准备工作

Ovirt测试机、CAS服务器、AD服务器

cas.crt —— CAS服务器的CA证书

allwinner.cer —— CAS服务器的证书颁发机构根证书

Ovirt测试机要求:apache 2.2、mod_auth_cas、ovirt 3.6、openssl

CAS服务器地址:https://sso.allwinnertech.com:3443/

Ovirt测试机地址:https://kvmtest.allwinnertech.com/

安装ovirt的authenticate extension,并配置properties文件

yum install -y ovirt-engine-extension-aaa-misc ovirt-engine-extension-aaa-ldap ovirt-engine-extension-aaa-ldap-setup

# 将配置模板拷贝到 ovirt-engine 的安装目录(/etc/ovirt-engine)

cp -rf /usr/share/ovirt-engine-extension-aaa-ldap/examples/ad-sso/* /etc/ovirt-engine

# 修改配置文件的权限和所有者

chown ovirt:ovirt /etc/ovirt-engine/extensions.d/*

chown ovirt:ovirt /etc/ovirt-engine/aaa/*

chmod 600 /etc/ovirt-engine/extensions.d/*

chmod 600 /etc/ovirt-engine/aaa/*

# 修改配置文件的名字(自定义)以及内容

mv /etc/ovirt-engine/extensions.d/profile1-http-mapping.properties /etc/ovirt-engine/extensions.d/apachesso-http-mapping.properties

mv /etc/ovirt-engine/extensions.d/profile1-http-authn.properties /etc/ovirt-engine/extensions.d/apachesso-http-authn.properties

mv /etc/ovirt-engine/extensions.d/profile1-authz.properties /etc/ovirt-engine/extensions.d/allwinnertech-authz.properties

mv /etc/ovirt-engine/aaa/profile1.properties /etc/ovirt-engine/aaa/allwinnertech.properties

注意:这里的授权文件的名字最好定义为域名,比如:allwinnertech。

# 新增一个认证文件,用于账号、密码登录

touch /etc/ovirt-engine/extensions.d/login-authn.properties

# /etc/ovirt-engine/extensions.d/login-authn.properties

ovirt.engine.extension.name = login-authn

ovirt.engine.extension.bindings.method = jbossmodule

ovirt.engine.extension.binding.jbossmodule.module = org.ovirt.engine-extensions.aaa.ldap

ovirt.engine.extension.binding.jbossmodule.class = org.ovirt.engineextensions.aaa.ldap.AuthnExtension

ovirt.engine.extension.provides = org.ovirt.engine.api.extensions.aaa.Authn

ovirt.engine.aaa.authn.profile.name = login

ovirt.engine.aaa.authn.authz.plugin = allwinnertech-authz

config.profile.file. = ../aaa/allwinnertech.properties

# 上面配置内容如下:

# /etc/ovirt-engine/extensions.d/apachesso-http-mapping.properties

ovirt.engine.extension.name = apachesso-http-mapping

ovirt.engine.extension.bindings.method = jbossmodule

ovirt.engine.extension.binding.jbossmodule.module = org.ovirt.engine-extensions.aaa.misc

ovirt.engine.extension.binding.jbossmodule.class = org.ovirt.engineextensions.aaa.misc.mapping.MappingExtension

ovirt.engine.extension.provides = org.ovirt.engine.api.extensions.aaa.Mapping

config.mapAuthRecord.type = regex

config.mapAuthRecord.regex.mustMatch = false

config.mapAuthRecord.regex.pattern = ^(?<user>.*?)((\\\\(?<at>@)(?<suffix>.*?)@.*)|(?<realm>@.*))$

config.mapAuthRecord.regex.replacement = ${user}${at}${suffix}${realm}

# /etc/ovirt-engine/extensions.d/apachesso-http-authn.properties

ovirt.engine.extension.name = apachesso-http-authn

ovirt.engine.extension.bindings.method = jbossmodule

ovirt.engine.extension.binding.jbossmodule.module = org.ovirt.engine-extensions.aaa.misc

ovirt.engine.extension.binding.jbossmodule.class = org.ovirt.engineextensions.aaa.misc.http.AuthnExtension

ovirt.engine.extension.provides = org.ovirt.engine.api.extensions.aaa.Authn

ovirt.engine.aaa.authn.profile.name = apachesso-http

ovirt.engine.aaa.authn.authz.plugin = allwinnertech-authz

ovirt.engine.aaa.authn.mapping.plugin = apachesso-http-mapping

config.artifact.name = HEADER

config.artifact.arg = X-Remote-User

# /etc/ovirt-engine/extensions.d/allwinnertech-authz.properties

ovirt.engine.extension.name = allwinnertech-authz

ovirt.engine.extension.bindings.method = jbossmodule

ovirt.engine.extension.binding.jbossmodule.module = org.ovirt.engine-extensions.aaa.ldap

ovirt.engine.extension.binding.jbossmodule.class = org.ovirt.engineextensions.aaa.ldap.AuthzExtension

ovirt.engine.extension.provides = org.ovirt.engine.api.extensions.aaa.Authz

config.profile.file. = ../aaa/allwinnertech.properties

# /etc/ovirt-engine/aaa/allwinnertech.properties

include = <ad.properties>

vars.forest = allwinnertech.com

vars.user = cas@${global:vars.forest}

vars.password = ****

pool.default.serverset.type = srvrecord

pool.default.serverset.srvrecord.domain = ${global:vars.forest}

pool.default.auth.simple.bindDN = ${global:vars.user}

pool.default.auth.simple.password = ${global:vars.password}

Apache配置

配置Ovirt单点登录端口(443)

# 在ssl.conf中增加如下内容

LoadModule auth_cas_module modules/mod_auth_cas.so

CASLoginURL https://sso.allwinnertech.com:3443/login

CASValidateURL https://sso.allwinnertech.com:3443/serviceValidate

CASCookiePath /tmp/cas-cookies/

CASTimeout

CASDebug On

......

<VirtualHost *:>

......

Servername kvmtest.allwinnertech.com

<LocationMatch ^(/ovirt-engine/(webadmin|userportal|api))>

AuthType CAS

AuthName "CAS Login"

Require valid-user

CASAuthNHeader Remote-User

RewriteEngine on

RewriteCond %{LA-U:REMOTE_USER} ^(.*)$

RewriteRule ^(.*)$ - [L,NS,P,E=REMOTE_USER:%]

RequestHeader set X-Remote-User %{REMOTE_USER}s

</LocationMatch>

</VirtualHost>

注意:这里需指定一个有效的CAS服务器,同时需要处理以下两件事:

# 创建cas存放cookie的目录(/tmp/cas-cookies)

mkdir /tmp/cas-cookies

chmod  /tmp/cas-cookies

chown apache:apache /tmp/cas-cookies

# 创建目录策略,避免写入操作被Selinux阻止

chcon -R -h -t httpd_sys_content_t /tmp/cas-cookies

# 因为CAS使用的是SSL传输,而CAS证书颁发机构不被信任,所以需要配置为可信(如果不配置,mod_auth_cas里面执行curl命令会失败)

yum install -y ca-certificates

update-ca-trust force-enable

cp allwinner.cer /etc/pki/ca-trust/source/anchors/

update-ca-trust extract

将准备好的allwinner.cer放入上面的目录中,然后将cas.crt放入 /etc/ssl/certs 目录中。

Ovirt账号、密码登录端口(3443)

# 在/etc/httpd/conf.d/下面增加文件 ovirt-sso.conf

LoadModule ssl_module modules/mod_ssl.so

Listen 3443

<VirtualHost *:>

ErrorLog logs/ovirt_error_log

TransferLog logs/ovirt_access_log

LogLevel debug

SSLEngine on

SSLCertificateFile /etc/httpd/ssl/kvm.crt

SSLCertificateKeyFile /etc/httpd/ssl/kvm.key

SetEnvIf User-Agent ".*MSIE.*" \

nokeepalive ssl-unclean-shutdown \

downgrade-1.0 force-response-1.0

CustomLog logs/ssl1_request_log \

"%t %h %{SSL_PROTOCOL}x %{SSL_CIPHER}x \"%r\" %b"

Servername kvmtest.allwinnertech.com

</VirtualHost>

注意:这个配置主要是用于不适合通过单点登录进入的设备,需要准备 kvm.crt 和 kvm.key 两个文件。这里没有配置Location的原因是因为在ovirt在/etc/httpd/conf.d下有一个被强制执行的配置文件(z-ovirt-engine-proxy.conf),因为Ovirt不支持http登录(https://bugzilla.redhat.com/show_bug.cgi?id=1077447),所以才选择配置为SSL的方式。

重启ovirt和apache服务

service ovirt-engine restart
service httpd restart

测试配置

访问测试

https://kvmtest.allwinnertech.com/ovirt-engine/userportal # 跳转到CAS的登录页面

https://kvmtest.allwinnertech.com:3443/ovirt-engine/userportal # 返回的是ovirt的登录页面

访问上面两个链接,看是否按照后面注释执行。

登录测试

当提示没有授权时,这时应该以管理员账号进入,为该用户授权登录权限。

ldap调试日志开启

如果要记录ldap的登录日志,可以编辑 /usr/share/ovirt-engine/services/ovirt-engine/ovirt-engine.xml.in 文件,然后在root-logger上面增加

<logger category="org.ovirt.engineextensions.aaa.ldap">

  <level name="DEBUG"/>

</logger>
然后保存,重启ovirt-engine。

日志访问位置为:/var/log/ovirt-engine/engine.log

参考:https://bugzilla.redhat.com/show_bug.cgi?id=1019243

ovirt配置为cas登录的更多相关文章

  1. 记录一下gitlab通过CAS登录慢的问题

    测试反应说gitlab通过CAS登录比较慢,第一次登录的时候需要大概30秒才能登录进去 gitlab的日志中有处理每一个请求所用的时间,看了一下日志,每个有记录的请求都是在50毫秒内返回的,所以应该不 ...

  2. CentOS配置ssh无密码登录

      CentOS配置ssh无密码登录的注意点   前提配置:使用root登录修改配置文件:/etc/ssh/sshd_config,将其中三行的注释去掉,如下: 然后重启ssh服务:service s ...

  3. CAS登录后回传除了ticket参数以外的其他自定义参数

    在一次项目的技术选型中,选择了easyui+cas+shiro+spring的组合,cas实现了单点登录,这使得在一个应用中嵌入另一个应用的页面来展示数据所涉及到的授权方面变得简单. 由于shiro在 ...

  4. 自定义Token的CAS登录

    工作中实际遇到的需求,我们有一个旧系统,用了CAS的单点登录,现在有一个外部系统,准备从它那里单点进来,这个外部系统提供了一个token参数来标记这是哪一个用户,我们用他们提供的方式解析出对应的用户, ...

  5. 使用crypt配置Basic Auth登录认证

    简介 Basic Auth用于服务端简单的登录认证,通常使用服务器Nginx.Apache本身即可完成.比如我们要限定某个域名或者页面必须输入用户名.密码才能登录,但又不想使用后端开发语言,此时Bas ...

  6. centos 安装git服务器,配置使用证书登录并你用hook实现代码自动部署

    安装git服务器先安装依赖软件:yum -y install gcc zlib-devel openssl-devel perl cpio expat-devel gettext-devel open ...

  7. 华为S5700系列交换机配置通过Telnet登录设备

    声明:不管什么服务,都需要交换机开启服务,创建对应权限的用户,在通道下允许协议通过,缺一不可,以telnet为例. 组网图形 图1 配置通过Telnet登录设备组网图 组网需求 如图一所示,PC与设备 ...

  8. 华为交换机S5700系列配置通过STelnet登录设备示例

    配置通过STelnet登录设备示例 组网图形 图1 配置用户通过STelnet登录设备组网图 在服务器端生成本地密钥对 <HUAWEI> system-view [HUAWEI] sysn ...

  9. jmeter完成CAS登录,并获取token(原创)

    思路: 1.系统完成CAS登录需要验证用户名/密码,以及动态授权参数 2.先通过指定url用正则提取出动态授权参数 3.完成登录需要cookie,需用正则提取出对应的cookie,已完成参数化的自动登 ...

随机推荐

  1. [LeetCode] Ransom Note 赎金条

    
Given
 an 
arbitrary
 ransom
 note
 string 
and 
another 
string 
containing 
letters from
 all 
th ...

  2. [LeetCode] Gray Code 格雷码

    The gray code is a binary numeral system where two successive values differ in only one bit. Given a ...

  3. [LeetCode] Remove Duplicates from Sorted Array II 有序数组中去除重复项之二

    Follow up for "Remove Duplicates":What if duplicates are allowed at most twice? For exampl ...

  4. [转]如何设置eclipse中js默认打开为java Editor

    打开window-preference -> General-Editors-File Associator 看到右边的.js下边就是设置默认打开方式了 转自百度知道:http://zhidao ...

  5. git常用命令

    开始的时候 git config --global user.name "Your Name" git config --global user.email "email ...

  6. js压缩xml字符串,将xml字符串转换为xml对象,将xml对象转换为json对象

    /** * 压缩xml字符串 */ function compressXmlStr(str){ var prefix, suffix; var i = str.indexOf("\r&quo ...

  7. mvn-打jar运行包(含环境变量配置)

    前沿条件 maven下载:http://maven.apache.org/download.cgi 配置环境变量 MAVEN_HOME= D:\Softwares\apache-maven-3.2.2 ...

  8. CSS中清除浮动的两种方式

    在CSS中,父元素中的子元素如果使用了float,会导致父元素塌陷,高度为0. 对于这种情况,常见的解决方式有两种. 一.增加新的div,应用clear:both属性 html: <div cl ...

  9. FlowLayoutPanel

    动态生成控件  按顺序规律排列时 用panel的话 要指定特定的位置 .麻烦. 可以通过用flowLayoutPanel来解决. FlowLayoutPanel:表格布局面板,适合以表格形式规则的动态 ...

  10. Linux磁盘分区及配额

    在现有磁盘的基础上进行分区格式化并为特定用户实施磁盘配额,使其对磁盘这一分区的写入有一定的限制 前期准备: 在我的虚拟机rhel7上有/dev/sda这一分区和fsy这一用户,我将对/dev/sda进 ...