《CAS客户端服务器端配置步骤.docx》由会员分享,可在线阅读,更多相关《CAS客户端服务器端配置步骤.docx(16页珍藏版)》请在三一办公上搜索。
1、CAS客户端服务器端配置步骤cas介绍:CAS是Yale大学发起的一个开源项目,旨在为Web应用系统提供一种可靠的单点登录 方法,CAS在2004年12月正式成为JA-SIG的一个项目。CAS具有以下特点:开源的企业级单点登录解决方案。 CAS Server为需要独立部署的Web应用。支持非常多的客户端(这里指单点登录系统中的各个Web应用),包括Java, .Net, PHP, Perl, Apache, uPortal, Ruby 等。CAS原理和协议从结构上看,CAS包含两个部分:CAS Server和CAS Client。CAS Server需要独立部 署,主要负责对用户的认证工作;C
2、AS Client负责处理对客户端受保护资源的访问请求, 需要登录时,重定向到CAS Server。图1是CAS最基本的协议过程:图1. CAS基础协议重定向Service4一 Service. TicketCAS ClientCAS SetrerCAS Client与受保护的客户端应用部署在一起,以Filter方式保护受保护的资源。对于访 问受保护资源的每个Web请求,CAS Client会分析该请求的Http请求中是否包含 Service Ticket,如果没有,则说明当前用户尚未登录,于是将请求重定向到指定好的CAS Server登录地址,并传递Service (也就是要访问的目的资源地
3、址),以便登录成功过后 转回该地址。用户在第3步中输入认证信息,如果登录成功,CAS Server随机产生一个 相当长度、唯一、不可伪造的Service Ticket,并缓存以待将来验证,之后系统自动重定向 到Service所在地址,并为客户端浏览器设置一个Ticket Granted Cookie(TGC),CAS Client在拿到Service和新产生的Ticket过后,在第5,6步中与CAS Server进行身 份合适,以确保Service Ticket的合法性。在该协议中,所有与CAS的交互均采用SSL协议,确保,ST和TGC的安全性。协议 工作过程中会有2次重定向的过程,但是CAS
4、 Client与CAS Server之间进行Ticket 验证的过程对于用户是透明的。另外,CAS协议中还提供了 Proxy (代理)模式,以适应更加高级、复杂的应用场景, 具体介绍可以参考CAS官方网站上的相关文档。CAS服务器端配置配置服务器环境首先下载必须的软件:Tomcat6.0: http:/tomcat.apache.org/download-60.cgiWindows Service InstallerJdk: 你可以选择带有jre的安装文件或者你机器里现在有/re环境则只需要下载JDK.Java SE 6 Update 10 Beta (不带 JRE)JDK 6 Update
5、6 带 JRE)Java Runtime Environment (JRE) 6 Update 6 (JRE)下面按步骤来:1. 安装JDK和JRE一直下一步到安装完成,记住JDK安装的路径。2.设置JDK相关的环境变量1).切换到桌面,右键点击“我的电脑”- 属性- 高级- 如图建立一个JAVA_HOME环境 变量,变量值为JDK的根目录。昏境登星未密1性受变里值TEMF%USEEPKOFILE%Ap迎aTMF%USERPROFILE%AppDahp的用户变里新建00.变皇值FP_NO_HOST_C.HOJAVA_HOMEE ;Javaj dkl. 6MYSL_HOMEE : Vila ta
6、b az e m mys qlNUMEER_OF_PR.2条统芨里缶)新建/).编辑口编落系鸵变皇变重名(N):JAVA_HOME变更值(V):文档文档:2.93M/2.93M2),和上面一样的操作,建立 环境变量 CLASSPATH,值为.;%JAVA_HOME%lib;%JAVA_HOME%libtools.jar;%JAVA_HOME%jrelibVt.jar”变里名0T):CLASSPATH变里值(V):.:%jAVA_HOME%h b; %jAVA_HOME%1 ibVti皿消确定3).还是操作环境变量但不是新建,而是编辑。编辑Path变量,最变量值最后面加上;%JAVA_HOME%
7、bin;E编辑祭藐变号亶里名QT) Path变里值(V):yberLi nki.P ow er2Goj;AVA_HOME淡bin;3.安装 Tomcat1).一直下一步,中间需要选择安装路径和JVM目录,如果JDK和JRE安装没问题,这里他 应该能自动找得到,否则需要你手动指定一下。中间什么也不用管,有一部让你设置端口, 不用动,保持默认的就行了。2),新增一个CATALINA_HOME环境变量,变量值为你TOMCAT安装时的根目录。3. 测试运行服务器安装后的bin目录共有一下几个文件:bootstrap.jartomcat-juli.jartomcat6.exetomcat6w.exe其中
8、tomcat6w.exe是监控tomcat运行的,可以直接运行,或者缩小到屏幕右下角成为一个 小图标。直接运行tomcat6w.exe或者“tomcat6w /ES/”都可以进入监控配置窗口; 或者运行“tomcat6w /MS/”把它缩小到右下角。也可用startup.bat和shutdown.bat来启动和关闭服务。姓计猝说E System (Q)l b Dont Writs D:j画 bootstrap.jar2007-05-05 9:42to meat6.exe2007-05 05 9:422007-05-05 9:422007-05-05 9:42to meat6w.exe3 tom
9、cat-juli.j言息= The Apache Tofiicat Nat iue library uhich allo us optimal performance in pri ction enuironmtents uas not found on the jaua. library upath: E: SJauaXTcmcat 6 n ; . ;C: UindowsSunSJauaXbin ;C: UindowsXsiPstem32 ;C: Uindous ;C: Windowssystem3; :Uindous;C:UindowsSystem32Wbem;C:XPrcgram Fil
10、esCyberLinkxPower2Go;E:Jah jdklifixbin;E:xPHPSeruerphpseruer;E:XDatabases Muysqlxbin;C:XUsersXhpXDesktop 2008-5-24 20:54:42 apache:; coyote ohttpll HttpllPvctcccl in it 隹息=Initializing Coyote HTTP/l. 1 on http-S080908-5-24 20:54:42 orgapache:;catalina.startupCatalina load隹息=Initialization processed
11、in 8267 mts908-5-24 20:54:43 orgapache:;catalinauccve .StandardSeruice start4言,息,= Starting service Catalina908-5-24 20:54:43apache:;catalinaucere .StandavdEngine startStarting Serulet Engine:: Hpache Tomcatz6013008-5-24 20:54:43 apache:;coyote ohttpll HttpllPrctcccl start言息=Starting Coyote HITP/l 1
12、 on http-8080908-5-24 20:54:43 org apac he:; j k u common Channe IScc ket in it on /0000:8009che:;jk.serueriJkMain start言息=Jk punning ID=0 116=0/105 conf ig=null2008-5-24 20:54:43apache:;catalina.startupCatalina start彳言息=Seruev startup in 633 msweb访问测试启动后,可以通过浏览器进行访问,测试运行是否正常。用IE或者Firefox等浏览器,输入地址:h
13、ttp:/localhost:8080/-如果安装时修改了端口,请把8080用修改后的值替换。如果能够正常浏览到tomcat欢迎信息,就是正确了,否则就要检查安装是否正确、防火墙的设 置等。经常遇到的一个问题是端口冲突,最常见的就是80端口被占用,导致服务无法正常启动。如果 通过tomcat6 /TS/tomcat6来启动,马上就能够发现提示信息。修改一下 tomcat6confserver.xml 中的端口就能够解决。通常使用80端口的有:1. IIS服务器,因为在windows服务器上,很多都安装了 IIS,而IIS默认的端口就是80.2. skype即时聊天工具,skype的可以穿透防火
14、墙的本领,也是通过占用80端口实现的。查看端口占用的命令:进入windows命令行,输入:netstat -an这个命令返回有 4列:protocol协议、local address本机地址、foreign address来访者地址、status状态浏览本机地址一列,可以看到当前主机对外服务的IP地址、端口都有哪些。如果一台机器有192.168.1.100和192.168.1.101两个地址,那么:0.0.0.0:80表示这台机器上所有80端口都被使用127.0.0.1:80表示127.0.0.1的80被使用,但.100和.101IP地址的80还未使用。192.168.1.100:80表示.1
15、00IP地址的80端口被使用192.168.1.101:80表示.101IP地址的80端口被使用部署 CAS ServerCAS Server是一套基于Java实现的服务,该服务以一个Java Web Application单独部 署在与servlet2.3兼容的Web服务器上,另外,由于Client与CAS Server之间的交 互采用Https协议,因此部署CAS Server的服务器还需要支持SSL协议。当SSL配 置成功过后,像普通Web应用一样将CAS Server部署在服务器上就能正常运行了,不 过,在真正使用之前,还需要扩展验证用户的接口。Tomcat配置HTTPS方式1、开始-
16、运行-cmd进入到jdk下的bin目录2、输入如下指令keytool -v -genkey -alias tom cat -keyalg RSA -keystored:/tomcat.keystore -validity 36500附:d:/tomcat.keystore是将生成的tomcat.keystore放到d盘根目录下。-validity 36500”含义是证书有效期,36500表示100年,默认值是90天 注意若要放到c盘,在win7系统下,需要以管理员身份进入到命令行中进行操作,否则是无法 创建tomcat.keystore的。本例放到d盘下。如何以管理员身份进入到命令行下呢?开始
17、-搜索框中输入cmd-等待(注意不回车)-出 现cmd.exe- 右键以管理员身份运行”即可。3、输入keystore密码密码任意,此处以123456为例,要记住这个密码,之后在进行server.xml配置时需要使用。4、输入名字、组织单位、组织、市、省、国家等信息注意事项:A、Enter keystore password :此处需要输入大于6个字符的字符串B、“What is your first and last name?”这是必填项,并且必须是TOMCAT部署主机的域 名或者IP如:或者10.1.25.251,就是你将来要在浏览器中输入的访问地址C、“What is the nam
18、e of your organizational unit?”、“What is the nam e of your organization?”、“What is the name of your City or Locality?”、“What is the name of your State or Province?”、“What is the two -letter country code for this unit?”可以按 照需要填写也可以不填写直接回车,在系统询问“correct?”时,对照输入信息,如果符合要求则 使用键盘输入字母“y”,否则输入“n”重新填写上面的信息D、
19、Enter key password for tomcat ,这项较为重要,会在tomcat配置文件中使用,建 议输入与keystore的密码一致,设置其它密码也可以l完成上述输入后,直接回车则在你在第二步中定义的位置找到生成的文件5、输入之后会出现确认的提示此时输入y,并回车。此时创建完成keystore。进入到D盘根目录下可以看到已经生成的tomcat.xml6、进入tomcat文件夹找到conf目录下的sever.xml并进行编辑7、编辑Connector port=8443” protocol=HTTP/1.1 SSLEnabled = t rue maxThreads=150 sch
20、em e=https secure=trueclientAuth = false keystoreFile=D:/AppServer/Tom cat/apache-tom cat-6.0.32/conf/tom cat.keystore keystorePass=deleiguo sslProtocol = TLS / 注:方框中的keystore的密码,就是刚才我们设置的“123456”.编辑完成后关闭并保存sever.xml8、Tomcat启动成功后,使用https:/127.0.0.1:8443访问页面页面成功打开即tomcat下的https配置成功。9、注意事项:(1)生成证书的时间,
21、如果IE客户端所在机器的时间早于证书生效时间,或者晚于有效时 间,IE会提示“该安全证书已到期或还未生效”(2)如果IE提示安全证书上的名称无效或者与站点名称不匹配”,则是由生成证书时填写 的服务器所在主机的域名 您的名字与姓氏是什么? /What is your first and last nam e?” 不正确引起的10、遗留问题:(1)如果AC主机不能通过域名查找,必须使用IP,但是这个IP只有在配置后才能确定,这 样证书就必须在AC确定IP地址后才能生成(2)证书文件只能绑定一个IP地址,假设有10.1.25.250和192.168.1.250两个IP地址, 在证书生成文件时,如使用
22、了 10.1.25.250,通过IE就只能使用10.1.25.250来访问 AC-WEB,192.168.1.250 是无法访问 AC-WEB 的。配置CAS1. 下载 cas http:/www.ja-sig.org/downloads/cas/cas-server-3.4.2-release.zip2. 安装cas-server,我们假定安装cas-server的服务器为serverl(1) 将 cas-server-3M.2-release.zip 解压,将 moudels 目录下 cas-server-webapp-x.x.war 拷贝到U tomcat 的 webapps 目录下,修
23、 改名称为 cas.war.(2) 生成server1的安全证书:keytool -export -alias tom cat -file D:/file.cer -keystore d:/tom cat.keystore -validity 36500然后输入 d:/tomcat.keystore 中的 keystore 密码-file D:/file.cer即为生成的cer文件,可直接点击安装(3)重新启动server1上的tomcat,检验cas配置是否成功,访问https:/ip或域名:8443/cas/login,如果能看到cas的登录页面则表示配置成功。cas客户端配置1、准备CA
24、S的PHP库和相关库文件1)下载 cas php客户端 http:/downloads.jasig.Org/cas-clients/php/current/CAS-1.3.1.tgz2)由于其用到了 PEAR的DB库,需要下载当然不一定是我说的版本,但我给的是我试验成功的版本。3) 用于使用到了 SSL所以需要下载opensslo当然我是在windows环境下试验的,下载 的windows版本。4)安装 opensslo2、配置PHP环境1)将 CAS-1.3.1.tgz、PEAR-1.7.1.tgz、DB-1.7.13.tgz 放在同一个目录如图。 include I CASl 1 DB |
25、 PEAR4)由于phpcas用到了 CURL (用于连接ssl),因此需要保证php解释环境需要有这个 扩展。需要做的就是修改ini文件将extentions节下的屏蔽符号去掉,然后就是检查PHP 环境的extentions目录下是否有对应的.dll。一般标准安装都会有。3、测试CAS的php客户端1)在CAS-1.3.1.tgz中的docs/examples文件夹拷贝到网站的根目录下。2)config.example.php 修改为 config.php3)打开config.php进行修改$phpcas_path T include/CAS/T;/ Basic Config of the
26、phpCAS client / Fui 11 HosrtTTrans_ctlyurm CjLS Server $cas host = 1 server.cas;/ Context of trtie_CAS_ erver $cas_context = T/cas T;/ Port of lyuar_server. Normally for a https sex $cas_port - 8443;4)访问 localhost:8080/examples/example_simple.php (客户端的地址) 会跳转到CAS服务器登录页面。默认只要用户名和密码相同就可以通过验证。 T C 含 bt
27、tp$:/server.cas:8443/cas/login?service=http%3A%2F%2Flocalhost%3A8080%2FCAS examplesl%2Fexample simple.php与凤凰网 昭凯迪 8电驴 Q QvoCD ic电驴站SS SimpleCD公天气 圈百度 S Google S CSDN S CSDN社区 CU chinaitlab 58 58 E赶集JASIGCentral Authentication Service (CAS)请输入您的用户名和密码.用户铃密微I口转向其他站点前提示我。is|重置登陆成功后会中转到客户端。提示验证成功。C ill
28、D locallhost:8080/CAS examplesl/example simple.php回凤凰网 厕凯迪电驴Q QvoCD 匚电驴站SS SimpleCD舞天气 圈百度 Google回CSDNSuccessfullAuthentication!i Current script:e k :amp 1 e_s i inp 1 e. phpj session_n;3irie (.):!sessi on_for: e x am 口 le_si Kip 1 e_p:-hp:sessi on_id(.):ST-74)AcHSYylr7S3bQbGH9JT-casthe i_iserJ s lo
29、gin is admin.phpCAS version is 1- 3-1.Leg Lit其它客户端的配置按以上步骤配置。即可实现单点。进阶CAS服务端使用数据库验证用户创建表create table t_user(username varcha (200) primary key,password varcha (200);insert into users(username,password) values(test,123);添加jar将数据库驱动包:mysql-connector-java-5.1.5-bin.jar cas-server-support-jdbc-3.x.x.jar(
30、 来自于 cas-server-3.4.2modules) copy 至Icas/WEB-iNF/lib/下创建验证service层创建 LoginDAOpublic class LoginDAO extends JdbcDaoSupport public List queryList(String sql,Object objs)return this.getJdbcTemplate().queryForList(sql , objs);创建 LoginServicepublic class LoginService private LoginDAO loginDAO;/*判断用户登录信息*
31、 param username* param password* return null为用户不存在,false密码错误,true登录成功*/public Boolean isUserCorrect(String username,String password)String sql = select password from t_user where username=?;List results = loginDAO.queryList(sql, new Objectusername);if(results=null|results.size()=0) return null ;else
32、 if(password.equals(Map)results.get(0).get(password).toString() return new Boolean(true);else return new Boolean(false);public LoginDAO getLoginDAO() return loginDAO;public void setLoginDAO(LoginDAO loginDAO) this.loginDAO = loginDAO; 重写验证类/重写 AbstractUsernamePasswordAuthenticationHandler 中验证方法 auth
33、enticateUsernamePasswordInternalpublic class UserAuthenticationHandler extends AbstractUsernamePasswordAuthenticationHandler private LoginService loginService;Overrideprotected boolean authenticateUsernamePasswordinternal( UsernamePasswordCredentials credentials) throws AuthenticationException Strin
34、g username = credentials.getUsername(); String password = credentials.getPassword();Boolean result = loginService.isUserCorrect(username, password); if(result=null) /用户不存在,error.authentication.credentials.bad.usernameorpassword.username”必须在 message配置文件中定义,验证失败时会在登录页面显示信息 throw newBadPasswordAuthenti
35、cationException(error.authentication.credentials.bad.use rnameorpassword.username);else if(!result.booleanValue() /密码错误 throw newBadPasswordAuthenticationException(error.authentication.credentials.bad.use rnameorpassword.password);else(/登录成功return true;public LoginService getLoginService() return lo
36、ginService;public void setLoginService(LoginService loginService) this.loginService = loginService;定义错误信息在messages_zh_CN.properties中添加验证出错信息error.authentication.credentials.bad.usernameorpassword.username=用户不存在error.authentication.credentials.bad.usernameorpassword.password=密码错误配置 WEB-INFdeployerConfigContext.xml 文件 com.mysql.jdbc.Driverjdbc:mysql:/localhost:3306/testrootroot 启动tomcat,测试登录.(如果是使用war在tomcat解压的服务端,必须将上面类的编译完的class 文件,包,信息配置文件复制到WEB-INFclasses下)
