Home > IAM, SSO > OpenSSO: installation et configuration de l’agentsample

OpenSSO: installation et configuration de l’agentsample

Pff, j’ai finalement réussi à installer l’application de démonstration de FAM8/opensso, et donc l’agent nécessaire à son bon fonctionnement, tout ceci avec le dernier build d’OpenSSO, à savoir le 4.5.

Quelques informations avant de commencer :

  • environnement de test : opensso servi par glassfish v2ur2 sur Mac OS X, agentsample servi par glassfish v2ur2 sur une debian
  • dc=opensso,dc=java,dc=net comme suffixe de configuration dans opensso (très important pour utiliser le build de l’application d’exemple, si vous utilisez un autre domaine, vous devrez recompiler l’application)

Rentrons dans le vif du sujet :

  • installer OpenSSO (attention aux limitations de conteneur, veillez à bien prendre en considération la Release notes)
  • se rendre sur http://hostname:8080/opensso, attention à bien utiliser un nom DNS, et pas localhost
  • choisir la configuration personnalisée, attention à bien spécifier le nom de domaine du cookie, dans mon cas .asyd.net, dans sa configuration standard, OpenSSO utilise un passage de cookie, les applications protégées doivent donc être obligatoirement dans le même domaine DNS, avec un domain cookie suffisamment large
  • encore une fois, vérifiez bien que l’URL d’opensso utilise bien le bon nom dns 
  • sur le serveur hébergeant l’application cliente, télécharger et installer glassfish v2ur2
  • télécharger l’agent approprié
  • utiliser la commande ./agentadmin install, une fois installé, se rendre dans le répertoire Agent_001/config, puis copier le fichier FAMAgentConfiguration.properties sur le serveur hébergeant opensso (la commande agentadmin vous demandera l’URL pour accéder à opensso, l’URL à protéger, un login et un mot de passe correspondant à un compte de type agent, celui-ci sera crée plus tard)
  • déployer les applications agentapp.war (disponible dans le répertoire etc de l’agent) et agentsample.ear (répertoire sampleapp/dist/ de l’agent) 
  • sur le serveur opensso, se rendre dans le répertoire opensso/tools, extraire l’archive famAdminTools.zip puis lancer le script setup, le répertoire attendu correspond à celui fourni lors de l’installation d’opensso, par défaut $HOME/opensso
  • rajouter une ligne userpassword=<password>, où password correspond au mot de passe fourni lors de l’installation de l’agent. Le mot de passe doit être en clair.
  • utiliser la commande famadmin pour créer l’agent (/bin/famadm create-agent -b agent1 -t J2EEAgent -u amadmin -f /tmp/password -D config/FAMAgentConfiguration.properties -e ‘/’), le fichier /tmp/password doit contenir le mot de passe du copte amadmin, sur une ligne, et le fichier avec les droits 400
  • vérifier que l’objet agent est bien crée, se connecter en tant qu’administrateur sur opensso, puis sur Contrôle d’accès, puis sur le domaine opensso, sur Agent, puis finalement J2EE, vous devriez trouver l’agent
  • Si vous essayer de vous connecter sur http://host2:8080/agentsample/ vous devriez être redirigé vers la page d’opensso, puis vers une page vous notifiant que vous accédez à une ressource protégée, la configuration n’est encore pas finie !
  • connecter vous en tant qu’administrateur sur l’opensso
  • créer un groupe manager puis un groupe employee
  • créer un utilisateur appartenant aux deux groupes sus cités
  • créer une nouvelle stratégie (p1), puis une nouvelle règle (s1), comme nom de ressource, spécifier la valeur http://<host2>:8080/agentsample/*, puis autoriser le GET et le POST
  • créer maintenant un nouvel objet, de type Objet d’identité Access Manager
  • rajouter un filtre sur le groupe employee
  • reconnecter vous (un redémarrage du serveur glassfish host2 peut être nécessaire) sur l’application agentsample, vous devriez pouvoir accéder maintenant à l’ensemble de l’application

Dès lors, tous les membres du groupe employee peuvent accéder à l’application. Vous pouvez vérifier si un utilisateur appartient au groupe manager en cliquant sur le lien J2EE Security API puis sur Invoke Security Aware Servlet, une ligne vous informera des groupes auxquels votre utilisateur appartient.

Voilà, enfin, j’y suis arrivé, pas très simple quand même 🙂 

Categories: IAM, SSO Tags:
  1. Cédric Briançon
    November 20th, 2008 at 18:43 | #1

    Merci à toi. Ton blog m’aura bien aidé, surtout la partie stratégie / règles.
    J’arrive également à accéder à la page principale de l’application.

  2. December 8th, 2008 at 12:06 | #2

    Salut salut.
    Je viens de tomber sur ce blog et suis bien content: c’est la premiere fois que je trouve une entree en Francais !

    Il n’y a pas encore grand chose dans OpenSSO en Francais, mais on compte bien changer ca. Si vous etes interesses, inscrivez vous sur g11n@opensso.dev.java.net, on annoncera les news la bas.

  3. December 8th, 2008 at 14:24 | #3

    Salut Pierrot,

    merci de ton retour ! Concernant la liste g11n, j’ai déjà bugreporter, et discuter avec je ne sais plus qui 🙂

    Et sinon concernant la doc en français, j’ai maintenant le droit d’écriture sur le wiki OpenSSO (merci Pat 🙂 donc faut que je trouve un peu de temps, surtout que depuis le build enterprise 8 il y a des choses qui cont changés.

    En tout cas merci de ton retour 🙂

  1. No trackbacks yet.