问题标签 [jasig]

是否可以直接从 Windows 会话将 CAS 与来自多个应用程序的身份验证和 SSO 集成（比如说 php 中的 2 个和 java 中的 1 个），因此用户不必从其他登录表单进行身份验证？

目前我正在尝试在 Orchard CMS 中实现 Jasig CAS HttpModule。

CMS 是使用多租户设置的，这意味着对 web.config 文件的任何更改都应该是最小的，而不是特定于客户端的。

问题是为 CAS 提供的默认模块是一个 HTTPModule，它将覆盖 Orchard CMS 中所有客户端的任何类型的身份验证。

您是否发现使用 MVC 操作过滤器重新实现 CAS HTTP 模块有任何问题？

有没有人尝试过这个？

我在安装 CAS 时遇到了一个奇怪的问题。最近，我们在 RememberMe 上激活了具有 3 个月有效期的门票的 RememberMe 功能。

当我的客户端应用程序的会话到期时，我在

即使 CASTGC cookie 在那里并且有效的 CAS 再次向我显示登录页面。如果我在没有服务参数的情况下调用上面的 URL，我将被重定向到“登录成功”页面，因此 CAS 知道我已登录。

我希望 CAS 检查 cookie 登录并将我发送回我的客户端应用程序，除非我发送更新参数。

我是否在我的 CAS 安装中搞砸了一些东西，或者这是预期的行为

我按照本教程在本地 CAS 服务器上启用 REST 服务。

但是没有Java示例

“Java REST 客户端示例

我们需要一个真实的、有效的例子，前一个是没用的。许多人给我发电子邮件说它不起作用，我确认它不起作用。”

我能够找到这个，但不幸的是这对我不起作用。

任何指针/链接？非常感激。

我们需要设置一个 CAS 服务器来对我们的应用程序进行 SSO（全部在 JAVA 中）。这是我的情况：

1. CAS1：现有的 CAS 服务器，基于 ORACLE LDAP（我们无法控制 CAS1 和 LDAP）。我们计划忽略这一点。与此 CAS 集成的多个应用程序。

2. CAS2：我们计划建立一个基于 MS Active Directory 的新 CAS 服务器，因为我们有很多新用户。我们计划在 AD 中维护它们。仍然是我们计划使用 CAS2 设置 SSO 的相同应用程序。

我们需要的是现有 LDAP 和我们的新 AD 中的用户都可以通过 SSO 登录应用程序。

1. 有没有一种简单的方法，比如设置我的新 CAS 以同时使用 LDAP 和 AD。所以双方的用户都可以登录我们的应用程序。如果可能的话，这是我认为更好的方法。有详细的例子吗？

2. 我可以在两个 CAS 之间建立联盟吗？Jasig CAS可以吗？

请帮忙！非常感谢！

我有一个带有 cas 服务器和任何 java 客户端的环境。我遇到了所有客户端单次注销的问题，因为客户端重定向到路径 /cas/logout 并且只有此会话被注销。cookie CASTG 中的票证已被清除，但用户还可以访问其他应用程序，但是，当客户端尝试访问用户重定向到 /cas/logout 的应用程序时，cas 服务器会询问用户凭据。

据我看到，当您向 /cas/logout 发出请求时，这就像一个链，CAS 服务器会逐一注销。

显然是配置问题，但是，我无法找到它。

重要提示：当用户发出 cas/logout 请求时，会删除两个 cookie，CASTGC 和 CASPRIVACY

我在 .net 4.0 上使用网络表单，我真的很难让它发挥作用。我使用了来自 jasig 站点的文档——并为客户端安装了 nuget 包。

https://wiki.jasig.org/display/CASC/.Net+Cas+Client

我成功登录并从 CAS 服务器取回了一个令牌，但似乎无法对其进行身份验证。据我所知，可以调用三种不同的服务方法来验证令牌：

/证实

/服务验证

/samlValidate

validate 方法只返回一个“no”的 Web 响应，而当我调用 serverValidate 方法时，它在 XML 响应中返回一个 INVALID_TICKET 代码。我也尝试过 samlValidate 但收到 403 错误（我知道这是一个潜在的有效响应）。

我的验证代码是这样的：

我的 CAS 配置是：

我想它一定是某种设置，但对于我的生活，我无法弄清楚设置可能是什么。

谁能告诉我为什么我无法验证令牌？

编辑： 考虑到这一点，我更加困惑。如果正如下面的@Steven V 所说，客户端应用程序 cookie 是由 httpmodule 创建的 - 如何对任何页面进行身份验证？例如，如果我在我的客户端 (RP) 应用程序页面（例如，landing.aspx）并单击指向（IP）身份验证服务器的链接以访问受限内容（例如，restricted.aspx） - 服务器如何神奇地创建 cookie在我登录后重定向到restricted.aspx 之前在客户端上。使用WIF 我仍然需要FormsAuthentication.CreateAuthCookie()在代码中执行或类似操作。

如果我单击指向我的受限页面的链接，会发生什么情况，我会按预期重定向到（IP）CAS 服务器页面，并且在成功登录后获得无限重定向，因为大概该应用程序没有本地客户端 cookie并尝试进行身份验证，因此重定向到已经过身份验证的服务器并重定向回没有本地 cookie 的客户端，因此需要永远进行身份验证。

再次编辑：我已对此进行了进一步阅读（那里没有太多可用的内容），并发现此身份验证发生在非常低​​的级别，并且应该在页面重定向之前设置 cookie 的客户端应用程序 (RP) 上发生。这显然不会发生在我身上，我不知道如何解决问题所在。

我已经设置了一个在 ASP.NET 兼容模式下运行的 WCF 服务，这样我就可以利用我站点其他部分使用的 SSO 身份验证。SSO 基于 Jasig 的 CAS，我修改了 dotNetCasClient 以便它可以与 WCF 服务一起使用。这个想法是 dotNetCasClient http 模块拦截对服务的任何请求，并根据 CAS 提供的票证设置主体。

为了完成这项工作，我不得不拒绝所有匿名用户的访问：

到目前为止一切正常。经过身份验证的用户可以调用我的服务，而未经身份验证的用户会被拒之门外。问题是我无法通过 .svc?wsdl 访问我的 WSDL。我只是得到一个401.2。

有没有办法让我允许匿名流量到我的 WSDL，同时仍然拒绝匿名流量到我的其余服务？

我尝试过使用以下变体，但它不喜欢在路径中有 ?wsdl。

我还尝试过允许匿名流量并改用PrincipalPermissionAttribute，但这不太可能，因为我通过 dotNetCasClient 而不是 windows 主体使用自定义主体。

请注意，如果我从 web.config 中删除授权标签，我将再次可以访问 WSDL，但这将阻止 SSO 身份验证正常工作。

这是我完整的 web.config

我了解 CAS 使用表单身份验证，并且 MVC 5 现在已移至 OWIN。我做了一些研究，发现有几个人试图实现这个- https://groups.google.com/forum/#!msg/jasig-cas-dev/vPqa5X6aYew/FwciRjilbgEJ，我已经下载了并包含来自 Will Dean 的 Git 存储库的文件 - https://github.com/willdean/owin-cas。

我的问题是，如何配置它以与我的 CAS 服务器一起使用？我已经更改了一些登录 url 变量，但没有运气。

将三个 Grails 应用程序部署在同一个 Tomcat 服务器 (tomcat-7.0.54) 上，几 (3-4) 天后，我们似乎在登录后的一个或两个应用程序中陷入了重定向循环。一个应用程序似乎总是很好，而且从来没有问题。这三个都有相同的 CAS 配置，从一个应用程序复制到另一个应用程序，唯一的区别是拦截 URL 映射。

任何人都经历过这种情况，或者知道在哪里看？我们最终不得不重新启动 tomcat 才能解决问题，一旦我们这样做了，这三个都可以再过 3-4 天。