CAS配置(基于tomcat 6)

需要包资源:

a)        cas-server-3.3.5-release

b)        apache-tomcat-6.0.24-windows-x86.zip

c)        cas-client-2.0.11.zip ,后面我用了CAS-CLIENT-3.1.3版本,支持登出功能

 

第一步:配置CAS服务器环境

1,在企业内部网内该预备cas服务器主机中搜索hosts文本文件,添加域名映射对 ip

Lin(这里是我的主机名称,就是完整计算机名称,改下就可,不改就用localhost)
2,再客户主机中搜索hosts文本文件,添加相应cas服务器域名映射信息
3,部署CAS3服务器端所需得ssl环境生成

预备生成文件: cacerts server.keystore client.keystore
server.cer client.cer

生成服务器端库文件 (生成的时候,第一项name一定要写你的完整计算机名称,我的是lin)
keytool -genkey -alias tomcat-server -keyalg RSA -keypass changeit -storepass changeit -keystore server.keystore

导出服务器端证书
keytool -export -alias tomcat-server -storepass changeit -file server.cer -keystore server.keystore
生成客户端库文件
keytool -genkey -alias tomcat-client -keyalg RSA -keypass changeit -storepass changeit -keystore client.keystore
导出客户端证书
keytool -export -alias tomcat-client -storepass changeit -file client.cer -keystore client.keystore

导入服务器端证书
keytool -import -trustcacerts -alias server -file server.cer -keystore cacerts -storepass changeit
导入客户端证书
keytool -import -trustcacerts -alias client -file client.cer -keystore cacerts -storepass changeit

4将如上生成得cacerts server.keystore client.keystore
server.cer client.cer文件分别拷贝到cas服务器以及应用客户端TOMCAT_HOME主目录以及JAVA_HOEM/jre/lib/security文件下(每个子系统的tomcat也要拷贝进去)

5 解压下载的CAS SERVER 包,找到/cas-server-3.3.5-release/cas-server-3.3.5/modules下的cas-server-webapp-3.3.5.war,更名为cas3.war,拷贝到TOMCAT 的webapp目录下,tomcat启动时,会自动解压。

 

配置好JDK1.6(CMD命令JAVA –version 要是配置的JDK版本,否则没配置好),部署好TOMCAT。

这里就不多说了,再来部署CAS SERVER。

 

先配置服务端TOMCAT SSL: 主题:Tomcat SSL配置大全

       先解压一个TOMCAT6,我是到C:/Program Files/目录下;进入tomcat目录的conf目录下,编辑server.xml,

找到(默认的端口号不用改)

<!–<Connector port=”8443″ protocol=”HTTP/1.1″ SSLEnabled=”true”

               maxThreads=”150″ scheme=”https” secure=”true”

               clientAuth=”false” sslProtocol=”TLS” />à

去掉注释,这段段代码替换成:

       <Connector protocol=”org.apache.coyote.http11.Http11NioProtocol”  

           port=”8443″ minSpareThreads=”5″ maxSpareThreads=”75″  

           enableLookups=”true” disableUploadTimeout=”true”    

           acceptCount=”100″  maxThreads=”200″  

           scheme=”https” secure=”true” SSLEnabled=”true”  

           clientAuth=”false” sslProtocol=”TLS”  

           keystoreFile=”C:/Program Files/apache-tomcat-6.0.24/server.keystore”    

           keystorePass=”changeit”/>  

运行:https://lin:8443/,出现tomcat的首页,则说明cas服务端配置成功。

主机名称和ip映射修改,找到C:/WINDOWS/SYSTEM32/DRIVERS/ECT/HOST 文件,增加

IP(主机IP) hostname(主机名)

第二步:配置CAS客户端环境

再解压一个tomcat6,放在D盘,更名为casclient,这里因为在同一台电脑上,所以要更改端口号:

<Server port=”8006″ shutdown=”SHUTDOWN”>《!—修改1 –》

<Connector port=”9090″

maxThreads=”150″ minSpareThreads=”25″ maxSpareThreads=”75″

enableLookups=”false” redirectPort=”8080″ acceptCount=”100″

debug=”0″ connectionTimeout=”20000″

disableUploadTimeout=”true” /> 《!—修改2 –》

当然,证书文件都要拷贝到这个目录的根目录下。
再客户端应用程序得web.xml文件中加入如下:(CAS-CLIENT 2.0.11版本,当然下载后的cas-client-java-2.0.11包或者cas-client-java-3.0.0包也要解压,找到BIN下的CORE文件,拷贝到客户端系统的lib目录下)

 

 

————————————客户端配置(1)————————————

<!– CAS Filters –>
<filter>
<filter-name>CASFilter</filter-name>
<filter-class>
edu.yale.its.tp.cas.client.filter.CASFilter
</filter-class>
<init-param>
<param-name>
edu.yale.its.tp.cas.client.filter.loginUrl
</param-name>
<param-value>https://lin:8443/cas3/login</param-value>
</init-param><!–这里的server是服务端的IP–>
<init-param>
<param-name>
edu.yale.its.tp.cas.client.filter.validateUrl
</param-name>
<param-value>
https://lin:8443/cas3/proxyValidate
</param-value>
</init-param><!–这里的serName是服务端的主机名,而且必须是–>
<init-param>
<param-name>
edu.yale.its.tp.cas.client.filter.serverName
</param-name>
<param-value>lin:8080</param-value><!–client:port就是需要CAS需要拦截的地址和端口,一般就是这个TOMCAT所启动的IP和port–>
</init-param>
</filter>

<filter-mapping>
<filter-name>CASFilter</filter-name>
<url-pattern>/secure/*</url-pattern><!–这里的设置是针对servlets-examples的,针对jsp-examples设置为/* –>
</filter-mapping>

——————————配置(1)结束——————————————-

—————————————–以上的web.xml配置是客户端2.0.11版本,不支持登出功能—————————

 

—————————————–下面的web.xml配置是客户端3.3.版本,支持登出功能———————————–

 

<!– CAS –>

    <!– 单点登出 –>

      <filter>

        <filter-name>CAS Single Sign Out Filter</filter-name>

        <filter-class>org.jasig.cas.client.session.SingleSignOutFilter</filter-class>

    </filter>

     <filter-mapping>

        <filter-name>CAS Single Sign Out Filter</filter-name>

        <url-pattern>/*</url-pattern>

    </filter-mapping>

    <listener>

    <listener-class>org.jasig.cas.client.session.SingleSignOutHttpSessionListener</listener-class>

    </listener>

<!–单点登录 –>

<filter>

<filter-name>CAS Authentication Filter</filter-name>

<filter-class>org.jasig.cas.client.authentication.AuthenticationFilter</filter-class>

        <!– CAS login 服务地址–>

        <init-param>

            <param-name>casServerLoginUrl</param-name>

            <param-value>https://lin:8443/cas3/login</param-value>

        </init-param>

        <init-param>

            <param-name>renew</param-name>

            <param-value>false</param-value>

        </init-param>

        <init-param>

            <param-name>gateway</param-name>

            <param-value>false</param-value>

        </init-param>

        <!– 客户端应用服务地址–>

        <init-param>

            <param-name>serverName</param-name>

            <param-value>http://lin:8999</param-value>

        </init-param>

</filter>

    <!–负责Ticket校验–>

<filter>

<filter-name>CAS Validation Filter</filter-name>

<filter-class>org.jasig.cas.client.validation.Cas20ProxyReceivingTicketValidationFilter</filter-class>

        <init-param>

            <param-name>casServerUrlPrefix</param-name>

            <!—下面一定要是主机名称(客户端主机要添加服务器主机名称与服务器的IP映射,在host文件中添加),其他的可以用IP(我遇到了这样的问题),casserver产生密钥的时候输入的”姓名(CN)”,并且要有这个域名,或者hosts文件中要有定义 –>

            <param-value>https://lin:8443/cas3</param-value>

        </init-param>

        <init-param>

           <param-name>serverName</param-name>

           <param-value>http://lin:8999</param-value><!—这里写客户端的端口号 –>

       </init-param>

       <init-param>

           <param-name>useSession</param-name>

           <param-value>true</param-value>

       </init-param>

       <init-param>

           <param-name>redirectAfterValidation</param-name>

           <param-value>true</param-value>

       </init-param>

</filter>

<filter>

    <filter-name>CAS HttpServletRequest WrapperFilter</filter-name>

    <filter-class>org.jasig.cas.client.util.HttpServletRequestWrapperFilter</filter-class>

</filter>

<filter>

    <filter-name>CAS Assertion Thread Local Filter</filter-name>

    <filter-class>org.jasig.cas.client.util.AssertionThreadLocalFilter</filter-class>

</filter>

    <filter-mapping>

       <filter-name>CAS Authentication Filter</filter-name>

        <url-pattern>/*</url-pattern>

    </filter-mapping>

    <filter-mapping>

        <filter-name>CAS Validation Filter</filter-name>

        <url-pattern>/*</url-pattern>

    </filter-mapping>

    <filter-mapping>

        <filter-name>CAS HttpServletRequest WrapperFilter</filter-name>

        <url-pattern>/*</url-pattern>

    </filter-mapping>

    <filter-mapping>

        <filter-name>CAS Assertion Thread Local Filter</filter-name>

        <url-pattern>/*</url-pattern>

    </filter-mapping>

     <!– END CAS –>

 

———————————客户端配置(2)—————————————

 

 

 

 

第三步:定制自己的身份登录密码

在服务端tomcat中,找到webapps/cas3/中的deployerConfigContext.xml,编辑:

 

找到

<bean />

这是CAS默认身份认证,只要用户名和密码相同就可以登录,注释掉<!– à,定制自己的认证,替换成

<!–下面是数据库配置–>

 

<bean>

<property name=”dataSource” ref=”casDataSource” />

<property name=”sql” value=”select passwd from market.sys_phone_login@ncdata  where phone_id = ?” />

<!–<property name=”passwordEncoder”  ref=”myPasswordEncoder”/> –>

</bean>

</list>

</property>

</bean>

<bean id=”casDataSource” destroy-method=”close”>

<property name=”driverClassName”>

<value>oracle.jdbc.driver.OracleDriver</value>

</property>

<property name=”url”>

<value>jdbc:oracle:thin:@10.175.183.118:1521:info</value>

</property>

<property name=”username”>

<value>prm</value>

</property>

<property name=”password”>

<value>prm</value>

</property>

</bean>

<bean id=”myPasswordEncoder”>

<constructor-arg value=”MD5″/>

</bean>

 

同时要把链接自己数据库的ORACLE JAR包资源等,放入项目的LIB目录下。

 

 

第四步:UI 的DIY设计

提示:获取用户信息

<%String user=(String)session.getAttribute(“CASFilter.CAS_FILTER_USER”);%>//2.0.11版本

    //HttpServletRequest request = ServletActionContext.getRequest();

<%  AttributePrincipal principal = (AttributePrincipal)request.getUserPrincipal();

    String username = principal.getName();   //3.3版本

    //Long orgnId = Long.parseLong(principal.getAttributes().get(“orgnId”).toString());

%>

遇到的问题:

(1)

由于cas的证书需要域名才能正确的进行认证信息的交互,不支持ip,如果server和client在同一台机器上,可以使用localhost,如果像我们上面描述的三台服务器这样的环境,使用localhost或者ip是不能正常运行的。如果使用ip,运行时会抛出 HTTPS hostname wrong,如果客户端CAS过滤器没配好会返回no response 的错误。

解决的方法如下:

   假设server1的ip为:192.168.10.1,client1的ip为192.168.10.2,开发机器(xp)的ip为:192.168.10.3

在server1和client1上设置本机的域名映射:

vi /etc/hosts 添加以下行

192.168.10.1 cas.server (cas服务器所在的主机要加这个映射,同时客户机服务器主机要加上cas服务器名称和地址的映射,这很重要,不过这是针对HTTPS方式认证)

在开发机器(xp)下,在C:/WINDOWS/system32/drivers/etc目录下,编辑hosts文件,添加以下行

192.168.10.1 cas.server

 重新生成cas-sever的服务器端的证书,在开始问“你的名字”或“DName”的时候,必须填写你服务器所在域名(cas.server)

然后重新到处服务器器端的证书,并将其导入到client1服务器的jvm

 最后修改servlets-examples/WEB-INF/web.xml中关于cas过滤器的配置:

请将your.cas.server.name(eg:server1)修改为cas.server即可。重新启动server1和client1的服务器上的tomcat就可正常运行。

 ttp://client1:8080/servlets-examples/servlet/HelloWorldExample

系统会自动跳转到一个验证页面,随便输入一个相同的账号,密码,验证通过之后就会访问

到真正的HelloWorldExample这个servlet了

(2)取消cas服务器HTTPS认证,去除浏览器的警告,也就是用http认证(降低安全性)

 

Cas服务器用cas-server-3.3.1-release.zip,cas客户端用cas-client-3.1.3-release.zip,他们的配置我就不说了,上面都有详细说明。

A.服务器端更改:

配置文件: $WebRoot/WEB-INF/sprint-configuration/ticketGrantingTicketCookieGenerator.xml  ,

  1. <bean id=”ticketGrantingTicketCookieGenerator”
  2.       class=”org.jasig.cas.web.support.CookieRetrievingCookieGenerator”
  3.         p:cookieSecure=”true” <!– 就是这东西在作怪,改成false就OK了 –>
  4.         p:cookieMaxAge=”-1″ <!– 这个不讨论 –>
  5.         p:cookieName=”CASTGC” <!– 这个也不讨论 –>
  6.         p:cookiePath=”/cas” <!– 这个有等于没有,为什么?看下面 –>
  7. />

服务器修改完成。

 

B.客户端修改

还记得我们上面说的在客户端web.xml中cas服务器过滤器中,用到的是https://lin:8443/cas3/login之类的,现在我们要将这中服务端的连接改成:http://lin:8080/cas3/login这种方式,因为我们要用http来传递ST,注意cas服务器的http端口号我本机上是8080,这个看自己有没有改,如果改了这里也要改。(开始我就是这里没改成cas服务器的http端口,而只是把https改成http,一直报错,所以这是需要注意)

 

这个版本的cas客户端就修改完成,其他版本的修改麻烦……

Leave a Reply

Your email address will not be published. Required fields are marked *