CAS est couramment utilisé dans les établissements de l'enseignement supérieur et donc chez les partenaires ESUP.

De fait EsupPortail, via le socle uPortal, propose l'intégration de l'authentification CAS (avec identification LDAP).

On note cependant que l'ENT EsupPortail  supporte également CAS est un moyen parmi d'autres modes d'effectuer l'authentification sur le portailauthentification (shibboleth ou directement via LDAP).

Il y a plusieurs possibilités d'utilisation de CAS au niveau du package ESUP :

• CAS interne (en bundle avec ESUP). Attention : ce CAS n'est pas préconisé pour un environnement hors développement.
• CAS externe (à installer soi-même)

De plus, il est possible :

...

• : l'idée étant d'utiliser naturellement le service de CAS pré-existant dans l'établissement.

En environnement de production, il est fortement recommandé de déployer l'application de façon sécurisée en utilisant des certificats et le protocole HTTPS uniquement (tout comme pour l'ENT).

...

Le fichier de propriétés

################################################################################
## Configuration Serveur UPortal                                              ##
################################################################################
environment.build.uportal.server=esup4ent.univ.fr
environment.build.real.uportal.server=esup4ent1.univ.fr
environment.build.uportal.protocol=https
environment.build.uportal.context=/uPortal
environment.build.real.uportal.context=/uPortal
environment.build.uportal.email.fromAddress=portal4@univ.fr


################################################################################
## Configuration Serveur CAS                                                  ##
################################################################################
environment.build.cas.server=auth.univ.fr
environment.build.cas.protocol=https
environment.build.cas.context=/cas

Voici à quoi correspondent les différentes propriétés :

• Toutes les propriétés "cas" servent à configurer la manière de contacter le serveur CAS
• Toutes les propriétés "uportal" servent à configurer le service pour lequel on appelle le CAS. Concrètement, il s'agit de l'URL de redirection une fois l'authentification effectuée

Configurer le CAS embarqué

Configurer le CAS au niveau de l'ENT

Fichier esup.propertiesUtiliser le CAS embarqué revient à utiliser celui la machine locale qui ne demande pas de connexion sécurisée. Il faut donc configurer les propriétés du serveur CAS comme suit :

environment.build.cas.server=localhostent.univ.fr
environment.build.cas.protocol=httphttps
environment.build.cas.context=/cas

...

Le serveur CAS (SEUL version bundle !) pourra être testé à l'URL suivante : httphttps://localhost:8080ent.univ.fr/cas /login. Il ne redirigera nulle part puisqu'aucun service ne lui a été demandé.

Configurer un CAS externe

Il est possible d'utiliser un serveur CAS externe. Cela peut permettre d'héberger le serveur CAS sur une autre machine que celle du portail.
Pour cela, il faut télécharger un serveur CAS (V3.5.1 ou plus conseillée) et réaliser l'installation (Source = INSTALL.txt du zip) :

...

Modifier la configuration du fichier esup.properties :

environment.build.cas.server=localhost
environment.build.cas.protocol=http
environment.build.cas.context=/cas-server-webapp-<VERSION> (où <VERSION> est à remplacer)

L'utilisateur test est admin/admin.

Désactiver le cas embarqué.

...

1. 1. Commenter la ligne "<module>cas</module>" dans le fichier uportal-portlets-overlay/pom.xml.

      Bloc de code
      language html/xml
      <modules> ... <module>BookmarksPortlet</module> <!-- module>cas</module --> <module>cas-proxy-test-portlet</module> ... </modules>

   2. Commenter la dépendance CAS dans le fichier uportal-ear/pom.xml.

      Bloc de code
      language html/xml
      <!-- <dependency> <groupId>org.jasig.portal.portlets-overlay</groupId> <artifactId>cas</artifactId> <version>${project.version}</version> <type>war</type> </dependency> -->

Utiliser un certificat

Installer CAS (rappel)

Pour installer un CAS de production (si vous n'en avez pas déjà un dans votre établissement) on vous réfère à la documentation ESUP qui lui est spécifique :
http://www.esup-portail.org/display/CAS 

Proxy CAS

Le fonctionnement d'un proxy CAS est également expliqué sur le wiki de l'esup-portail.

Le portail embarque par défaut la portlet cas-proxy-test-portlet (nommée PORTLET TEST CAS) qui indique si le portail est correctement configuré pour fonctionner en mode proxy CAS, hors si vous appliquez une configuration autre ou en load balancing par exemple que pour un fonctionnement en local la portlet ne sera pas automatiquement correctement configurée et retournera toujours une erreur de fonctionnement proxy cas, il sera donc nécessaire d'appliquer cette configuration une fois la portlet du pakaging du portail déployée :

cas.server.base.url=https://auth.univ.fr/cas
portal.server.base=https://ent.univ.fr
portal.real.base=https://ent1.univ.fr
portlet.context=cas-proxy-test-portlet

Remarque/rappel : on pourra utiliser également ici un system property java pour portal.real.base notamment, cf  Apache frontal (esup 4)#Bonnepratique

 Il faut dans un premier temps configurer le serveur pour qu'il accepte les connexions HTTPS. Dans le fichier server.xml, il faut décommenter le bon connecteur et éventuellement ajouter quelques attributs :

   <!-- Define
 a SSL HTTP/1.1 Connector on port 8443
 Validates service and proxy Thistickets connectorfor usesboth the JSSEservlet configuration,targets whenand
 using APR, the 
    proxy connectorportlet
 should be using the-->
 OpenSSL style configuration
 <bean id="ticketValidator" 
  described in the APR documentation -->
<Connector portclass="8443" protocol="HTTP/1.1" SSLEnabled="true" maxThreads="150" 
           scheme="https" secure="true" clientAuth="false" sslProtocol="TLS" org.jasig.cas.client.validation.Cas20ProxyTicketValidator"
        p:proxyCallbackUrl="${portal.real.base}/${portlet.context}/proxy/receptor"
        p:proxyGrantingTicketStorage-ref="proxyGrantingTicketStorage"
        p:acceptAnyProxy="true">
        <constructor-arg index="0" value="${cas.server.base.url}" />
    </bean>

Connecter CAS Bundle et LDAP

Afin de connecter CAS bundle et LDAP, il faut procéder aux modifications suivantes (exemple de configuration - le FastBind ne fonctionne pas avec tous les LDAP) :

1. Ajout dans le fichier pom.xml du cas bundle :
   
   

   Bloc de code
   title uportal-portlets-overlay/cas/pom.xml firstline 160 linenumbers true
   <dependency> <groupId>org.jasig.cas</groupId> <artifactId>cas-server-support-ldap</artifactId> <version>${cas-server.version}</version> <scope>compile</scope> <exclusions> <exclusion> <groupId>org.inspektr</groupId> <artifactId>inspektr-core</artifactId> </exclusion> </exclusions> </dependency>

2. Ajouts dans le fichier deployerConfigContext.xml du cas bundle :
   
   

   Bloc de code
   title uportal-portlets-overlay/cas/src/main/webapp/WEB-INF/deployerConfigContext.xml firstline 120
   <property name="authenticationHandlers"> <list> ... <bean class="org.jasig.cas.adaptors.ldap.FastBindLdapAuthenticationHandler" > <property name="filter" value="${environment.build.ldap.uidAttr}=%u,${environment.build.ldap.baseDn}" /> <property

...

1. name="

...

1. contextSource"

...

1. ref="

...

1. contextSource" />

...

1. </bean> </list> </property>

   Bloc de code
   title uportal-portlets-overlay/cas/src/main/webapp/WEB-INF/deployerConfigContext.xml firstline 222

Il faut dans un second temps modifier le paramétrage du CAS de la manière suivante :

...

1. linenumbers true

...

1. </beans>

...

...

...

...

1. ... <bean id="contextSource" class="org.springframework.ldap.core.support.LdapContextSource"> <property name="urls"> <list> <value>${environment.build.ldap.url}</value>

...

1. </list> </property> <property name="userDn" value="${environment.build.

...

1. ldap.userName}"/> <property name="password" value="${environment.build.

...

1. ldap.password}"/> <property name="pooled" value="${environment.build.

...

1. ldap.pooled}"/>  </bean> ... </beans>

...