使用CAS 实现 SSO.doc

目目目 录录录 0 文档介绍文档介绍 2 0 1 文档目的 2 0 2 文档范围 2 0 3 读者对象 2 0 4 参考文献 2 0 5 术语与缩写解释 2 1 概述概述 3 1 1 背景 3 1 2 环境 3 1 3 下载资源 3 2 配置配置 CAS SERVER 4 2 1 简单配置 4 2 2 数据库验证配置 5 2 3 参数配置 6 2 4HTTPS 验证配置 8 2 5 自定义页面 11 3 配置配置 JAVA CLIENT 14 3 1HTTPS 验证 14 4 配置配置 DOTNET CLIENT 17 5 配置配置 PHP CLIENT 21 6 如何实现单点注销如何实现单点注销 21 Page 2 of 14 0 文档介绍文档介绍 0 1 文档目的文档目的 记录使用CAS实现SSO的过程 0 2 文档范围文档范围 使用CAS实现SSO的过程 0 3 读者对象读者对象 任何有兴趣的家伙 0 4 参考文献参考文献 提示 提示 列出本文档的所有参考文献 可以是非正式出版物 格式如下 标识符 作者 文献名称 出版单位 或归属单位 日期 大部分都是网络上查询的资料 很多 不列举了 大部分都是网络上查询的资料 很多 不列举了 0 5 术语与缩写解释术语与缩写解释 缩写 术语缩写 术语解解 释释 SSO即 Single sign on off 单点登录 退出 CAS全称 JA SIG Central Authentication Service 实现 SSO 的开源项目 Page 3 of 14 1 概述概述 1 1 背景背景 用 CAS 实现单点登录 和 GateIn3 2 集成 1 2 环境环境 Windows JDK1 7 Tomcat6 Jboss AS 6 GateIn3 2 注意 配置好环境变量 1 3 下载资源下载资源 在线下载在线下载 CAS 服务器端 http www jasig org downloads cas 当前最新版本是 3 5 x CAS Server 3 5 0 Release Java Client 客户端 cas client 3 2 1 release zip 其他客户端 net 客户端 net 支持类 php 客户端 php 支持 Tomcat6 http tomcat apache org download 60 cgi GateIn with Jboss http www jboss org gatein downloads 本地获取本地获取 10 161 200 73 software apache tomcat 6 0 32 zip cas server 3 5 0 release zip GateIn 3 2 0 Final jbossas6 zip 注意 同时要下载源代码 部分功能需要修改源代码 重新做包 Page 4 of 14 2 配置配置 CAS SERVER 2 1 安装安装 tomcat 6 Unzip apache tomcat 6 0 32 zip to d tomcat6 2 2 安装安装 GateIn with Jboss6 Unzip GateIn 3 2 0 Final jbossas6 zip to d GateIn 3 2 jbossas6 2 3 配置配置 CAS Unzip cas server 3 5 0 release zip 进入 cas server 3 5 modules 复制 cas server webapp 3 5 war 到 tomcat6 webapps 下 修改名称为 cas war 方便使用 原来的名字太长了 然后启 动 IE 输入 http localhost 8080 cas 检验是否可以访问 如果可以 则输入相同的用户名和 密码 比如 cas cas 测试是否能登录 Stop tomcat 在 tomcat6 webapp 目录下 已经有解压的 cas 目录了 可以删除掉 cas war 后面会修改 cas 目录下的文件 删除 cas war 可以保证不影响 Page 5 of 14 2 5 HTTPS 验证配置验证配置 证书的制作使用 keytool 工具 进入 CMD 输入 keytool 回车测试 如果出现帮助 则 说明环境变量配置正确 如果没有 则配置 PATH 加入 JAVA HOME BIN 下面开始制作 先找好存放证书的位置 1 制作证书 keytool v genkey alias tomcatcas keyalg RSA keystore d tomcatcas keystore validity 36500 这一步是制作密钥库 Page 6 of 14 注意 名字与姓氏要输入主机名或域名或WIN JUOGLFFN9O0 不能随意输入 密码为自己 设定 下面的密码直接回车 可以用changeit 作为密码 java证书的默认密码也是changeit 组织等为 2 导出证书 keytool export alias tomcatcas keystore d tomcatcas keystore file tomcatcas crt 这一步是把密钥库导出为证书文件 在 D 盘 你可以看到如下文件 注意 密码为上一步设定的密码 changeit 3 导入证书到 jvm keytool import alias tomcatcas file tomcatcas crt keystore JAVA HOME jre lib security cacerts 这一步是把证书导入 TOMCAT 如果是在两台不同的机器上 你需要得到服务器的tomcatcas crt 并且 导入的你 client 端的 jvm 中 后面的路径为 TOMCAT 使用的 JRE 路径 JDK7 安装有两个目录 JDK7 和 JRE7 TOMCAT6 只要 JDK7 即可 通常在安装时 也都是默认到 JDK6 这时要输入 JAVA HOME JRE lib security cacerts 这 个地方必须要确认准确 注意 这里需要输入密码 此密码不是前面设定的密码 是系统默认的密码注意 这里需要输入密码 此密码不是前面设定的密码 是系统默认的密码 changeit 4 配置 tomcat6 conf server xml 加入密钥库文件和密码 前面设定的密码 修改为 注意 密钥库文件的要放到安全的位置 不能被随意移动 完成后 可重启 TOMCAT 进行测试 https WIN JUOGLFFN9O0 8443 cas 3 配置配置 JAVA CLIENT 3 1HTTPS 验证验证 1 如果在不同的服务器上 你需要导入服务器的 tomcatcas crt 证书到本地的 jvm 中 tomcatcas crt 是在 cas 服务器上生成的 keytool import alias tomcatcas file tomcatcas crt keystore JAVA HOME jre lib security cacerts 2 把 cas client core 3 2 1 jar commons codec 1 4 jar commons logging 1 1 jar xmlsec 1 3 0 jar 复制到你的 jsp 工程的 WEB INF lib 里 3 修改 web xml 增加下面的代码 CAS Authentication Filter org jasig cas client authentication AuthenticationFilter casServerLoginUrl https WIN JUOGLFFN9O0 8443 cas login Page 8 of 14 serverName http localhost 7070 renew false gateway false CAS Validation Filter org jasig cas client validation Cas10TicketValidationFilter casServerUrlPrefix https WIN JUOGLFFN9O0 8443 cas serverName http localhost 7070 CAS HttpServletRequest Wrapper Filter org jasig cas client util HttpServletRequestWrapperFilter CAS Assertion Thread Local Filter org jasig cas client util AssertionThreadLocalFilter Page 9 of 14 CAS Authentication Filter protected CAS Validation Filter CAS HttpServletRequest Wrapper Filter CAS Assertion Thread Local Filter 4 在页面获得验证返回的用户 用户可以通过以下方式 从 JSP 或 servlet 中获取通过认证的用户名 if request getRemoteUser null out println out println User request getRemoteUser Logout not yet implemented out println out println LOGOUT out println else out println Not logged in 完成以上后 进行测试 出现错误时 请查看 tomcat logs 文件解决 5 参考文档 https wiki jasig org display CASC Configuring the JA SIG CAS Client for Java in the web xml Page 10 of 14 https wiki jasig org display CASC JA SIG Java Client Simple WebApp Sample https wiki jasig org download attachments 13569483 mywebapp war 4 配置配置 GateIn Portal 1 安装 GateIn 3 2 jbossas6 到 d GateIn 3 2 jbossas6 2 配置 GateIn portal Reference Guide Authentication And Identity html sect Reference Guide Single Sign On CAS Central Authentication Service 3 plugIn https repository jboss org nexus content groups public org gatein sso sso packaging 建议用 sso packaging 1 1 1 GA zip 4 配置配置 DOTNET CLIENT 1 把 DotNetCasClient cs 复制到 DotNet 项目 Page 11 of 14 2 新建 loginPage aspx Page Load 加入代码 DotNetCASClient DotNetCASClientServiceValidate client new DotNetCASClient DotNetCASClientServiceValidate String userId client Authenticate Request Response false if userId Equals failed Handle the auth failure else Session DotNetCASClient SessionHandle getUserSession userId FormsAuthentication RedirectFromLoginPage userId fal