Verwenden Sie mod_auth_cas unter CentOS 8

Intro

Für mich, der die CAS-Authentifizierung nur mäßig liebt, bin ich traurig, dass die im EPEL-Repository in CentOS 6 und CentOS 7 bereitgestellten ** mod_auth_cas ** in der CentOS 8- (und RHEL 8-) Umgebung verschwunden sind.

Im Moment scheint es unmöglich zu sein, die Drehzahl aufzunehmen und zu installieren, daher kann ich nichts dagegen tun, also werde ich es selbst bauen.

Wie macht man

Basierend auf der Erklärung auf der folgenden Site wurde sie je nach Umgebung geändert, als "# yum install mod_auth_cas" unter CentOS 7 ausgeführt wurde. https://iam.uconn.edu/mod_auth_cas-installation-and-configuration/

Vorbereitung

# yum install httpd httpd-devel
# yum install gcc libcurl-devel openssl-devel pcre-devel
# yum install autoconf automake make libtool redhat-rpm-config
# yum install wget tar

Bauen

# cd /usr/local/src
# wget https://github.com/apereo/mod_auth_cas/archive/v1.2.tar.gz
# tar xvzf v1.2.tar.gz
# cd mod_auth_cas-1.2
# autoreconf -iv
# ./configure --with-apxs=/usr/bin/apxs
# make
# make check
# make install

Einstellungen für httpd

# mkdir /var/cache/httpd/mod_auth_cas
# chown apache:apache /var/cache/httpd/mod_auth_cas

# vi /etc/httpd/conf.d/auth_cas.conf
LoadModule auth_cas_module modules/mod_auth_cas.so
CASCookiePath /var/cache/httpd/mod_auth_cas/
CASCertificatePath /etc/pki/tls/certs/ca-bundle.crt
CASLoginURL https://sso.yourdomain/cas/login
CASValidateURL https://sso.yourdomain/cas/serviceValidate

# systemctl restart httpd

Installation von .htaccess

# vi /var/www/html/.htaccess
AuthType CAS
Require valid-user

Unterstützung für SELinux

Wenn SELinux aktiviert ist, tritt nach der CAS-Authentifizierung ein 401-Fehler auf. Wenn Sie also SELinux mit Durchsetzung verwenden, überprüfen Sie den Fehlerbildschirm einmal und führen Sie dann die folgenden Schritte aus.

# yum install policycoreutils-python-utils
# grep "httpd" /var/log/audit/audit.log | audit2allow --module=mod_auth_cas -all

module mod_auth_cas 1.0;

require {
        type http_port_t;
        type httpd_t;
        class tcp_socket name_connect;
}

#============= httpd_t ==============

#!!!! This avc can be allowed using one of the these booleans:
#     httpd_can_network_connect, httpd_graceful_shutdown, httpd_can_network_relay, nis_enabled
allow httpd_t http_port_t:tcp_socket name_connect;


# grep "httpd" /var/log/audit/audit.log | audit2allow --module=mod_auth_cas -all
# semodule -i mod_auth_cas.pp