CAS 配置（基于tomcat 6） -

zyg345646335

浏览: 128811 次
性别:
来自: 广州

最近访客更多访客>>

jmxyqp

tanghui

古月小白恋红尘

f66yizhen

博主相关

博客

微博

相册

留言

关于我

文章分类

社区版块

存档分类

CAS 配置（基于tomcat 6）

博客分类：

应用技术

需要包资源：

a) cas-server-3.3.5-release

b) apache-tomcat-6.0.24-windows-x86.zip

c) cas-client-2.0.11.zip ，后面我用了CAS-CLIENT-3.1.3版本，支持登出功能

第一步:配置CAS服务器环境

1,在企业内部网内该预备cas服务器主机中搜索hosts文本文件，添加域名映射对 ip

Lin（这里是我的主机名称,就是完整计算机名称，改下就可，不改就用localhost）
2，再客户主机中搜索hosts文本文件，添加相应cas服务器域名映射信息
3，部署CAS3服务器端所需得ssl环境生成

预备生成文件: cacerts server.keystore client.keystore
server.cer client.cer

生成服务器端库文件 (生成的时候，第一项name一定要写你的完整计算机名称，我的是lin)
keytool -genkey -alias tomcat-server -keyalg RSA -keypass changeit -storepass changeit -keystore server.keystore

导出服务器端证书
keytool -export -alias tomcat-server -storepass changeit -file server.cer -keystore server.keystore
生成客户端库文件
keytool -genkey -alias tomcat-client -keyalg RSA -keypass changeit -storepass changeit -keystore client.keystore
导出客户端证书
keytool -export -alias tomcat-client -storepass changeit -file client.cer -keystore client.keystore

导入服务器端证书
keytool -import -trustcacerts -alias server -file server.cer -keystore cacerts -storepass changeit
导入客户端证书
keytool -import -trustcacerts -alias client -file client.cer -keystore cacerts -storepass changeit

4将如上生成得cacerts server.keystore client.keystore
server.cer client.cer文件分别拷贝到cas服务器以及应用客户端TOMCAT_HOME主目录以及JAVA_HOEM/jre/lib/security文件下(每个子系统的tomcat也要拷贝进去)

5 解压下载的CAS SERVER 包，找到/cas-server-3.3.5-release/cas-server-3.3.5/modules下的cas-server-webapp-3.3.5.war,更名为cas3.war，拷贝到TOMCAT 的webapp目录下，tomcat启动时，会自动解压。

配置好JDK1.6（CMD命令JAVA –version 要是配置的JDK版本，否则没配置好），部署好TOMCAT。

这里就不多说了，再来部署CAS SERVER。

先配置服务端TOMCAT SSL: 主题：Tomcat SSL配置大全

先解压一个TOMCAT6，我是到C：/Program Files/目录下；进入tomcat目录的conf目录下，编辑server.xml,

找到（默认的端口号不用改）

<!--<Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true"

maxThreads="150" scheme="https" secure="true"

clientAuth="false" sslProtocol="TLS" />à

去掉注释，这段段代码替换成：

<Connector protocol="org.apache.coyote.http11.Http11NioProtocol"

port="8443" minSpareThreads="5" maxSpareThreads="75"

enableLookups="true" disableUploadTimeout="true"

acceptCount="100" maxThreads="200"

scheme="https" secure="true" SSLEnabled="true"

clientAuth="false" sslProtocol="TLS"

keystoreFile="C:/Program Files/apache-tomcat-6.0.24/server.keystore"

keystorePass="changeit"/>

运行：https://lin:8443/，出现tomcat的首页，则说明cas服务端配置成功。

主机名称和ip映射修改，找到C:/WINDOWS/SYSTEM32/DRIVERS/ECT/HOST 文件，增加

IP（主机IP） hostname（主机名）

第二步:配置CAS客户端环境

再解压一个tomcat6，放在D盘，更名为casclient，这里因为在同一台电脑上，所以要更改端口号：

<Server port="8006" shutdown="SHUTDOWN">《!—修改1 --》

<Connector port="9090"

maxThreads="150" minSpareThreads="25" maxSpareThreads="75"

enableLookups="false" redirectPort="8080" acceptCount="100"

debug="0" connectionTimeout="20000"

disableUploadTimeout="true" /> 《!—修改2 --》

当然，证书文件都要拷贝到这个目录的根目录下。

再客户端应用程序得web.xml文件中加入如下：（CAS-CLIENT 2.0.11版本，当然下载后的cas-client-java-2.0.11包或者cas-client-java-3.0.0包也要解压，找到BIN下的CORE文件，拷贝到客户端系统的lib目录下）

------------------------------------客户端配置（1）------------------------------------

<filter>
  <filter-name>CASFilter</filter-name>
  <filter-class>
   edu.yale.its.tp.cas.client.filter.CASFilter
  </filter-class>
  <init-param>
   <param-name>
    edu.yale.its.tp.cas.client.filter.loginUrl
   </param-name>
   <param-value>https://lin:8443/cas3/login</param-value>
  </init-param>
  <init-param>
   <param-name>
    edu.yale.its.tp.cas.client.filter.validateUrl
   </param-name>
   <param-value>
    https://lin:8443/cas3/proxyValidate
   </param-value>
  </init-param>
  <init-param>
   <param-name>
    edu.yale.its.tp.cas.client.filter.serverName
   </param-name>
   <param-value>lin:8080</param-value>
  </init-param>
</filter>

<filter-mapping>
<filter-name>CASFilter</filter-name>
<url-pattern>/secure/*</url-pattern>
</filter-mapping>

------------------------------配置（1）结束-------------------------------------------

-----------------------------------------以上的web.xml配置是客户端2.0.11版本，不支持登出功能---------------------------

-----------------------------------------下面的web.xml配置是客户端3.3.版本，支持登出功能-----------------------------------

<filter-name>CAS Single Sign Out Filter</filter-name>

<filter-class>org.jasig.cas.client.session.SingleSignOutFilter</filter-class>

</filter>

<filter-mapping>

<filter-name>CAS Single Sign Out Filter</filter-name>

<url-pattern>/*</url-pattern>

</filter-mapping>

<listener-class>org.jasig.cas.client.session.SingleSignOutHttpSessionListener</listener-class>

</listener>

<filter-name>CAS Authentication Filter</filter-name>

<filter-class>org.jasig.cas.client.authentication.AuthenticationFilter</filter-class>

<init-param>

<param-name>casServerLoginUrl</param-name>

<param-value>https://lin:8443/cas3/login</param-value>

</init-param>

<init-param>

<param-name>renew</param-name>

<param-value>false</param-value>

</init-param>

<init-param>

<param-name>gateway</param-name>

<param-value>false</param-value>

</init-param>

<init-param>

<param-name>serverName</param-name>

<param-value>http://lin:8999</param-value>

</init-param>

</filter>

<filter-name>CAS Validation Filter</filter-name>

<filter-class>org.jasig.cas.client.validation.Cas20ProxyReceivingTicketValidationFilter</filter-class>

<init-param>

<param-name>casServerUrlPrefix</param-name>

<!—下面一定要是主机名称（客户端主机要添加服务器主机名称与服务器的IP映射，在host文件中添加），其他的可以用IP（我遇到了这样的问题），casserver产生密钥的时候输入的"姓名(CN)",并且要有这个域名,或者hosts文件中要有定义 -->

<param-value>https://lin:8443/cas3</param-value>

</init-param>

<init-param>

<param-name>serverName</param-name>

<param-value>http://lin:8999</param-value><!—这里写客户端的端口号 -->

</init-param>

<init-param>

<param-name>useSession</param-name>

<param-value>true</param-value>

</init-param>

<init-param>

<param-name>redirectAfterValidation</param-name>

<param-value>true</param-value>

</init-param>

</filter>

<filter-name>CAS HttpServletRequest WrapperFilter</filter-name>

<filter-class>org.jasig.cas.client.util.HttpServletRequestWrapperFilter</filter-class>

</filter>

<filter-name>CAS Assertion Thread Local Filter</filter-name>

<filter-class>org.jasig.cas.client.util.AssertionThreadLocalFilter</filter-class>

</filter>

<filter-mapping>

<filter-name>CAS Authentication Filter</filter-name>

<url-pattern>/*</url-pattern>

</filter-mapping>

<filter-mapping>

<filter-name>CAS Validation Filter</filter-name>

<url-pattern>/*</url-pattern>

</filter-mapping>

<filter-mapping>

<filter-name>CAS HttpServletRequest WrapperFilter</filter-name>

<url-pattern>/*</url-pattern>

</filter-mapping>

<filter-mapping>

<filter-name>CAS Assertion Thread Local Filter</filter-name>

<url-pattern>/*</url-pattern>

</filter-mapping>

---------------------------------客户端配置(2)---------------------------------------

第三步:定制自己的身份登录密码

在服务端tomcat中，找到webapps/cas3/中的deployerConfigContext.xml，编辑:

找到

这是CAS默认身份认证，只要用户名和密码相同就可以登录，注释掉<!-- à,定制自己的认证,替换成

</bean>

</list>

</property>

</bean>

<value>oracle.jdbc.driver.OracleDriver</value>

</property>

<value>jdbc:oracle:thin:@10.175.183.118:1521:info</value>

</property>

</property>

</property>

</bean>

<constructor-arg value="MD5"/>

</bean>

同时要把链接自己数据库的ORACLE JAR包资源等，放入项目的LIB目录下。

第四步:UI 的DIY设计

提示：获取用户信息

<%String user=(String)session.getAttribute("CASFilter.CAS_FILTER_USER");%>//2.0.11版本

//HttpServletRequest request = ServletActionContext.getRequest();

<% AttributePrincipal principal = (AttributePrincipal)request.getUserPrincipal();

String username = principal.getName(); //3.3版本

//Long orgnId = Long.parseLong(principal.getAttributes().get("orgnId").toString());

遇到的问题：

（1）

由于cas的证书需要域名才能正确的进行认证信息的交互，不支持ip，如果server和client在同一台机器上，可以使用localhost，如果像我们上面描述的三台服务器这样的环境，使用localhost或者ip是不能正常运行的。如果使用ip，运行时会抛出 HTTPS hostname wrong，如果客户端CAS过滤器没配好会返回no response的错误。

解决的方法如下：

假设server1的ip为：192.168.10.1，client1的ip为192.168.10.2，开发机器(xp)的ip为：192.168.10.3

在server1和client1上设置本机的域名映射：

vi /etc/hosts 添加以下行

192.168.10.1 cas.server （cas服务器所在的主机要加这个映射，同时客户机服务器主机要加上cas服务器名称和地址的映射，这很重要，不过这是针对HTTPS方式认证）

在开发机器(xp)下，在C:/WINDOWS/system32/drivers/etc目录下，编辑hosts文件，添加以下行

192.168.10.1 cas.server

重新生成cas-sever的服务器端的证书，在开始问“你的名字”或“DName”的时候，必须填写你服务器所在域名（cas.server）

然后重新到处服务器器端的证书，并将其导入到client1服务器的jvm

最后修改servlets-examples/WEB-INF/web.xml中关于cas过滤器的配置：

请将your.cas.server.name(eg:server1)修改为cas.server即可。重新启动server1和client1的服务器上的tomcat就可正常运行。

ttp://client1:8080/servlets-examples/servlet/HelloWorldExample

系统会自动跳转到一个验证页面，随便输入一个相同的账号,密码，验证通过之后就会访问

到真正的HelloWorldExample这个servlet了

（2）取消cas服务器HTTPS认证，去除浏览器的警告，也就是用http认证（降低安全性）

Cas服务器用cas-server-3.3.1-release.zip，cas客户端用cas-client-3.1.3-release.zip，他们的配置我就不说了，上面都有详细说明。

A．服务器端更改：

配置文件: $WebRoot/WEB-INF/sprint-configuration/ticketGrantingTicketCookieGenerator.xml ，

<bean id="ticketGrantingTicketCookieGenerator"
class="org.jasig.cas.web.support.CookieRetrievingCookieGenerator"
p:cookieSecure="true"
p:cookieMaxAge="-1"
p:cookieName="CASTGC"
p:cookiePath="/cas"
/>

服务器修改完成。

B．客户端修改

还记得我们上面说的在客户端web.xml中cas服务器过滤器中，用到的是https://lin:8443/cas3/login之类的，现在我们要将这中服务端的连接改成:http://lin:8080/cas3/login这种方式，因为我们要用http来传递ST，注意cas服务器的http端口号我本机上是8080，这个看自己有没有改，如果改了这里也要改。（开始我就是这里没改成cas服务器的http端口，而只是把https改成http，一直报错，所以这是需要注意）

分享到：

基于JAAS实现登录 | 配置Tomcat使用https协议(配置SSL协议)

2014-08-01 09:19
浏览 1226
评论(0)
分类:开源软件
查看更多

发表评论

您还没有登录,请您登录后再发表评论

最近访客更多访客>>

博主相关

文章分类

社区版块

存档分类

最新评论

CAS 配置（基于tomcat 6）

评论

发表评论

相关推荐

最近访客 更多访客>>

博主相关

文章分类

社区版块

存档分类

最新评论

CAS 配置（基于tomcat 6）

评论

发表评论

相关推荐

Extmail企业邮箱构建指南

OpenOffice 安装使用

hadoop单机版搭建

同一个Tomcat不同Web应用之间共享会话Session

cas-4.0配置

基于JAAS实现登录

配置Tomcat使用https协议(配置SSL协议)

htmlunit实例

Web服务器推送技术介绍及Cometd使用例子

锁对象Lock-同步问题更完美的处理方式

集群文件共享——linux的NFS详细配置方法

使用XStream序列化、反序列化XML数据时遇到的各种问题

JNDI实例

最近访客更多访客>>