최신 게시글(JAVA)

HOME > JAVA > 최신 게시글(JAVA)

2017.08.19 / 12:56

JOSSO 1.8.0 설치: 오픈소스 무료 SSO 소프트웨어, Single Sign-On

디팟

JOSSO Gateway 설치

Gateway는 뭔가 ‘통로’가 되는 도구로서, 인증 서버의 모듈을 의미한다. 대비되는 개념으로는 Agent가 있다.

윈도 커맨드 창(cmd)을 열어, cd c:\tools\josso-1.8.0\bin 으로 가서, josso-gsh 실행

잠깐, 설치하려는 target인 tomcat의 버전을 확인. xampp 1.7.2 패키지의 add-on인 tomcat 버전은, 6.0.20이다.

따라서, 위의 josso-gsh 쉘에서 실행해야 할 설치 명령은 아래와 같다.

gateway install --target "$TOMCAT_HOME" --platform tc60
exit

순진하게 그대로 하면, 다음과 같은 에러를 보게 된다.

당연히, $TOMCAT_HOME과 같은 환경변수는 설정되어 있지도 않고, 더구나 현재 설치하려는 시스템은 ‘윈도’이므로 위와 같은 게 먹히지도 않는다. 그냥, 직접 지정해주자.

애석하게도, “c:\tools\xampp\tomcat” 과 같이 지정해주면, 위와 같은 에러가 난다. ‘경로’를 표시해주는 방식을 ‘유닉스 스타일’로 바꿔주자.

뭔가 꽤 많은 파일들이, 곳곳에 설치된다. 훗날을 위해, 잘 기억해두는 게 좋겠다.

Install JOSSO Gateway Configuration
Generating    ['Remember Me' AES key]                                     [OK
] Created file:///Z:/Temp/josso-auth.properties
Installing    [josso-auth.properties]                                     [OK
] Created file:///c:/tools/xampp/tomcat/lib/josso-auth.properties
Using         ['memory' default configuration]                            [OK
] Installing josso-gateway-memory-stores.xml as josso-gateway-stores.xml
Installing    [josso-credentials.xml]                                     [OK
] Created file:///c:/tools/xampp/tomcat/lib/josso-credentials.xml
Installing    [josso-gateway-auth.xml]                                    [OK
] Created file:///c:/tools/xampp/tomcat/lib/josso-gateway-auth.xml
Installing    [josso-gateway-config.xml]                                  [OK
] Created file:///c:/tools/xampp/tomcat/lib/josso-gateway-config.xml
Installing    [josso-gateway-db-stores.xml]                               [OK
] Created file:///c:/tools/xampp/tomcat/lib/josso-gateway-db-stores.xml
Installing    [josso-gateway-jmx.xml]                                     [OK
] Created file:///c:/tools/xampp/tomcat/lib/josso-gateway-jmx.xml
Installing    [josso-gateway-ldap-stores.xml]                             [OK
] Created file:///c:/tools/xampp/tomcat/lib/josso-gateway-ldap-stores.xml
Installing    [josso-gateway-memory-stores.xml]                           [OK
] Created file:///c:/tools/xampp/tomcat/lib/josso-gateway-stores.xml
Installing    [josso-gateway-memory-stores.xml]                           [OK
] Created file:///c:/tools/xampp/tomcat/lib/josso-gateway-memory-stores.xml
Installing    [josso-gateway-selfservices.xml]                            [OK
] Created file:///c:/tools/xampp/tomcat/lib/josso-gateway-selfservices.xml
Installing    [josso-gateway-web.xml]                                     [OK
] Created file:///c:/tools/xampp/tomcat/lib/josso-gateway-web.xml
Installing    [josso-users.xml]                                           [OK
] Created file:///c:/tools/xampp/tomcat/lib/josso-users.xml

Deploy JOSSO Gateway Application
Installing [] [OK
] Created file:///c:/tools/xampp/tomcat/webapps/josso
Unjar [josso-gateway-web-1.8.0.war] [OK
] file:///c:/tools/xampp/tomcat/webapps

다소 쫌 특이하게도, josso-*-xml 설정파일들이 tomcat/lib 폴더에 깔린다.

그리고, 이건 내 컴퓨터만의 특이사항인데, 램디스크를 TEMP 폴더로 사용하고 있어서 인지,

josso-auth.properties 파일이 Z:/TEMP 폴더에 생겼다. 이거 나중에 모르고 지워질 수도 있는데, 어째, 쬐금, 불안하다. 아, 다시 자세히 보니, 똑같은 파일을 c:/tools/xampp/tomcat/lib/josso-auth.properties 로도 이미 가지고 있다. 걱정안해도 되겠다.

설정파일 이외에 주요 프로그램들은 모두 webapps/josso 라는 폴더에 모아져 있다.

자, tomcat을 재시동하고, 아래 URL을 방문해보자.

http://localhost/josso/signon/usernamePasswordLogin.do

http://localhost:8080/josso/signon/login.do

기본으로 설정되어 있는 사용자 아이디와 패스워드는 아래와 같다. 참고로, 이 값들은, josso-credentials.xml 에 들어있고, 상세정보는 josso-users.xml 에 들어있다.

user1	user1pwd
user2	user2pwd
tomcat	tomcatpwd

위 페이지에 입력하고 ‘Login’ 버튼을 누르면, 짜잔~

혹시나 해서, 현재 로그인되어 있는 페이지에서 브라우저 쿠키값을 아래와 같이 확인해봤다. JOSSO Session 값과는 다르다.

PHP JOSSO Agent 설치

설치방법은 다소 좀 복잡하다. 우선, 소스에 있는 압축파일을 열어본다. C:\Tools\josso-1.8.0\dist\agents\src\josso-php-agent-1.8.0-.zip . 폴더가 두 개 있다. 각각 다르게 설치해준다.

josso-php-inc	agent 프로그램 기본 클래스, 설정파일	php.ini include_path가 설정된 폴더에 압축해제하거나, 아예 include_path에 넣어준다.
josso-php-partnerapp	agent 프로그램 기본 모듈, 실제 사용	xampp/htdocs/josso-php-partnerapp 폴더로 압축해제

실제 배치된 파일들의 위치는 아래와 같다.

include_path = ".;C:\Tools\xampp\php\PEAR;C:\Tools\phpLibs"

C:\Tools\phpLibs\josso-php-inc

C:\Tools\xampp\htdocs\josso-php-partnerapp

josso-login.php
josso-logout.php
josso-security-check.php

약간의 편집작업이 필요하다. 위의 josso-php-partnerapp 폴더의 파일들을 모두 열어서 아래 행을 프로그램 첫 부분에 넣어준다.

include_once("josso-php-inc/josso.php");

자, 이제, 아래 URL을 열어본다. 심각한 에러 발생!

http://localhost/josso-php-partnerapp/josso-login.php

Fatal error: Cannot redeclare class soapclient

josso-php-inc에 포함된 nusoap이 문제다. soapclient 라는 클래스가 PHP 5.x 버전 내장 함수와 충돌한다. 해결책은?

nusoap 파일에서 soapclient 클래스를 soapclientW로 고치라는 조언이 있다. [from: nusoap – Cannot redeclare class soapclient « blo9]
‘soapclientnusoap’로 클래스 이름을 바꾼 패키지. http://code.google.com/p/nusoap-for-php5/
php.ini에서 php_soap.dll 로딩을 코멘트 처리하는 방법도 있다.

다소, 욱하지만, nusoap 파일들을 모두 열어서, 이름을 바꾸기로 하자.

JOSSO 실험: 동일 도메인 localhost

다시, 페이지를 열어본다.

http://localhost/josso-php-partnerapp/josso-login.php

위의 주소창을 잘 살펴보면, 뭔가 길게 자동으로 바뀌었음을 알 수 있다. 일단, tomcat으로 이동했고, 로그인 입력 화면으로 바뀌었다.

http://localhost:8080/josso/signon/login.do?josso_back_to=http://localhost/josso-php-partnerapp/josso-security-check.php&josso_partnerapp_host=localhost

사용자 아이디와 패스워드를 입력: user1 user1pwd user2 user2pwd 아무거나 하나. 다시, 원래의 사이트로 되돌아 왔다. 발급받은 SSO Session 아이디는 아래와 같다.

위 페이지에서 쿠키값을 조사해보면 아래와 같다.

JSESSIONID=108F74E8CEE37C7F7723B5ACC25BB516; PHPSESSID=e1p5ar37it63ouidebvvc557o2; JOSSO_SESSIONID=2A9C149F0644E76B97AB5DBC20ECD69B

현재, IDP(Identity Provider, 인증서버)와 SP(Service Provider, 서비스 서버, partnerapp 서버)가 모두 localhost라는 도메인을 가지고 있기 때문에, JSESSIONID, PHPSESSID, JOSSO_SESSIONID 모두 다 보인다.

쿠키 정보 추적을 위해, 좀더 편리한 firefox를 사용해보자.

http://localhost/josso-php-partnerapp/josso-login.php

로그인 완료후에 되돌아온 페이지, 새로 추가된 쿠키

아참, 여기서 궁금증. 어떻게 josso gateway는 php partnerapp에게 요청을 되돌려 줄 때, 원래 시작된 페이지 URL이 아닌 http://localhost/josso-php-partnerapp/josso-security-check.php 로 되돌려 준다는 걸 알고 있는 걸까? 그리고, josso_assertion_id=0B7ED2FE61F361EB 이건 뭘까?

우선, 소스 코드를 좀 보자.

josso-security-check.php

include_once("josso-php-inc/josso.php");

// Resolve the assertion :

$assertionId = $_REQUEST['josso_assertion_id'];
$backToUrl = $_SESSION['JOSSO_ORIGINAL_URL'];

$ssoSessionId = $josso_agent->resolveAuthenticationAssertion($assertionId);

// Set SSO Cookie ...
setcookie("JOSSO_SESSIONID", $ssoSessionId, 0, "/"); // session cookie ...
$_COOKIE['JOSSO_SESSIONID'] = $ssoSessionId;

if (isset($backToUrl)) {
forceRedirect($backToUrl, true);
}

// No page is stored, just display this one ...
// Get current sso user information,
$user = $josso_agent->getUserInSession();

'josso_assertion_id'는 josso gateway에 인증이 확실한지를 다시 확인해보는 기능인 듯. 2번째 호출하면 금방 값의 유효성이 증발한다.

그리고, $_SESSION['JOSSO_ORIGINAL_URL']에 값이 설정되어 있으면, 원래의 페이지로 넘어갈 수 있다는 의미인 듯... 이건 어디서 설정해주는 걸까? 알았다.

JOSSO PHP 코드를 들여다 보니, 뭔가를 좀 알겠다.

josso.php

이를테면, josso-security-check.php 가 gateway로부터의 통로가 되는 셈이다. 이 모듈을 통해서 ssoSessionId를 받아서, 서비스 서버에 쿠키로 심어주는 역할이다. 이 때, ssoSessionId 를 그냥 url 변수로 받으면 외부에 그대로 노출되어 위험하기 때문에, 'josso_assertion_id’ 를 통해서 받아서 그걸 입력으로 해서 gateway 서버와 soap 통신을 해서 ssoSessionId 받는다. 일종의 Injection을 수행해주는 모듈이다. 아마도 이 기능 때문에, cross domain sso가 가능한 것인 듯 싶다.

예제로 주어진 파일들이 josso_current_url 이란 변수를 입력으로 받아서 처리해주기 때문에...

간단하게 값을 덤프해주는 페이지를 하나 만들자. [아랫 부분에 sample로 제공되는 예제가 더 쉽다. 굳이 이 부분은 만들지 않아도 된다.]

dump.php

<?php

include_once("WLib/Utils.php");

Utils::dump($_REQUEST, '$_REQUEST');
Utils::dump($_GET, '$_GET');
Utils::dump($_POST, '$_POST');
Utils::dump($_SESSION, '$_SESSION');
Utils::dump($_COOKIE, '$_COOKIE');

WLib/Utils.php

class Utils
{

    /**
     * mimic Zend_Debug::dump()
     * @param mixed variable anything like mixed, array, object
     * @param string variable name and the other comments
     * @return void
     */
    public static function dump($var, $title='')
    {
        ob_start();
        echo "\n";
        if (!empty($title)) {
            $backTraces = debug_backtrace();
            $file = basename($backTraces[0]['file']);
            $line = $backTraces[0]['line'];
            if (isset($backTraces[1]['function'])) {
                $func = $backTraces[1]['function'];
            } else {
                $func = "";
            }
            echo "{$title} : {$func}() of {$file} : {$line} line\n";
        }
        var_dump($var);
        $out = ob_get_contents();
        ob_end_clean();
        if (php_sapi_name() == 'cli' || extension_loaded('xdebug')) {
            // Console or xdebug
            echo $out;
        } else {
            // Web
            $out = str_ireplace('</textarea>', '< / textarea >', $out);
            $rows = 1 + substr_count($out, "\n");
            echo "<textarea rows='" . $rows . "' style='width: 100%'>\n";
            echo $out;
            echo "</textarea>\n";
        }
    }

}

http://localhost/josso-php-partnerapp/josso-login.php?josso_current_url=http://localhost/josso-php-partnerapp/dump.php

http://localhost/josso-php-partnerapp/josso-logout.php?josso_current_url=http://localhost/josso-php-partnerapp/dump.php

로그인을 하게 되면, 아래 페이지로 되돌아온다. 그런데, 특이한 게 있다.

$_GET과 $_POST에는 값이 없음에도 불구하고, $_REQUEST에는 값이 버젓이 들어있다. 이거 언제 누가 넣은걸까? 쿠키가 설정되면, 자동으로 설정되는 것인 듯...

josso-security-check.php 중간에 잠깐 흐름을 끊어서 출력해봄.

JOSSO 실험: 다른 도메인 cross domain

만약, 인증서버와 서비스서버의 도메인이 서로 다르면 어떻게 될까? 실제 도메인을 등록해서 실험해도 좋겠지만, 간단하게 로컬에서만 실험할 것이므로, hosts 파일을 열어서 설정한다.

windows > system32 > drivers > etc > hosts
C:\WINDOWS\system32\drivers\etc\hosts

그리고, 실험을 좀더 간단하게 하기 위해,,, sample.php 페이지를 만든다. 소스 코드 압축파일 풀어놓은 곳에서 찾아보면,,,

C:\Tools\josso-1.8.0\dist\samples\apps\josso-partner-php-1.8.0-.zip 이라고 있다. 이 파일들을 htdocs/josso-php/ 폴더에 풀어놓자. [josso 라고 짧게 이름을 주면 좋겠지만, apache와 tomcat을 연동시켜 놓은 상태라면, tomcat에 이미 그 이름의 폴더가 있다. tomcat이 이긴다. php 파일이 없다고 나온다.]

index.php

sample-ask-login.php

두 파일 모두 편집기에서 열어서, 첫줄에 아래와 같이 추가해준다. josso agent 모듈의 경로를 지정해주는 일이다.

http://aaa.com/josso-php/ 제공된 링크를 눌러서 로그인하면 로그아웃을 위한 링크가 나온다. 누르면, 다시 로그인 링크 나오고...

도메인을 바꿔서 접속해보면, aaa.com 에서 이미 로그인 된 상태였더라도, bbb.com에서는 새로 로그인하라는 화면이 뜬다.

이것은, 정확히 ‘쿠키’가 없기 때문이다. aaa.com 에서는 이미 로그인했었으므로 ‘쿠키’가 있지만, bbb.com에서는 아직 ‘쿠키’가 없다. 로그인 링크를 눌러보자. 엇, 로그인 입력 화면이 안 뜨고 바로 로그인이 된 것으로 나온다. 인증서버엘 갔더니 이미 ‘쿠키’가 있어서, 바로 로그인 상태로 만들어진 것이다. 이 과정을 좀더 눈에 안뜨이게 할 수 있으면, cross domain sso의 최종적 완성이라고 할텐데... 이 예제에서는 반드시 로그인 링크를 눌러야만 한다.

조금 다른 예제를 살펴보자. (브라우저 쿠키를 모두 지우던가, 브라우저를 껐다가 새로 켠다.)

http://aaa.com/josso-php/index.php 이 페이지를 연 다음, 로그인 입력을 하고 로그인한다. 그 다음 아래 URL을 주소창에 그대로 쳐본다.

http://bbb.com/josso-php/sample-ask-login.php

바로 로그인이 되어 있는 상태로 나왔다. 어떻게 이게 가능한 것일까? 비밀은 소스에 있었다.

눈깜짝할 새에 벌써 저쪽 인증서버에 한 번 갔다온 것이다.

http://bbb.com/josso-php/index.php 다시, 이 페이지를 연 다음, 로그아웃을 한다. 그 다음 아래 URL을 주소창에 그대로 쳐본다.

http://bbb.com/josso-php/sample-ask-login.php 아래와 같이 로그인 요청 화면이 뜨면, 맞다.

http://aaa.com/josso-php/index.php 이 주소로 로그인하고, 탭을 열어서 아래 주소를 입력했다가, 다시 로그아웃하고, 아래 주소를 확인해보자.

http://bbb.com/josso-php/sample-ask-login.php 마찬가지로, 로그인되어 있을 때는 화면이 보였다가, 로그아웃 후에는 로그인 요청 화면이 보인다.

실험 결론

이로써, 크로스 도메인 SSO의 기본 기능이 모두 잘 작동한다.

참고문서

http://www.jopenbusiness.com/mediawiki/index.php/JOSSO 한글문서, 설치와 설정에 관한 몹시 자세한 설명.

http://www.josso.org/ JOSSO 공식 사이트. 혹시 약자가 궁금하신 분을 위해. Java Open Single Sign-On = JOSSO.
2009년 8월 현재, 최신 버전은 1.8. 크로스 도메인 기능을 지원함. PHP, ASP, 클라이언트(에이전트) 모듈 제공

< Prev JOSSO 참고자료 - 파일 다운로드

SAML 기반의 web sso 원리 정리 Next >

♥