CAS 6.2.x MFA 主体属性触发器 'memberOf' Active Directory 不工作
CAS 6.2.x MFA Principal Attribute Trigger 'memberOf' Active Directory Not Working
我在 Kubernetes 中使用 CAS 6.2.x 运行 从这个 repo 构建图像。我通过 configmap.I 传递 cas.properties 文件,将其连接到 Active Directory 并能够使用 Username/Password 登录。我现在正在努力使用 Google Authenticator 插件启用 MFA。如果我使用以下命令在全球范围内强制流程,我也可以正常工作:
cas.authn.mfa.global-provider-id=mfa-gauth
当我尝试将此处描述的值用于 Multifactor Authentication: Principal Attribute Trigger 时,它不会将我发送到 MFA 流程。这些是我设置的设置:
cas.authn.ldap[0].principalAttributeList=userPrincipalName,cn,givenName,sAMAccountName,memberOf
cas.authn.mfa.global-principal-attribute-name-triggers=memberOf
cas.authn.mfa.global-principal-attribute-value-regex=ForceMfa
当我登录时,这些是为 memberOf:
返回的值
memberOf
[CN=Group2,OU=MyOu,DC=subdomain,DC=domain,DC=local, CN=Group1,OU=MyOu,DC=subdomain,DC=domain,DC=local, CN=ForceMfa,OU=MyOu,DC=subdomain,DC=domain,DC=local]
Principal
我以 Misagh blog post 为指导。
如果我将触发器和正则表达式更改为 sAMAccountName 和我的用户名,它就会按预期工作。不确定我是否需要更改正则表达式格式来查找组名,或者我是否有其他问题。由于某些原因,正则表达式似乎没有找到匹配项,因为设置似乎对我有用,只是不适用于 memberOf.
谢谢
考虑将其切换为:
cas.authn.mfa.global-principal-attribute-value-regex=.*ForceMfa.+
然后,attach/review your logs org.apereo.cas 在 DEBUG/TRACE 下,这样你就可以看到发生了什么。
我在 Kubernetes 中使用 CAS 6.2.x 运行 从这个 repo 构建图像。我通过 configmap.I 传递 cas.properties 文件,将其连接到 Active Directory 并能够使用 Username/Password 登录。我现在正在努力使用 Google Authenticator 插件启用 MFA。如果我使用以下命令在全球范围内强制流程,我也可以正常工作:
cas.authn.mfa.global-provider-id=mfa-gauth
当我尝试将此处描述的值用于 Multifactor Authentication: Principal Attribute Trigger 时,它不会将我发送到 MFA 流程。这些是我设置的设置:
cas.authn.ldap[0].principalAttributeList=userPrincipalName,cn,givenName,sAMAccountName,memberOf
cas.authn.mfa.global-principal-attribute-name-triggers=memberOf
cas.authn.mfa.global-principal-attribute-value-regex=ForceMfa
当我登录时,这些是为 memberOf:
memberOf
[CN=Group2,OU=MyOu,DC=subdomain,DC=domain,DC=local, CN=Group1,OU=MyOu,DC=subdomain,DC=domain,DC=local, CN=ForceMfa,OU=MyOu,DC=subdomain,DC=domain,DC=local]
Principal
我以 Misagh blog post 为指导。
如果我将触发器和正则表达式更改为 sAMAccountName 和我的用户名,它就会按预期工作。不确定我是否需要更改正则表达式格式来查找组名,或者我是否有其他问题。由于某些原因,正则表达式似乎没有找到匹配项,因为设置似乎对我有用,只是不适用于 memberOf.
谢谢
考虑将其切换为:
cas.authn.mfa.global-principal-attribute-value-regex=.*ForceMfa.+
然后,attach/review your logs org.apereo.cas 在 DEBUG/TRACE 下,这样你就可以看到发生了什么。