对接第三方CAS Server
操作场景
CAS Server作为中央认证服务器对外提供接入认证功能,实现多个web之间的单点登录功能。
目前FusionInsight Manager内部单独集成了CAS Server软件,自身可以作为中央认证服务器使用,同时为了更好的与其他产品对接,实现跨产品的单点登录功能,FusionInsight Manager也支持对接其他CAS Server。
- 由于对接第三方,因此登录用的帐号务必确保在本集群和第三方认证中心同时存在,且密码一致。在FusionInsight系统中修改某个用户密码后,需要同步修改CAS Server中的该用户密码。
- 由于对接第三方,登录帐号和本集群内二次认证使用的帐号密码实际为两个用户的密码。即登录帐号和密码为第三方认证中心存储。本集群内二次认证(启停服务)使用的帐号密码为本集群内存储。
- FusionInsight支持3.4.3到3.5.2版本的CAS Server对接。
对系统的影响
对接第三方CAS Server需要停止集群,重启集群前业务暂时不可访问。
前提条件
第三方CAS所在节点与本集群主管理节点的时差不能超过1分钟,否则登录跳转提示Access failed。
配置第三方CAS Server信息
配置操作有两种情形:安装Manager时配置和安装集群后配置。
- 安装Manager时配置第三方CAS Server
- FusionInsight Manager的安装配置文件“install.ini”中提供了与第三方对接的配置参数项,如下所示,在安装OMS的时候,需指定这两个参数值。
[HA] ha_mode=double local_ip1= local_ip2= local_ip3= local_ip4= peer_ip1= peer_ip2= peer_ip3= peer_ip4= ws_float_ip= ws_float_ip_interface= ws_float_ip_netmask= ws_gateway= om_float_ip= om_float_ip_interface= om_float_ip_netmask= om_gateway= ntp_server_ip= om_mediator_ip= sso_ip= sso_port= bigdata_home= bigdata_data_home= cluster_nodes_scale= tls_protocol_min= kerberos_realm= [/HA]- sso_ip表示需要对接的CAS Server的IP地址。
- sso_port表示需要对接的CAS Server的端口。
- 成功安装OMS后,继续执行证书对接,然后执行3。
- 安装集群完毕后,在FusionInsight Manager界面,选择“集群 > 待操作集群的名称 > 停止”,输入当前登录的用户密码确认身份。
在确认停止的对话框单击“确定”停止集群。
- 选择“集群 > 待操作集群的名称 > 更多 > 同步配置”,同步集群的配置。
在弹出窗口单击“确定”,系统开始同步集群配置。
- 选择“集群 > 待操作集群的名称 > 启动”,启动集群使配置生效。
- 安装集群后配置第三方CAS Server
集群安装完毕后,如果需要对接第三方CAS Server,则需要按照如下操作:
- 使用PuTTY工具以omm用户登录到主管理节点。
- 执行以下命令,完成第三方CAS Server的配置。
cd ${BIGDATA_HOME}/om-server/tomcat/webapps/web/WEB-INF/config/
sh update_fi_sso_info.sh 第三方CAS Server的IP地址 第三方CAS Server的端口
- 执行成功后,继续执行以下命令,使设置生效。
cd ${BIGDATA_HOME}/om-server/om/sbin/
sh restart-controller.sh
- 执行证书对接,然后执行5。
- 安装集群完毕后,在FusionInsight Manager界面,选择“集群 > 待操作集群的名称 > 停止”,输入当前登录的用户密码确认身份。
在确认停止的对话框单击“确定”停止集群。
- 选择“集群 > 待操作集群的名称 > 更多 > 同步配置”,同步集群的配置。
在弹出窗口单击“确定”,系统开始同步集群配置。
- 选择“集群 > 待操作集群的名称 > 启动”,启动集群使配置生效。
证书对接
配置好第三方CAS Server之后,CAS Server还不能直接跳转到FusionInsight服务器,需要对接证书。
例如ocscas.crt是第三方CAS的证书。需要执行如下操作将该证书分别倒入到FusionInsight的tomcat和jdk中(以下操作均在omm用户下执行)。
- 证书导入到FusionInsight的jdk中。
- 将证书复制到${JAVA_HOME}/jre/lib/security/。
- 执行keytool -import -noprompt -trustcacerts -alias caspublickey -file ocscas.crt -keystore cacerts -storepass changeit命令。
- 将证书导入到FusionInsight的tomcat中。
- 将证书复制到${BIGDATA_HOME}/om-server/tomcat/conf/security/。
- 执行以下命令。
keytool -import -noprompt -trustcacerts -alias caspublickey -file ocscas.crt -keystore tomcat.keystore -storepass Changeme_123
keytool -import -noprompt -trustcacerts -alias caspublickey -file ocscas.crt -keystore tomcat_om.keystore -storepass Changeme_123
- 重启tomcat。
- 以omm用户登录主OMS节点。
- 执行jps | grep Bootstrap命令,查询出tomcat运行pid号,使用kill -9命令强制停止查询出来的tomcat进程,例如kill -9 1203。
- 执行sh ${BIGDATA_HOME}/om-server/tomcat/bin/startup.sh。
- 第三方CAS是否存在过滤IP等安全措施?
- 是,需要在第三方CAS开放本集群的IP地址,确保第三方CAS不会拒绝该IP的访问请求,执行5。
说明:
假如第三方CAS为FusionInsight某个集群,那么本操作必选。
- 否,任务结束。
- 是,需要在第三方CAS开放本集群的IP地址,确保第三方CAS不会拒绝该IP的访问请求,执行5。
- 配置第三方CAS黑白名单。
- 以omm用户登录主管理节点,执行以下命令。
cd ${BIGDATA_HOME}/om-server/tomcat/webapps/cas/WEB-INF/
vi web.xml
- 在打开的文件中找到如下配置段,在<param-value></param-value>之间补充本集群的IP地址。
... <param-name>WhiteParamList</param-name> <param-value></param-value> ...- 配置完成后,停止tomcat。
执行jps | grep Bootstrap命令,查询出tomcat运行pid号,使用kill -9命令强制停止查询出来的tomcat进程,例如kill -9 1203。
- 执行以下命令启动tomcat。
sh ${BIGDATA_HOME}/om-server/tomcat/bin/startup.sh。
- 配置完成后,停止tomcat。
- 以omm用户登录主管理节点,执行以下命令。
查看更多:华为GaussDB 200 集群管理
- FusionInsight Manager的安装配置文件“install.ini”中提供了与第三方对接的配置参数项,如下所示,在安装OMS的时候,需指定这两个参数值。
