JASIG CAS का उपयोग करके एकल प्राधिकरण (SSO)। भाग 1

यह लेख JASIG CAS सर्वर को स्थापित और कॉन्फ़िगर करने के लिए एक व्यावहारिक गाइड के रूप में था। मैंने खुद को यह बताने का लक्ष्य निर्धारित नहीं किया कि सिंगल साइन ऑन (एसएसओ) क्या है, इसलिए यदि आप इस अवधारणा से परिचित नहीं हैं, तो पहले विकिपीडिया और टेक्टार्टगेट पोर्टल देखें। वसंत और मावेन के साथ अनुभव होना भी उचित है।
लेख में 3 भाग शामिल होंगे। शुरुआत में मैं संक्षेप में बताऊंगा कि हमने कैस और इसके प्रोटोकॉल की विशेषताओं को क्यों चुना। लेख के बाकी हिस्से को प्राधिकरण सेवा स्थापित करने के लिए समर्पित किया जाएगा, सर्वलेट कंटेनर के कॉन्फ़िगरेशन के साथ शुरू होगा और कुछ गैर-तुच्छ मुद्दों के समाधान के साथ समाप्त होगा, जैसे कि बाहरी रूप से प्राधिकरण और क्रेडेंशियल्स के हैशिंग।

क्यों JASIG CAS

एक प्राधिकरण के विचार के कई कार्यान्वयन हैं, और मैं यह नहीं कह सकता कि JASIG CAS अपने समकक्षों की तुलना में हर चीज में बेहतर है, फिर भी, कई कारणों से, हम इस पर बस गए।

• जावा प्रौद्योगिकी ढेर। कैस पूरी तरह से JAVA में स्प्रिंग का उपयोग करते हुए लिखा गया है। विधानसभा के लिए, मेवेन का उपयोग किया जाता है।
• खुला स्रोत
• कई LDAP कार्यान्वयन के लिए समर्थन।
• सक्रिय समुदाय। सुखद JASIG पोर्टल और विकी , नेट पर कई लेख हैं।
• सभी लोकप्रिय प्लेटफार्मों के लिए ग्राहक। अधिक विवरण यहां पाया जा सकता है।
• विभिन्न प्रमाणीकरण विधियों के लिए समर्थन।
• लगातार रिलीज।
• सेटअप की सापेक्ष आसानी। मुझे उम्मीद है कि इस लेख के लिए धन्यवाद, यह वास्तव में सरल और समझ में आ जाएगा।

यदि आप समान मानदंडों द्वारा SSO के लिए एक मंच चुनते हैं, तो CAS वास्तव में वही है जो आप खोज रहे हैं।

यह कैसे काम करता है

हमने अपनी एसएसओ सेवा, कैस के आधार पर दूसरे संस्करण के प्रोटोकॉल के तहत काम किया। इस प्रोटोकॉल का विवरण JASIG पोर्टल पर पाया जा सकता है। नीचे सीएएस में सफल प्राधिकरण की प्रक्रिया का एक आरेख है। मुझे JASIG पोर्टल पर ऐसी कोई योजना नहीं मिली, हालांकि यह मुझे लगता है कि इस प्रक्रिया को समझने के लिए उपयोगी होना चाहिए।

किंवदंती

• क्लाइंट उपयोगकर्ता का ब्राउज़र है। कैस क्लाइंट के साथ भ्रमित न हों।
• एक एप्लिकेशन आपके अनुप्रयोगों में से एक है जिसमें बोर्ड पर CAS क्लाइंट है और प्राधिकरण के लिए CAS सर्वर का उपयोग करता है।
• कैस - सर्वर या क्लस्टर उस पर तैनात एसएसओ सेवा के साथ।
• एसटी - सेवा टिकट। यह एक स्ट्रिंग है जिसे सेवा तक पहुंचने के लिए क्लाइंट क्रेडेंशियल्स के रूप में उपयोग किया जाता है। ग्राहक इसे CAS सर्वर को प्रदान किए गए क्रेडेंशियल्स और सेवा पहचानकर्ता के जवाब में प्राप्त करता है।
• टीजीटी (टिकट अनुदान टिकट) और टीजीसी (टिकट अनुदान कुकी)। टीजीटी एक स्ट्रिंग है जो क्लाइंट की अधिकृत स्थिति के संकेतक के रूप में कार्य करता है। प्राधिकरण के बाद, यह क्लाइंट क्रेडेंशियल्स को बदल देता है। TGT मान सफल क्लाइंट प्रमाणीकरण के बाद CAS सर्वर द्वारा सेट TGC में संग्रहीत किया जाता है।
• एलटी (लॉगिन टिकट)। क्लाइंट क्रेडेंशियल्स के साथ एक स्ट्रिंग पास हुई। क्रेडेंशियल रिप्रोसेसिंग को रोकने के लिए उपयोग किया जाता है।
• एसएएमएल (द सिक्योरिटी एश्योरेंस मार्कअप लैंग्वेज) एक XML- आधारित भाषा है जिसे OASIS द्वारा विकसित किया गया है। विवरण सामुदायिक वेबसाइट पर पाया जा सकता है ।

कृपया ध्यान दें कि SSO सर्वर के सभी अनुरोध HTTPS के माध्यम से होने चाहिए। यह एक प्रोटोकॉल आवश्यकता नहीं है, हालांकि, इसके बिना उपयोगकर्ता क्रेडेंशियल्स की सुरक्षा सुनिश्चित करना संभव नहीं है।
प्रोटोकॉल की एक अन्य महत्वपूर्ण विशेषता यह है कि एसटी + टीजीटी, सीएएस मूल्यों की जांच करते समय, अधिकृत सेवा में स्थापित क्लाइंट मूल अनुरोध को रोक देता है और एक नया बनाता है। यानी इस समय, CAS सर्वर का क्लाइंट उपयोगकर्ता का ब्राउज़र नहीं है, बल्कि एक अधिकृत सेवा है। इसका मतलब है कि HTTPS कनेक्शन बनाने के लिए, सेवा को ठीक से कॉन्फ़िगर किया जाना चाहिए। यह कैसे करना है मैं थोड़ी देर बाद लिखूंगा। सत्यापन पूरा होने के बाद ही मूल अनुरोध का प्रसंस्करण फिर से शुरू होगा।

सर्वर, चाबियाँ, समस्याएं

सर्वलेट कंटेनर के रूप में, हमने टॉमकैट को चुना। उपयोगकर्ताओं के बारे में जानकारी ओपनएलडीएपी में संग्रहीत की जाती है, और अनुप्रयोगों के लिए कैस क्लाइंट के रूप में हम सबसे अधिक बार आधिकारिक जावा क्लाइंट का उपयोग करते हैं। लेखन के समय, नवीनतम संस्करण 3.1 था ।
SSO को कॉन्फ़िगर करना सर्वलेट कंटेनरों को कॉन्फ़िगर करने के साथ शुरू होता है। परीक्षण और युद्ध के माहौल में, हम इसे थोड़ा अलग तरीके से करते हैं।
परीक्षण वातावरण में, कीटूल उपयोगिता का उपयोग करते हुए, आपको एक स्व-हस्ताक्षरित प्रमाण पत्र बनाने की आवश्यकता होती है। Keytool एक मानक उपयोगिता है जो किसी भी JDK के साथ शामिल है।

keytool -genkey -alias cas -keypass 12345678 -keystore ssoServer.jks -storepass 12345678 -dname «cn=localhost, ou=webdev, o=ourOrganisation, c=RU» -validity=365 

नतीजतन, हम कीस्टोर ssoServer.jks और कुंजी, निजी और सार्वजनिक की एक जोड़ी बनाएंगे। अब आप सार्वजनिक कुंजी को कीस्टोर से निर्यात कर सकते हैं

 keytool -export -alias cas -file casServerPublic.cer -keystore ssoServer.jks -storepass 12345678 

और, इसे एक ही प्राधिकरण में भाग लेने वाली सभी सेवाओं के लिए विश्वास प्रमाणपत्र स्टोर में आयात करें। एक पीसी पर, कमांड इस तरह दिखता है:

 keytool -import -alias cas -file %PATH_TO%casServerPublic.cer -keypass 12345678 -keystore JAVA_HOME/jre/lib/security/cacerts cacerts -storepass changeit 

इस तरह एक मैक पर:

 # /Library/Java/Home/bin/keytool -import -alias cas -file %PATH_TO_CERTIFICATE%/casServerPublic.cer -keypass 12345678 -keystore /Library/Java/Home/lib/security/cacerts -storepass changeit 

मुख्य आयात आवश्यक है ताकि एक अधिकृत सेवा कैस के साथ एक HTTPS कनेक्शन स्थापित कर सके। चाबियाँ आयात करने से पहले, सुनिश्चित करें कि

• आप सही संस्करण के जावा का उपयोग कर रहे हैं। यदि आपके पास कई संस्करण स्थापित हैं, तो समस्याएं उत्पन्न हो सकती हैं।
• Keytool और कैसरट पथ का उपयोग उस जावा से करें जिसे आप अधिकृत सेवा शुरू करने के लिए उपयोग करेंगे।
• आपके पास भंडार में चाबियाँ आयात करने के अधिकार हैं।

परिणामस्वरूप, आपको एक संदेश देखना चाहिए:

 Certificate was added to keystore. 

यदि संदेश सही नहीं दिखता है या कुछ पाठ इसका अनुसरण करता है, तो इसका मतलब है कि आपने कुछ गलत किया है और सबसे अधिक संभावना है कि आयात नहीं किया गया था।
एक लड़ाकू वातावरण में, आप सबसे अधिक संभावना वाले प्रसिद्ध सीए जैसे थावटे या वेरिसाइन द्वारा प्रदान की गई चाबियों का उपयोग करेंगे। इस स्थिति में, चाबियाँ pkcs # 7 या x.509 प्रारूप में होंगी और आपको पहले # 12 प्रारूप pkcs में बदलने की आवश्यकता होगी।
उदाहरण के लिए, X.509 (Base64) प्रारूप में प्रमाण पत्र के लिए, आपको निम्न चरणों का पालन करने की आवश्यकता है:

• हम सभी मध्यवर्ती प्रमाणपत्रों को एक फ़ाइल में गोंद देते हैं। आपका प्रमाण पत्र पहले होना चाहिए, और फिर क्रम में पूरी मध्यवर्ती श्रृंखला।
• हम इसे ओपनएसएसएल का उपयोग करके वांछित प्रारूप में परिवर्तित करते हैं।
  

   openssl pkcs12 -export —in your.crt —inkey your.key —out your.p12 -name «cas» 

  
  
• जांचें कि कुंजी जोड़ी सही तरीके से बनाई गई है
  

   keytool —keystore your.p12 -storetype pkcs12 —list 

  
  
• और अंतिम चरण - एक कुंजी जोड़ी के आधार पर एक कीस्टोर बनाएं
  

   keytool -importkeystore -deststorepass 12345678 -destkeypass 12345678 -destkeystore ssoServer.jks -srckeystore your.p12 -srcstoretype PKCS12 -srcstorepass 12345678 -alias cas 

  
  

सार्वजनिक प्रमाणपत्र स्टोर परिवर्तन के लिए चूक करता है। एक लड़ाकू वातावरण में, आपको इसे बदलने की आवश्यकता है।
यह टॉमकैट पर कनेक्टर को कॉन्फ़िगर करने के लिए रहता है, जिस पर कैस स्थित होगा। ऐसा करने के लिए, कनेक्टर विवरण को% TOMCAT-HOME% / conf / server.xml फ़ाइल में जोड़ें, उदाहरण के लिए, जैसे:

 <Connector port="8443" protocol="org.apache.coyote.http11.Http11NioProtocol" SSLEnabled="true" maxThreads="150" scheme="https" secure="true" clientAuth="false" sslProtocol="TLS" keyAlias="cas" keystoreFile="%PATH_TO%.ssoServer.jks" keystorePass="12345678" /> 

आप प्रलेखन पृष्ठ पर कनेक्टर्स को कॉन्फ़िगर करने के बारे में अधिक पढ़ सकते हैं।
HTTP कॉम्बैट माहौल में, server.xml से कनेक्टर को आगे चलकर सबसे अच्छा हटाया जाता है)।

यह समय सबका है। अगले भाग में मैं आपको बताऊंगा कि कैसे और कैसे CAS सर्वर का निर्माण करें।