Contexte
Eté 2019, l'Université de Rouen Normandie a procédé à une montée de version de son service d'authentification CAS en 6.0.4, nous partageons sur cet espace notre expérience.
Le Kit installation CAS V5.2 AMU (un grand merci Grégory et Dominique pour ce partage) a permis d'avoir un CAS v5.2.7 qui fonctionne rapidement et comprenant les éléments principaux.
On a ensuite affiné certaines configurations.
ClearPass
Ajout du clearPass qui fonctionne avec le esup-filemanager 3.2.0
- pour gérer le domaine windows, petite modification qui a depuis été intégrée :
https://github.com/uPortal-contrib/esup-filemanager/pull/58
RememberMe
ajout du rememberme en ne laissant la case affichée que pour les mobiles.A
Dans notre surcharge du footer.html on ajoute le bloc thymeleaf/javascript suivant :
<script type="text/javascript" th:unless="${#request.getAttribute('isMobile')}">
if(document.getElementById("rememberMe")) {
document.getElementById("rememberMe").parentNode.style.display = "none";
}
</script>
Throttle
Modification du throttle en mettant :
cas.authn.throttle.failure.range-seconds=30 cas.authn.throttle.failure.threshold=12
Aussi sur un espace de 10 secondes (10=30/3), l'utilisateur est 'banni' à la 4ème tentative (12/3=4).
Spnego / Kerberos
Nous avons activé spnego + kerberos avec notre AD Microsoft
A noter que si l'authentification Spnego échoue (PC qui n'est pas dans le domaine ou navigateur non configuré), CAS renvoie le formulaire avec une réponse HTTP 401.
Firefox affiche alors la page de formulaire proposée, mais IE et Chrome réagissent différemment : suite au 401 ils affichent d'abord une popup d'authentifcation BASIC, en cliquant sur cancel (annuler) l'utilisateur arrive bien sur le formulaire d'authentifcation CAS mais ce comportement n'est malgré tout pas souhaitable.
Nous avons donc activé spnego uniquement pour les navigateurs Firefox :
cas.authn.spnego.supportedBrowsers=Firefox
Agimus
Endpoints
Tickets Registry
PostgreSql
Redis
Misc
Iframe
Chunked transfer encoding
...