसे इस तरह से कर सकते हैं ...

 <plugin> <artifactId>maven-war-plugin</artifactId> <configuration> <warName>cas</warName> <overlays> <overlay> <groupId>org.jasig.cas</groupId> <artifactId>cas-server-webapp</artifactId> <excludes> <exclude>WEB-INF/deployerConfigContext.xml</exclude> <exclude>WEB-INF/cas.properties</exclude> </excludes> </overlay> </overlays> </plugin> 

यद्यपि यह विधि बहुत अच्छी है, फिर भी मैं प्रोफाइल का उपयोग करने की सलाह देता हूं। वे एप्लिकेशन को कॉन्फ़िगर करने में काफी अधिक स्वतंत्रता देते हैं। उनकी मदद से, उदाहरण के लिए, उत्पाद और परीक्षण वातावरण के लिए कलाकृतियों की विधानसभा को व्यवस्थित करना बहुत सरल है।
अब बिल्ड टैग इस तरह दिखेगा

 <plugin> <artifactId>maven-war-plugin</artifactId> <configuration> <warName>cas</warName> <webResources> <resource> <directory>src/main/config</directory> <!-- override the destination directory for this resource --> <targetPath>WEB-INF</targetPath> <!-- enable filtering --> <filtering>true</filtering> </resource> </webResources> </configuration> </plugin> 

अब प्रोफाइल जोड़ें

 <profiles> <profile> <id>test</id> <activation> <activeByDefault>true</activeByDefault> </activation> <properties> <service> https://localhost:8443/cas/services/j_acegi_cas_security_check </service> </properties> </profile> <profile> <id>prod</id> <properties> <service> https://auth.tcsbank.ru:8443/cas/services/j_acegi_cas_security_check </service> </properties> </profile> </profiles> 

प्रोफ़ाइल टैग में अलग-अलग वातावरण में भिन्न होने वाली सभी संपत्तियां डालना बुद्धिमानी है।


अब आप / src / main / config डायरेक्टरी बना सकते हैं और उन सभी संसाधनों को कॉपी कर सकते हैं जिनके लिए आप मावेन का उपयोग करके फ़िल्टर करना चाहते हैं। परिणामस्वरूप, आपके प्रोजेक्ट की संरचना दाईं ओर की छवि की तरह दिख सकती है।
यह केवल परियोजना को इकट्ठा करने के लिए बनी हुई है, उदाहरण के लिए, खाद्य पर्यावरण के लिए ...

 mvn -e clean compile package -P prod 

-E संशोधक निर्माण प्रक्रिया के बारे में अधिक विस्तृत जानकारी दिखाने का निर्देश देता है, जिसमें किसी भी त्रुटि का स्टैकट्रेस होता है।

महत्वपूर्ण! असेंबली से पहले, सुनिश्चित करें कि सभी संदेश उन सभी स्थानों के लिए मौजूद हैं जिनमें आप CAS का उपयोग करना चाहते हैं। ऐसा करने के लिए, सुनिश्चित करें कि आवश्यक स्थानों के लिए संदेश फ़ाइल में उसी संदेश शामिल हैं जैसे कि एन लोकेल के लिए फ़ाइल। यदि यह मामला नहीं है, तो आपको डायरेक्ट्री / वेबैप / वेब-इन / क्लासेस / में अपने प्रोजेक्ट में रिक्रूट बंडल को कॉपी करने और संदेशों की सूची को मैन्युअल रूप से जोड़ने की आवश्यकता है। अन्यथा, CAS किसी भी सेवा इंटरफ़ेस को प्रदर्शित करने में सक्षम नहीं होगा जिसमें आवश्यक संदेश गायब हैं।

उतार दो

ठीक है, कैस को इकट्ठा किया जाता है और लॉन्च किया जाता है, और अंतिम चरण हमें पूर्ण-एकल एकल प्राधिकरण सेवा से अलग करता है - विश्वसनीय सेवाओं को जोड़ना। इसे कैसे किया जा सकता है, इसके विस्तृत निर्देश यहां दिए गए हैं ।

महत्वपूर्ण! पहली सेवा, CAS जोड़ा जाना चाहिए। यदि ऐसा नहीं किया जाता है, तो किसी अन्य सेवा को जोड़ने के बाद, सेवा इंटरफेस अनुपलब्ध हो जाएगा और आपको सबसे अधिक संभावना है कि सेवा स्टोर को मैन्युअल रूप से साफ़ करना होगा या इसमें कैस जोड़ना होगा।

CAS में एक सेवा जोड़ने के लिए, आपको https: // $ {serverUrl} /services/add.html पर सेवाओं के प्रबंधन पृष्ठ पर जाना होगा। केवल एक अधिकृत उपयोगकर्ता ही इस पृष्ठ तक पहुंच सकता है। उपयोगकर्ता भूमिकाओं को cas.properties और तैनातीकर्ता में कॉन्फ़िगर किया गया है। ConfigContext.xml।
सेवा URL ANT शैली टेम्प्लेटिंग का समर्थन करते हैं। उदाहरण के लिए, स्थानीय मशीन पर स्थित सभी सेवाओं को विश्वसनीय सेवाओं में जोड़ने के लिए, आप इस पैटर्न का उपयोग कर सकते हैं - ht tp *: // localhost: * / **।

यह सब एक बार के लिए है। तीसरे भाग में मैं आपको बताऊंगा कि कुछ सामान्य समस्याओं से कैसे निपटा जाए, प्रदर्शन का अनुकूलन करें और बाहरी रूपों और यहां तक ​​कि असंगत रूप से लॉग इन करें।

अंत तक पढ़ने के लिए धन्यवाद)