cicas : plugin d’authentification avec CAS pour SPIP - commentaires

cicas : plugin d'authentification avec CAS pour SPIP

Bonjour,
Je n'arrive pas à reproduire le problème (avec CICAS 2.6.1 et SPIP 4.1.9).
Par ailleurs, je n'ai pas constaté de warning dans ecrire/ ?exec=cicas_serveurs.

cicas : plugin d'authentification avec CAS pour SPIP

Bonjour,

Avec SPIP 4.1.9 + Cicas 2.6.1, il m'est impossible de configurer le mode Hybride.

Si je mets CAS, dans spip_metas, la valeur stockée est 'oui'
Si je mets SPIP, dans spip_metas, la valeur stockée est 'non'
Mais Si je mets CAS ou SPIP, dans spip_metas, la valeur stockée est 'oui' (au lieu de 'hybride')

Par ailleurs, dans ecrire/ ?exec=cicas_serveurs avec aucun serveur additionnel, il y a cette erreur :
Warning: Invalid argument supplied for foreach() in /var/www/html/spip-svn/plugins/_cicas/exec/cicas_serveurs.php on line 44 Aucun serveur additionnel n'a été créé.

cicas : plugin d'authentification avec CAS pour SPIP

Il est totalement inexact d'écrire que la version 1.3.4 de phpCAS contient de multiples trous de sécurité (CVE-2012-5583, CVE-2010-2795, CVE-2010-2796,CVE-2010-3690,CVE-2010-3691,CVE-2010-3692, CVE-2012-1104, CVE-2012-1105).

En effet, ces failles de sécurité ont été corrigées par des versions antérieures à phpCAS 1.3.4 :

CVE-2012-5583 corrigé par la version 1.3.2 de phpCAS
CVE-2012-1104 corrigé par la version 1.3.0 de phpCAS
CVE-2012-1105 corrigé par la version 1.3.0 de phpCAS
CVE-2010-3690 corrigé par la version 1.1.3 de phpCAS
CVE-2010-3691 corrigé par la version 1.1.3 de phpCAS
CVE-2010-3692 corrigé par la version 1.1.3 de phpCAS
CVE-2010-2795 corrigé par la version 1.1.2 de phpCAS
CVE-2010-2796 corrigé par la version 1.1.2 de phpCAS

cicas : plugin d'authentification avec CAS pour SPIP

Bonjour,

Je vois que le CAS.php du plugins cicas_161005 est en version 1.3.4, hors cette version contient de multiples trous de sécurité (CVE-2012-5583, CVE-2010-2795, CVE-2010-2796,CVE-2010-3690,CVE-2010-3691,CVE-2010-3692, CVE-2012-1104, CVE-2012-1105).

Est ce qu'une nouvelle version du plugins est prévue pour corriger cela ?

Cordialement,

cicas : plugin d'authentification avec CAS pour SPIP

La version 2.0.1 de CICAS, jointe dans la présente page (cicas_161005.zip), règle ce problème.

cicas : plugin d'authentification avec CAS pour SPIP

Dans la version 2.0.0 de CICAS, le paramétrage par fichier de l'ordre de recherche du « host » dans les variables du serveur (cicashostordre) n'est pas pris en compte. C'est l'ordre par défaut qui s'applique (celui de phpCAS).

cicas : plugin d'authentification avec CAS pour SPIP

Je ne m'occupe pas de la partie serveur CAS.

Pour poser des questions sur le serveur CAS, des mailing-lists existent :
https://jasig.github.io/cas/Mailing-Lists.html

CAS Community List (cas-user)
Focus: support, troubleshooting, general questions.
Post to this list if you have a question about installing, configuring, or troubleshooting CAS.

cicas : plugin d'authentification avec CAS pour SPIP

Merci pour cette réponse rapide.
je me demande si je ne vais pas changer de version de serveur CAS car je pense que le problème peux venir de là...
Est ce que vous pouvez me conseiller une version ?

cicas : plugin d'authentification avec CAS pour SPIP

Bonjour,
Ce problème concerne effectivement la librairie phpCAS.
Il convient de consulter, sur le forum de phpCAS, les problèmes déjà signalés (par exemple celui-ci https://github.com/Jasig/phpCAS/issues/175) puis, le cas échéant, de leur signaler ce problème.

cicas : plugin d'authentification avec CAS pour SPIP

Bonjour,
Merci pour ce super plugin qui devrait bien me faciliter la vie :)
Par contre, je n'arrive pas à m'authentifier a partir de spip3 sur mon serveur CAS (version 3.3.5)
Dans les logs de phpcas j'ai ceci :

=> CAS_Request_CurlRequest::sendRequest() [AbstractRequest.php:242] curl_exec() failed [CurlRequest.php:77] <= false

Je ne comprends pas trés bien ce qui se passe...
Le serveur CAS est derriere un firewall ou j'ai simplement ouvert le port du serveur CAS

Merci par avance pour votre aide précieuse,

cicas : plugin d'authentification avec CAS pour SPIP

Merci pour votre retour rapide
Cela fonctionne parfaitement.

cicas : plugin d'authentification avec CAS pour SPIP

La documentation, indique en page 7 :
Par défaut, l'ordre de recherche du HOST dans les variables HTTP est celui de phpCAS, c'est-à-dire : 'HTTP_X_FORWARDED_SERVER','SERVER_NAME','HTTP_HOST'
Si l'hébergeur n'est pas compatible avec l'ordre de phpCAS, on peut définir l'ordre a prendre en compte.

Pour cela, un paramétrage par fichier est possible (le fichier doit être situé dans le dossier « /config/ » de SPIP).
Nom du fichier : racine_du_site/config/_config_cas.php

Exemple de contenu du fichier :

cicas : plugin d'authentification avec CAS pour SPIP

Le
http://www.toto.fr/ecrire/?exec=info&bonjour=oui

me montre

_SERVER[« HTTP_X_FORWARDED_HOST »] toto.fr
_SERVER[« HTTP_X_FORWARDED_SERVER »] proxy-lamp-free

il attrape le deuxieme

Comment changer ?

cicas : plugin d'authentification avec CAS pour SPIP

Bonjour

Je viens d'installer Cicas 1.8.0 sur notre SPIP 3.0.17 pour un site que nous sommes en train de développer. Je l'ai configuré en spécifiant notre serveur CAS avec le mode hybride pour l'authentification.
Quand je me connecte avec le CAS, disons
http://www.toto.fr/spip.php?page=login
je clique ensuite sur authentification centralisé, le lien devient :
https://cas.XXXXXXX.fr/login?service=http%3A%2F%2Fproxy-lamp-free%2Fspip.php%3Fpage%3Dlogin%26cicas%3Doui

mon www.toto.fr a été remplacé par proxy-lamp-free

Merci pour votre aide

Cordialement

Karim

cicas : plugin d'authentification avec CAS pour SPIP

PHP/Curl n'était pas installé, prérequis nécessaire pour phpCAS.
La redirection fonctionne bien désormais.
Merci de votre patience et bravo pour ce plugin !

cicas : plugin d'authentification avec CAS pour SPIP

Merci pour ce retour.

cicas : plugin d'authentification avec CAS pour SPIP

Dans le cas où le formulaire #LOGIN_PUBLIC était utilisé dans un squelette autre que celui de la page « login » (par exemple dans le squelette rubrique ou article si on utilise un certain plugin d'accès restreint), l'adresse de la page ne comprenait pas le paramètre « &url=... » comme c'est le cas pour la page « login ».

Aussi, la redirection après authentification, vers une page particulière, ne pouvait pas s'effectuer.

La version 1.8 de CICAS prend en compte désormais ce cas particulier.

cicas : plugin d'authentification avec CAS pour SPIP

Dans le cas où le formulaire #LOGIN_PUBLIC est utilisé dans un squelette autre que celui de la page « login » (par exemple dans le squelette rubrique ou article si on utilise un certain plugin d'accès restreint), l'adresse de la page ne comprend pas le paramètre « &url=... » comme c'est le cas pour la page « login ».

Aussi, la redirection après authentification, vers une page particulière, ne peut pas s'effectuer.

La version 1.8 de CICAS prend en compte désormais ce cas particulier.

cicas : plugin d'authentification avec CAS pour SPIP

C'est impeccable, merci beaucoup pour votre boulot et votre réactivité !

cicas : plugin d'authentification avec CAS pour SPIP

Merci d'avoir indiqué l'adresse de la page. En effet, j'ai pu deviner que le squelette de rubrique contient le formulaire #LOGIN_PUBLIC (et que le site utilise un certain plugin d'accès restreint).

L'adresse de cette page, qui affiche le formulaire d'authentification, ne comprend pas le paramètre « &url=... » comme c'est le cas pour la page « login ». Aussi, la redirection après authentification, vers une page particulière, ne pouvait pas s'effectuer.

La version 1.8 de CICAS (jointe au présent article) prend en compte désormais ce cas particulier.

cicas : plugin d'authentification avec CAS pour SPIP

Oui manuellement tout fonctionne bien, l'URL de retour fonctionne bien.

Ceci :

https://lmb.univ-fcomte.fr/spip.php?page=login&url=spip.php%3Frubrique96&cicas=oui

nous renvoie vers :

https://lmb.univ-fcomte.fr/spip.php?rubrique96

Nous avons essayé de modifier inc/footer.html avec la solution au dessus mais cela n'a aucun effet sur l'URL produit (rubrique96).

Merci

cicas : plugin d'authentification avec CAS pour SPIP

En renseignant manuellement dans la barre d'adresse du navigateur, une adresse du type :
adresse du site/spip.php?page=login&url=spip.php%3Farticle2&cicas=oui
est-ce que le formulaire d'authentification s'affiche et est-ce que l'on est bien redirigé ensuite vers l'article 2 ?

cicas : plugin d'authentification avec CAS pour SPIP

Bonjour,

nous avons le même problème que vous, nous ne trouvons pas comment rediriger les personnes vers la page intranet par exemple lorsqu'elles s'authentifie par le CAS.
Actuellement, les personnes sont redirigées vers /ecrire et ce n'est pas ce que nous voulons.

Si une âme charitable passe par là...merci

cicas : plugin d'authentification avec CAS pour SPIP

Comme l'indique la présente page, le client phpCAS nécessite certains prérequis qu'il convient de vérifier : https://wiki.jasig.org/display/CASC/phpCAS+requirements.

cicas : plugin d'authentification avec CAS pour SPIP

Avec le mode d'authentification « CAS ou SPIP »
Supprimer tous les cookies du navigateur
Supprimer tmp/phpCAS.log
Afficher un article sur le site public
S'authentifier avec CAS
Me communiquer le contenu du phpCAS.log (et pas seulement un extrait)

cicas : plugin d'authentification avec CAS pour SPIP

- HTTP_X_FORWARDED_SERVER : je ne trouve pas cette variable
- SERVER_NAME : monsite.domaine
- HTTP_HOST : monsite.domaine
- REQUEST_URI : /ecrire/ ?exec=info

Merci !

cicas : plugin d'authentification avec CAS pour SPIP

Dans l'espace privé, renseigner manuellement dans la barre d'adresse du navigateur :
adresse du site/ecrire/?exec=info

Dans la page qui s'affiche, quelles sont les valeurs de :

HTTP_X_FORWARDED_SERVER
SERVER_NAME
HTTP_HOST
REQUEST_URI

cicas : plugin d'authentification avec CAS pour SPIP

- Avec le mode d'authentification « CAS ou SPIP » : OK
- Supprimer tous les cookies du navigateur : OK
- Renseigner manuellement dans la barre d'adresse du navigateur, une adresse du type : adresse du site/spip.php?page=login&url=spip.php%3Farticle2&cicas=oui
- Lorsque le formulaire d'authentification de CAS s'affiche, quelle est l'adresse qui figure dans la barre d'adresse du navigateur ?
https://cas.domaine/cas/login?service=http%3A%2F%2Fmonsite.domaine%2Fspip.php%3Fpage%3Dlogin%26url%3Dspip.php%253Farticle2%26cicas%3Doui

Merci !

cicas : plugin d'authentification avec CAS pour SPIP

Avec le mode d'authentification « CAS ou SPIP »
Supprimer tous les cookies du navigateur
Renseigner manuellement dans la barre d'adresse du navigateur, une adresse du type :
adresse du site/spip.php ?page=login&url=spip.php%3Farticle10&cicas=oui
Lorsque le formulaire d'authentification de CAS s'affiche, quelle est l'adresse qui figure dans la barre d'adresse du navigateur ?

cicas : plugin d'authentification avec CAS pour SPIP

Bonjour,

Le formulaire d'authentification Spip apparaît bien en lançant adresse du site/spip.php?page=login

Merci !

Stéphane

cicas : plugin d'authentification avec CAS pour SPIP

En renseignant manuellement dans la barre d'adresse du navigateur, une adresse du type :
adresse du site/spip.php?page=login
est-ce que le formulaire d'authentification s'affiche ?

cicas : plugin d'authentification avec CAS pour SPIP

je confirme bien utiliser ce mode

Stéphane

cicas : plugin d'authentification avec CAS pour SPIP

Pour le test précité, il faut utiliser le mode d'authentification « CAS ou SPIP » dans la configuration du plugin.

cicas : plugin d'authentification avec CAS pour SPIP

Lorsque je saisis directement l'adresse d'un article (adresse du site/spip.php ?page=login&url=spip.php%3Farticle2&cicas=oui), le formulaire d'authentification Spip ne s'affiche pas.
On tombe directement sur le serveur CAS.
Après authentification CAS, on arrive à cette page « Mon Site Spip », comme si le formulaire d'authentification Spip était tronqué (adresse = adresse du site/spip.php ?page=login&url=spip.php%3Farticle2&cicas=oui&ticket=ST-1389298-MgjlfaLmISDR91CoS5Z7-domu-cas1) .

DFCD .| | | | | | Final URI: http://site.domaine/spip.php?page=login&url=spip.php%3Farticle2&cicas=oui [Client.php:3071]
DFCD .| | | | | <= 'http://site.domaine/spip.php?page=login&url=spip.php%3Farticle2&cicas=oui'
DFCD .| | | | <= 'https://cas.domaine/cas/serviceValidate?service=http%3A%2F%2Fsite.domaine%2Fspip.php%3Fpage%3Dlogin%26url%3Dspip.php%253Farticle2%26cicas%
3Doui'
DFCD .| | | | => CAS_Client::_readURL('https://cas.domaine/cas/serviceValidate?service=http%3A%2F%2Fsite.domaine%2Fspip.php%3Fpage%3Dlogin%26url%3Dspip.php%
253Farticle2%26cicas%3Doui&ticket=ST-1389298-MgjlfaLmISDR91CoS5Z7-domu-cas1', NULL, NULL, NULL) [Client.php:2762]
DFCD .| | | | | => CAS_Request_CurlRequest::sendRequest() [AbstractRequest.php:220]

Merci +++

Stéphane

cicas : plugin d'authentification avec CAS pour SPIP

En renseignant manuellement dans la barre d'adresse du navigateur, une adresse du type :
adresse du site/spip.php?page=login&url=spip.php%3Farticle10&cicas=oui
est-ce que le formulaire d'authentification s'affiche et est-ce que l'on est bien redirigé ensuite vers l'article 10 ?

cicas : plugin d'authentification avec CAS pour SPIP

J'ai créé un fichier footer.html dans /squelettes/inclure en modifiant le lien.

[(#SESSION{id_auteur}|non) | <:lien_connecter:>]

J'ai vidé le cache également.

Je n'ai pas constaté d'évolution :

310D .| | | | | | Final URI: http://monsite.domaine/spip.php?page=login&url=.%2F&cicas=oui [Client.php:3071]
310D .| | | | | <= 'http://monsite.domain/spip.php?page=login&url=.%2F&cicas=oui'
310D .| | | | <= 'https://cas.domaine/cas/serviceValidate?service=http%3A%2F%2Fmonsite.domain%2Fspip.php%3Fpage%3Dlogin%26url%3D.%252F%26cicas%3Doui'
310D .| | | | => CAS_Client::_readURL('https://cas.domaine/cas/serviceValidate?service=http%3A%2F%2Fmonsite.domain%2Fspip.php%3Fpage%3Dlogin%26url%3D.%252F%26
cicas%3Doui&ticket=ST-1387979-ElgRKuNGbiDlB29lVyi0-domu-cas1', NULL, NULL, NULL) [Client.php:2762]

Je vois qu'il me manque la partie TARGET :

TARGET=http%3A%2F2Fmonsite.domaine
%2Fspip.php%3Fpage%3Dlogin%26url%3Dspip.php%253Farticle10
%26cicas%3Doui

Merci de votre patience !

Stéphane

cicas : plugin d'authentification avec CAS pour SPIP

Dans le squelette qui contient le lien « se connecter », il suffit de remplacer :

[(#SESSION{id_auteur}|non) | <:lien_connecter:>]

par :

[(#SESSION{id_auteur}|non) | <:lien_connecter:>]

cicas : plugin d'authentification avec CAS pour SPIP

ahhh oui ça marche... donc c'est là le problème... j'utilise le plugin couteau suisse pour gérer un format d'url « propres_qs » ce qui fait que mon url à la redirection sur la page de login est ?mapage.html et pas spip.php ?page=login&url=mapage...
du coup le plugin ne reconnait pas l'url de la page.

y a-t-il un moyen de rêgler le problème sans avoir à revenir à un format d'url de base ?

merci d'avance

Severine

cicas : plugin d'authentification avec CAS pour SPIP

En renseignant manuellement dans la barres d'adresse du navigateur, une adresse du type :
adresse du site/spip.php?page=login&url=spip.php%3Farticle2&cicas=oui
est-ce que le formulaire d'authentification s'affiche et est-ce que l'on est bien redirigé ensuite vers l'article 2 ?

cicas : plugin d'authentification avec CAS pour SPIP

lorsque ma page d'authentification s'affiche j'ai bien l'url de la page sur laquelle je veux me connecter : monURL ?mapage.html

et en roll over du lien [Use CAS authentification] j'ai bien monURL ?mapage.html&cicas=oui
c'est étrange que ça ne fonctionne pas... oO'

cicas : plugin d'authentification avec CAS pour SPIP

Dans le cas où l'on veut directement se connecter à une page de l'intranet, nécessitant au préalable une authentification :
Lorsque la page d'authentification s'affiche, quelle est la fin de son adresse dans la barre d'adresse du navigateur (par exemple : spip.php?page=login&url=spip.php%3Farticle108) ?

cicas : plugin d'authentification avec CAS pour SPIP

Bonjour

j'ai installé et configuré le plugin pour un accès mixte...
Cela fonctionne très bien à part un problème de redirection lorsqu'on veut directement se connecter à une page de notre intranet, nécessitant au préalable une authentification.

En effet au départ il y a bien redirection automatique vers la page d'authentification ; le lien vers l'authentification CAS fonctionne bien et renvoie bien les bonnes informations de login et d'autorisation...
mais ensuite on se retrouve sur la page d'accueil du backend et non sur la page sur laquelle on voulait se connecter.

je n'ai pas ce problème avec l'authentification normal... En passant par ce mode c'est ensuite bien redirigé sur la page de l'intranet sur laquelle on désire accéder

Quelqu'un aurait-il une explication et un moyen de corriger le problème ?

Ma version de SPIP est la 3.0.16. J'utilise en même temps le plugin acces restreint, je ne sais pas si cela peut être important.

merci d'avance

Séverine

cicas : plugin d'authentification avec CAS pour SPIP

Merci beaucoup pour votre réponse mais cela ne m'avance guère.
En fait, avec le plugin "Acces restreint' j'ai bloqué l'acces à une page « intranet ».
Sans votre plugin, quand on se connecte sur cette page « intranet » on demande automatiqument les login et pwd simplement je veux utiliser un serveur CAS pour le faire.
J'ai donc ajouter votre plugin CICAS.
Maintenant, quand les gens veulent se connecter a l'intranet ils tombent sur la page ou l'on peut se connecter via le compte spip ou vias le CAS. Si les gens se connecte via le serveur CAS et que j'ai préalablement enregistré le compte de la personne en « redacteur » ils tombe directement sur l'espace prive du site ce qui n'est pas mon objectif. Si j'enregistre l'auteur en « visiteur » alors je tombe sur cette cicar_erreur3. J'ai essayé d'interprété votre solution mais j'ai l'impression que cela rentre en conflit avec la page en acces restreint du plugin « Acess Restreint » ??? ou laors j'ai mal fait la modif ce qui est plus vraissemblable. J'ai bien essayé de retiré le plugin « Acess Restreint » mais alors le souci est que je ne sais pas comment activer cicas quand le visiteur clique sur mon lien « intranet ».
J'espère avoir été assez clair et merci encore pour votre patience.

cicas : plugin d'authentification avec CAS pour SPIP

Comme SPIP n'autorise pas les visiteurs à rentrer dans l'espace privé, le lien d'authentification ne doit pas renvoyer sur l'espace privé de SPIP mais doit renvoyer sur la page du site public.

Un exemple se trouve dans le squelette de SPIP 3.0 : squelettes-dist/inclure/footer.html :

a) Pour se connecter, les auteurs non authentifiés cliquent sur un lien vers la page de login de SPIP avec la page actuelle comme adresse de retour :
[(#SESSION{id_auteur}|non) | <:lien_connecter:>]

b) Les auteurs non authentifiés cliquent sur un lien vers l'espace privé de SPIP :
[(#AUTORISER{ecrire})| <:espace_prive:>]

cicas : plugin d'authentification avec CAS pour SPIP

Bonjour,
j'utilise SPIP 2.1.26 et j'ai le même type d'erreur que déjà mentionné mais je n'arrive pas à solutionner mon problème.
Le message cicas_erreur3 (« Erreur de connexion : Problème d'accès à l'espace privé ») indique qu'un visiteur tente d'entrer dans l'espace privé de SPIP.
Comme SPIP n'autorise pas les visiteurs à rentrer dans l'espace privé, le lien d'authentification ne doit pas renvoyer sur l'espace privé de SPIP mais doit renvoyer sur la page du site public.
SImplement je n'arrive pas à savoir comment lui expliciter cette adresse public.
Peut etre important j'ai le plugin "Acces restreint"
Merci pour votre aide.

cicas : plugin d'authentification avec CAS pour SPIP

C'est mon SPIP qui ne prends plus en charge les droits car effectivement, avec un utilisateur SPIP, j'ai le même problème. Cicas n'est pas en cause. Désolé.

Cordialement.

cicas : plugin d'authentification avec CAS pour SPIP

CICAS recherche quel auteur (au sens SPIP) s'est authentifié (en se basant sur l'identifiant CAS, par exemple l'email). S'il n'y a pas de doublon d'email dans les auteurs de SPIP (ou de doublon de login si l'identifiant CAS est stocké dans le champ login de SPIP), alors il n'y a pas de confusion possible sur l'auteur qui vient de s'authentifier.
Est-ce qu'en passant par l'authentification SPIP (au lieu de CAS), le rédacteur en question arrive à modifier l'article ?

cicas : plugin d'authentification avec CAS pour SPIP

Oui, c'était le cas pour un utilisateur (moi) qui avait un login spip et un cas mais pas les autres utilisateurs.
Merci de toute indication.

Cordialement.

cicas : plugin d'authentification avec CAS pour SPIP

Est-ce que, dans listes des auteurs dans SPIP, deux auteurs ont le même email ?

cicas : plugin d'authentification avec CAS pour SPIP

Bonjour,

l'authentification se fait bien. (SPIP 3.0.17) mais un rédacteur dont on a préalablement attribué un article ne peut modifier l'article. Quand il se connecte, il lui est bien listé ses différents articles mais il ne peut voir le bouton « modifier » quand il sélectionne l'article. Quand on force avec l'url de type http://sit.com/ecrire/?exec=article_edit&id_article=100 : « Vous n'avez pas le droit d'accéder à la page article_edit. » s'affiche.

Cordialement.

cicas : plugin d'authentification avec CAS pour SPIP

Merci beaucoup
Je n'avais pas saisi la subtilité ;c)
Maintenant cela fonctionne parfaitement
P

cicas : plugin d'authentification avec CAS pour SPIP

Il suffit d'utiliser la syntaxe d'URL du a) et, en mode d'authentification hybride, d'ajouter cicas=oui.

Par exemple :
http://monsite/spip.php ?page=login&url=spip.php?page=sommaire&cicas=oui

cicas : plugin d'authentification avec CAS pour SPIP

Merci beaucoup pour la réponse.
Malheureusement elle ne résous pas mon problème ou alors il y a quelque chose qui m'échappe !
Je comprends bien comment faire un lien sur le site SPIP redirigeant vers la page écrire ou non suivant le profile.
Dans mon cas cependant, le lien n'est pas sur le site SPIP mais sur un Portail extérieur.
Actuellement notre Portail pointe vers http://xxxyyy.xxx/spip/?cicas=oui ce qui fonctionne très bien avec les Auteurs mais pas avec les visiteurs.
Comment faire pointer le lien du Portail sur une page non Privé de Spip ?
D'avance merci pour ton aise
P

cicas : plugin d'authentification avec CAS pour SPIP

Comme SPIP n'autorise pas les visiteurs à rentrer dans l'espace privé, le lien d'authentification ne doit pas renvoyer sur l'espace privé de SPIP mais doit renvoyer sur la page du site public.

Un exemple se trouve dans le squelette de SPIP 3.0 : squelettes-dist/inclure/footer.html :

b) Les auteurs non authentifiés cliquent sur un lien vers l'espace privé de SPIP :
[(#AUTORISER{ecrire})| <:espace_prive:>]

cicas : plugin d'authentification avec CAS pour SPIP

Bonjour ,
Tout comme Michael j'ai le problème du cicas_erreur3 pour mes comptes visiteurs.
J'avoue ne pas bien connaitre Spip mais je dois m'occuper de la CASsification.
Nous avons un serveur CAS LemonLDAP avec un portail.
Le mode de fonctionnement est le suivant :
- les personnes s'identifie sur le portail CAS
- Ils cliquent sur les icônes des sites auquels ils peuvent avoir accès
- ils sont envoyé vers le site avec leur id, cookies, etc ...
L'adresse utilisé pour notre site Spip est http://xxxyyy.xxx/spip/?cicas=oui
Pour les comptes Rédacteurs et Admin cela fonctionne très bien.
Merci d'avance pour votre aide
P

cicas : plugin d'authentification avec CAS pour SPIP

Le message cicas_erreur3 (« Erreur de connexion : Problème d'accès à l'espace privé ») indique qu'un visiteur tente d'entrer dans l'espace privé de SPIP.

Comme SPIP n'autorise pas les visiteurs à rentrer dans l'espace privé, le lien d'authentification ne doit pas renvoyer sur l'espace privé de SPIP mais doit renvoyer sur la page du site public.
Un exemple se trouve dans le squelette de SPIP 3.0 : squelettes-dist/inclure/footer.html

cicas : plugin d'authentification avec CAS pour SPIP

Merci pour ce plugin,
il fonctionne très bien si c'est un auteur, en revanche si dans spip 3 je le passe en visiteur (authentifié par cicas) je tombe sur la page cicas_erreur3 (« Erreur de connexion :Problème d'accès à l'espace privé »).
Si ce visiteur (même login) s'authentifie par le menu spip, il a accès a mon intranet.
Avez vous une idée ?
Merci d'avance
MG

cicas : plugin d'authentification avec CAS pour SPIP

Bonjour,

D'abord bravo et merci pour votre plugin et sa documentation.

je rebondi sur la question de Pierre car elle soulève une autre question : à qui s'adresse cette solution ?

Serait-il juste de dire que l'authentification avec CAS s'adresse d'abord à des structures ayant les moyens (ou le temps) d'installer, configurer et surtout maintenir son propre serveur CAS ?
Si oui, avez-vous un retour d'expérience à fournir à ce sujet ?

merci merci

cicas : plugin d'authentification avec CAS pour SPIP

Bonjour,
Je vais poser une question probablement stupide mais il faut que quelqu'un se dévoue ... Après avoir tout lu, il me manque une brique : le serveur ! De toute cette lecture et de la lecture des commentaires, je n'arrive pas à comprendre ... j'ai l'impression que pour tous ces utilisateurs, le serveur CAS est existant (pas mal d'universités d'après les url ...), mais je ne vois nulle part mentionné ou est ce serveur, qui le gère ... c'est un équipement spécifique à ces établissements ? un serveur central à Yale (bonjour la NSA :-) ? chacun s'installe son serveur ? une piste ?
J'avais prévenu que c'était une question pas très smart ...
Pierre

cicas : plugin d'authentification avec CAS pour SPIP

Le client PHP pour CAS (phpCAS), qui est livré avec le plugin, offre la possibilité d'utiliser une adresse pour le serveur CAS et une autre adresse lors de la validation du ticket, c'est-à-dire lorsque SPIP va interroger le serveur CAS.

La version 1.6 du plugin CICAS permet d'exploiter cette possibilité, via trois variables à ajouter dans le fichier de paramétrage. Ces trois variables sont décrites dans l'annexe du document de description du plugin, qui a été mise à jour corrélativement.

cicas : plugin d'authentification avec CAS pour SPIP

Résumé du mail du 18/12/2013 11h03 :
Serait-il possible que CICAS distingue l'URL d'authentification, vers laquelle il redirige l'internaute pour s'authentifier, et l'URL de confirmation, utilisée pour les échanges entre SPIP et le serveur CAS ?

cicas : plugin d'authentification avec CAS pour SPIP

Il ne faut pas modifier le plugin CICAS. Le pipeline de CICAS doit être utilisé par un autre plugin.

cicas : plugin d'authentification avec CAS pour SPIP

J'ajoute les détails à ma réponse du haut qui n'ont pas été pris en compte désolé.

< pipeline>
< nom>login< /nom>
< inclure>inc/cicas_login.php< /inclure>
< /pipeline>

cicas : plugin d'authentification avec CAS pour SPIP

(Re)Bonjour,

Merci pour la réponse rapide.
Après avoir lu votre lien (et les autres articles), j'ai donc tenté d'ajouter un pipeline dans "plugin.xml" du cicas mais sans succès.
J'ai du mal à déterminé le nom du pipeline dans ce cas-là.

Voici mon entrée à rajouter dans plugin.xml :
«

login
inc/cicas_login.php
»

J'ai peut-être probablement sauté une étape.

Merci d'avance pour vos explications.

cicas : plugin d'authentification avec CAS pour SPIP

Pour les besoins spécifiques, le plugin offre un pipeline : pipeline('cicas', array('args' => $ci_cas_userid,'data' => array()));.

Ce pipeline est déclenché lorsqu'une personne s'est authentifiée avec succès sur CAS, mais qu'elle ne figure pas dans SPIP.

Le plugin spécifique qui utilisera ce pipeline, recevra l'identifiant CAS de la personne dans $param['args'] (par exemple son email), pourra faire ce qu'il souhaite (par exemple créer la personne dans SPIP avec le statut visiteur) et devra renvoyer au pipeline dans $param['data'] un tableau PHP contenant les caractéristiques de l'auteur, par exemple : array('id_auteur'=>15,'statut'=>'6forum').

Pour savoir comment utiliser un pipeline, il convient de se reporter à la documentation de SPIP : http://programmer.spip.net/Utiliser-les-pipelines

cicas : plugin d'authentification avec CAS pour SPIP

Bonjour,

Y'a-t-il la possibilité de configurer le plugin pour qu'un utilisateur s'authentifiant par le CAS mais n'ayant pas de compte SPIP soit ajouter automatiquement avec le statut "visiteur" dans SPIP ?

Actuellement une personne n'ayant pas de compte SPIP et voulant se connecter par le CAS obtient le message suivant :

« Vous avez bien été authentifié par le serveur CAS, mais votre adresse électronique (ou votre login) est introuvable dans SPIP. Veuillez contacter le webmestre du site. »

J'ai vu dans vos précédents commentaires qu'un pipeline peut être activé pour les besoins spécifiques. Comment peut-on l'activer ?

Merci d'avance pour la réponse.

SPIP 2.1.23
CICAS 1.32

cicas : plugin d'authentification avec CAS pour SPIP

Ce problème semble concerner SSL :
https://groups.google.com/forum/#!topic/jasig-cas-user/MiqhT8tfGcs

cicas : plugin d'authentification avec CAS pour SPIP

J'ai déjà fait ça mais sans que ça donne de résultat.

En fait, sur le fichier de log j'ai trouvé ces ligne un peu bizarre :

F75B .could not open URL 'https://192.168.48.139:8443/cas/serviceValidate?service=http%3A%2F%2F192.168.48.20%2Fspip%2Fspip.php%3Fpage%3Dlogin%26url%3D%252Fspip%252Fecrire%252F%26cicas%3Doui&ticket=ST-13-4lPgnLEEUIonvQG50SMI-cas01.example.org' to validate (CURL error #35 : error:14077438:SSL routines:SSL23_GET_SERVER_HELLO:tlsv1 alert internal error) [Client.php:2752]

Peuvent-elles être la source du problème ?

cicas : plugin d'authentification avec CAS pour SPIP

Ce message est généré par le client phpCAS.
Pour en savoir plus, une solution consiste à activer la trace de phpCAS.
Pour cela :
- dans le fichier cicas/inc/cicas_login.php, ligne 34 supprimer les // devant phpCAS ::setDebug() ;
- tenter une authentification
- regarder dans le répertoir tmp de Linux (pas celui de SPIP) le contenu du fichier phpCAS.log.
A noter qu'on peut personnaliser l'emplacement du fichier de log : phpCAS ::setDebug (« /chemin_vers/fichier.log ») ;

cicas : plugin d'authentification avec CAS pour SPIP

En fait, il me renvoi l'adresse suivante :
http://192.168.48.20/spip/spip.php?page=login&url=%2Fspip%2Fecrire%2F&cicas=oui&ticket=ST-13-4lPgnLEEUIonvQG50SMI-cas01.example.org

cicas : plugin d'authentification avec CAS pour SPIP

Je n'arrive pas à faire marcher l'authentification SSO avec CICAS.
En fait, j'utilise SPIP 2.1.23 et j'ai installé le plugin CICAS fourni dans cet article.

La redirection se fait normalement vers le serveur cas, mis sur un serveur à part mais sur le même réseau. Je renseigne mon login et mot de passe de mon Contrôleur de domaine mais je reçois le fameux message : « Authentification CAS infructueuse ».

Par contre j'ai bien modifier le fichier inc/php_login en supprimant les deux //.

Merci de m'aider !

cicas : plugin d'authentification avec CAS pour SPIP

Bonjour,
C'est pour des raisons de sécurité, qu'il est nécessaire que la personne soit déjà présente dans SPIP.

Pour information, le plugin CIIMPORT permet d'importer en masse des auteurs dans SPIP.

Pour les besoins spécifiques, le plugin offre un pipeline : pipeline('cicas', array('args' => $ci_cas_userid,'data' => array()));.

Ce pipeline est déclenché lorsqu'une personne s'est authentifiée avec succès sur CAS, mais qu'elle ne figure pas dans SPIP.

cicas : plugin d'authentification avec CAS pour SPIP

Bonjour et merci pour ce plugin.
Serait-il possible que le plugin « respecte les paramétrages » choisis par le webmestre ? A savoir qu'une personne qui se connecte pour la première fois est inscrite(ou non) comme visiteuse ?
Pour l'instant pour qu'une authentification CAS fonctionne il faut que la personne soit déjà présente dans SPIP.
Ou peut-être serait-il possible en cas d'échec de l'authentification CAS de lui proposer une authentification LDAP ... ce qui réaliserait l'inscription permattant l'authentification CAS lors d'une connexion ultérieure ?

Merci d'avance pour votre réponse.

cicas : plugin d'authentification avec CAS pour SPIP

Bonjour,
effectivement, le fait de voir les log m'a fait comprendre que le problème venait d'un truc à la fois simple et stupide.
Nous avons changer le routeur dans notre boite et (je passe les détails), la VM n'avait plus de connection internet. Elle fonctionnait bien sur le réseau interne mais pas de connection vers l'extérieur, donc pas de communication avec le sso.
Rétablissement de la connection et dnoc SSO qui fonctionne sans problème.
Encore merci pour ton aide, étant autodidacte dans le domaine, j'ai des réflexes qui ne sont pas encore établis.
Bonne journée.

cicas : plugin d'authentification avec CAS pour SPIP

Super.
Merci beaucoup. Je ne savais vraiment pas comment aborder le problème. Je ne manquerais pas de signaler si je m'en sors.

cicas : plugin d'authentification avec CAS pour SPIP

Ce message est généré par le client phpCAS.
Pour en savoir plus, une solution consiste à activer la trace de phpCAS.
Pour cela :
- dans le fichier cicas/inc/cicas_login.php, ligne 34 supprimer les // devant phpCAS::setDebug() ;
- tenter une authentification
- regarder dans le répertoir tmp de Linux (pas celui de SPIP) le contenu du fichier phpCAS.log.
A noter qu'on peut personnaliser l'emplacement du fichier de log : phpCAS::setDebug (« /chemin_vers/fichier.log ») ;

cicas : plugin d'authentification avec CAS pour SPIP

Alors le spip c'est le 3.0.5 et la version cicas 1.44.

Le spip est sur un serveur debian 6 sur une VM sur un serveur interne. Je n'ai pas de problème pour tout le reste.
Le sso est sur un serveur externe. Le sso fonctionne bien avec d'autre site et est géré par quelqu'un d'autre, mais ce n'est pas du côté du sso le problème.
Lorsque, après connexion on revient sur le site (url = http://192.168.1.18/spip.php?page=login&url=%2Fecrire%2F&cicas=oui&ticket=ST-1360765820r812BABB8FD6F94BF45) j'ai un message d'erreur « format spip » (voir image ci-jointe)

Merci d' t'intéresser au problème.

cicas : plugin d'authentification avec CAS pour SPIP

Quelle est la version de CICAS utilisée ? Quelle est la version de SPIP utilisée ?
Lors de l'authentification, à quel moment cela ne fonctionne pas et quel est le résultat ?

cicas : plugin d'authentification avec CAS pour SPIP

La version du 13/02/2013, qui figure dans cette page, corrige ce problème qui se produit lorsque plusieurs auteurs possèdent la même adresse électronique dans SPIP.

cicas : plugin d'authentification avec CAS pour SPIP

Mail du 12/02/2013 17h59 :
L'authentification CAS s'appuie sur l'adresse mél. Lorsque plusieurs auteurs spip possèdent la même adresse mél, la documentation indique que l'auteur retenu est celui ayant le plus de droits. Or sur un site qui comporte 2 auteurs ayant la même adresse, l'un étant administrateur et l'autre visiteur, il arrive que ce soit l'auteur visiteur qui est retenu.

cicas : plugin d'authentification avec CAS pour SPIP

Merci pour cette confirmation que cela fonctionne. Je sais au moins que cela est possible.

cicas : plugin d'authentification avec CAS pour SPIP

Bonjour,
Sur mon serveur de test, avec un site sous SPIP 3.0.5 et le plugin CAS version 1.44, cela fonctionne très bien.

cicas : plugin d'authentification avec CAS pour SPIP

Bonjour,
j'ai installé le plugin cicas sur un spip 3... mais ça ne fonctionne pas ! Je suis sur des paramètres (les mêmes que sur un spip de version antérieur), mais rien n'y fait.
Y-a-t'il une modification à faire sur le serveur pour le plugin fonctionne (bibliothèque à ajouter ou service apache à activer) ?
Merci d'avance.

cicas : plugin d'authentification avec CAS pour SPIP 2.0

Bonjour,
Seules les personnes qui ont un compte dans SPIP (administrateur, rédacteur ou visiteur) peuvent s'identifier via CICAS.

cicas : plugin d'authentification avec CAS pour SPIP 2.0

Bonjour,
Je souhaite protéger l'accès de certaines pages publiques.
après authentifiction réussie à mon serveur CAS, je ne suis pas redirigée vers mon article, j'ai ce message suivant :

« Vous avez bien été authentifié par le serveur CAS, mais votre adresse électronique (ou votre login) est introuvable dans SPIP. Veuillez contacter le webmestre du site. »

Je ne souhaite pas référencer les visiteurs, est-ce possible ?
Merci d'avance

cicas : plugin d'authentification avec CAS pour SPIP 2.0

Bonjour,
Un problème identique m'a été signalé. Il provenait du fait que le nom des fichiers était transformé en minuscules lors du transfert FTP sur le serveur.

cicas : plugin d'authentification avec CAS pour SPIP 2.0

a) Le client phpCAS nécessite effectivement certains prérequis (par exemple CURL). J'ai modifié le présent article pour le signaler.

b) Pour des questions de sécurité, je ne suis pas d'accord pour mettre ce plugin sur la zone. En revanche, si l'on me donne un fichier de traduction en espagnol, je l'ajouterais au plugin.

c) Pour les besoins spécifiques, le plugin offre un pipeline : pipeline('cicas', array('args' => $ci_cas_userid,'data' => array())) ;

cicas : plugin d'authentification avec CAS pour SPIP 2.0

Merci pour le plugin, il fonctionne très bien.

Un commentaire : il est nécessaire d'installer le support curl pour php, sinon la connexion ne marche pas, et sans donner d'erreur. Pour installer sous Debian/Ubuntu :

sudo aptitude install php5-curl
sudo service apache2 restart

Une question, êtes vous d'accord pour mettre le plugin sur la zone, pour qu'on puisse contribuer au code ? En particulier, je voudrais le traduire à l'espagnol.

Et sinon, une évolution qui me paraît intéressante serait de créer un auteur dans la base de SPIP s'il n'existe pas encore, de la même façon que pour « LDAP » :http://www.spip.net/fr_article1910.html.

cicas : plugin d'authentification avec CAS pour SPIP 2.0

Merci vraiment pour votre réactivité.
En effet sur la version 1.41 de CICAS, j'étais obligé de mettre un chemin pour le répertoire du serveur CAS et je mettais donc / .
Maintenant en ne mettant rien, ce qui est possible avec la version 1.42, cela marche. Le problème est réglé.

Bien cordialement,
Vincent

cicas : plugin d'authentification avec CAS pour SPIP 2.0

Bonjour,
Une piste consisite à essayer la nouvelle version CICAS 1.42 jointe à cet article et de ne rien mettre dans « dossier CAS ». Merci de m'indiquer si cela règle le problème.
Cordialement
Equipement

cicas : plugin d'authentification avec CAS pour SPIP 2.0

Bonjour,

En effet l'adresse ne fonctionne bien qu'avec un seul slash.
Mais en fait le problème est que lorsque j'utilise l'authentification centralisée avec Cicas l'adresse d'authentification proposée en comporte deux ce qui impose d'en enlever un manuellement.
J'ai pourtant rempli correctement les informations demandées concernant les paramètres du serveur cas en question (nom du serveur, dossier CAS : / , port utilisé : 443).
J'ai aussi fait cela sur une installation vierge de SPIP pour mettre de côté d'éventuels interactions avec d'autres plugins, je rencontre le même problème.

Je suis donc bloqué avec l'utilisation de ce plugin et je suis surpris d'être le seul à rencontrer cette difficulté.

Merci d'avance pour vos réponses qui pourraient résoudre ce problème.
Bien cordialement,
Vincent

SPIP 2.1.10
CICAS 1.41

cicas : plugin d'authentification avec CAS pour SPIP 2.0

Bonjour,
L'adresse https://cas-uds.grenet.fr/login?service=... fonctionne avec un seul slash avant « login ».
La RFC3986, qui spécifie la syntaxe des URL, mentionne le double slash uniquement au début de l'adresse.
Cordialement
Equipement

cicas : plugin d'authentification avec CAS pour SPIP 2.0

Bonjour,

J'ai mise en place le plugin CICAS (version 1.41) mais je rencontre le problème suivant après paramétrages :
l'adresse URL de mon service d'authentification comporte deux // ( ici en gras) :

https://cas-uds.grenet.fr//login?service=http%3A%2F%2Fedytem.univ-savoie.fr%2Fspip.php%3Fpage%3Dlogin%26url%3D%252Fecrire%252F%26cicas%3Doui

et je suis donc obligé d'en enlever un pour que mon authentification fonctionne.

Avez-vous eu ce problème et avez-vous une idée pour le résoudre ?

Merci d'avance pour vos réponses,
Bien cordialement,
Vincent

SPIP 2.1.10
CICAS 1.41

cicas : plugin d'authentification avec CAS pour SPIP 2.0

Merci - testé, même problème :(
Je cherche et vous tiens au courant.

cicas : plugin d'authentification avec CAS pour SPIP 2.0

Je n'arrive pas à reproduire le problème avec CICAS v1.4 sous SPIP 3.0.1 [19436].

J'ai noté que la version 1.3.1 de phpCAS, qui date du 26/04/2012, « fix a __autoload conflicts in the autoloader ». Aussi, j'ai intégré la version 1.3.1 de phpCAS dans la version 1.41 de CICAS (jointe à cet article).

cicas : plugin d'authentification avec CAS pour SPIP 2.0

Oups, copier/coller incomplet :(

- Les droits d'écriture sont ok,
- Des Spip2x fonctionnent avec les mêmes paramètres / configuration.

cicas : plugin d'authentification avec CAS pour SPIP 2.0

Sur une install fraîche SPIP 3.0.1 [19436] :

exception 'Exception' with message 'Class CAS_Client could not be loaded from CAS/Client.php, file does not exist (include_path=".:/Web/apps/php5/lib/php:/Web/data/htdocs/spiptest2") [CAS_autoload]' in /Web/data/htdocs/spiptest2/plugins/cicas/CAS/Autoload.php:44 Stack trace: #0 [internal function]: CAS_autoload('CAS_Client') #1 /Web/data/htdocs/spiptest2/plugins/cicas/CAS.php(344): spl_autoload_call('CAS_Client') #2 /Web/data/htdocs/spiptest2/plugins/cicas/inc/cicas_login.php(44): phpCAS::client('2.0', 'apps.univ-lr.fr', 443, '/cas/') #3 /Web/data/htdocs/spiptest2/ecrire/inc/utils.php(951): include_once('/Web/data/htdoc...') #4 /Web/data/htdocs/spiptest2/ecrire/inc/utils.php(90): find_in_path('inc/cicas_login...', '', true) #5 /Web/data/htdocs/spiptest2/plugins/cicas/cicas_pipeline.php(32): include_spip('inc/cicas_login') #6 [internal function]: cicas_recuperer_fond(Array) #7 /Web/data/htdocs/spiptest2/ecrire/inc/utils.php(114): call_user_func('cicas_recuperer...', Array) #8 /Web/data/htdocs/spiptest2/tmp/cache/charger_pipelines.php(908): minipipe('cicas_recuperer...', Array) #9 /Web/data/htdocs/spiptest2/ecrire/inc/utils.php(151): execute_pipeline_recuperer_fond(Array) #10 /Web/data/htdocs/spiptest2/ecrire/inc/utils.php(2060): pipeline('recuperer_fond', Array) #11 /Web/data/htdocs/spiptest2/ecrire/public/assembler.php(316): recuperer_fond('formulaires/log...', Array, Array) #12 /Web/data/htdocs/spiptest2/ecrire/public/assembler.php(298): inclure_balise_dynamique(Array, true, Array) #13 /Web/data/htdocs/spiptest2/ecrire/public/evaluer_page.php(43) : eval()'d code(61): inserer_balise_dynamique(Array, Array) #14 /Web/data/htdocs/spiptest2/ecrire/public/evaluer_page.php(43): eval() #15 /Web/data/htdocs/spiptest2/ecrire/public.php(151): include('/Web/data/htdoc...') #16 /Web/data/htdocs/spiptest2/spip.php(24): include('/Web/data/htdoc...') #17 {main}

cicas : plugin d'authentification avec CAS pour SPIP 2.0

La version 1.4 du plugin apporte l'utilisation de la version 1.3 du client phpCAS. Elle apporte également la compatibilité avec SPIP 3.

cicas : plugin d'authentification avec CAS pour SPIP 2.0

Ca fonctionne dans tous les cas :) , merci pour le temps que tu as consacré.

cicas : plugin d'authentification avec CAS pour SPIP 2.0

Cela relève de l'élaboration des squelettes. Exemple de piste :

[(#SESSION{id_auteur}|?{' '}|oui) [(#TITRE|supprimer_numero)]
]
[(#SESSION{id_auteur}|?{'',' '}|oui)
 Intranet 
]