Laisse moi d'abord te féliciter pour ton choix
CAS est à mon sens la meilleure solution pour l'authentification des utilisteurs accédant à des applications "web based".
Une manière très élégante et sécurisée de faire du SSO pour ce périmètre.
Le seul "revers" de cette approche est que l'utilisation d'un token fait que l'utilisateur ne s'authentifie plus systématiquement à LDAP via chaque application. Dès lors, s'il y a des attributs LDAP qui ne sont pas publiques mais accessibles à l'utilisateur seulement, ça ne marche plus. Mais ce problème peut se contourner en adaptant ses controles d'accès LDAP. Très bon choix donc.
J'imagine bien sur que ton serveur CAS s'appuie sur LDAP (de Zentyal) pour l'authentification...
J'avoue cependant ne pas comprendre ton besoin
: utiliser ton serveur CAS interne pour des applications externes signifie que celles-ci sont configurées pour accéder à ce serveur depuis l'exterieur. Pourquoi pas mais étrange... Dans le cas contraire, pour un utilisateur "dehors", pourquoi vouloir obtenir un token ?
Ceci étant, si tu persistes dans ce sens, CAS s'appuie uniquement sur HTTPS: tu peux donc rediriger tes requêtes d'authentification qui arriver sur l'interface externe vers ce serveur en interne.
Soit par redirection de port (mais je n'aime pas cette solution pour le protocole HTTP) soit via un reverse proxy.
Does it help ?