cas 服務(wù)器端配置cas 介紹： CAS 是 Yale 大學(xué)發(fā)起的一個(gè)開源項(xiàng)目，旨在為 Web 應(yīng)用系統(tǒng)提供一種可靠的單點(diǎn)登錄方法，CAS 在 2004 年 12 月正式成為 JA-SIG 的一個(gè)項(xiàng)

cas 服務(wù)器端配置

cas 介紹： CAS 是 Yale 大學(xué)發(fā)起的一個(gè)開源項(xiàng)目，旨在為 Web 應(yīng)用系統(tǒng)提供一種可靠的單點(diǎn)登錄方法，CAS 在 2004 年 12 月正式成為 JA-SIG 的一個(gè)項(xiàng)目。CAS 具有以下特點(diǎn)： ?

?

? 開源的企業(yè)級(jí)單點(diǎn)登錄解決方案。 CAS Server 為需要獨(dú)立部署的 Web 應(yīng)用。 支持非常多的客戶端(這里指單點(diǎn)登錄系統(tǒng)中的各個(gè) Web 應(yīng)用) ，包括 Java, .Net, PHP, Perl, Apache, uPortal, Ruby 等。

CAS 原理和協(xié)議

從結(jié)構(gòu)上看，CAS 包含兩個(gè)部分： CAS Server 和

CAS Client。CAS Server 需要獨(dú)立部署，主要負(fù)責(zé)對(duì)用戶的認(rèn)證工作；CAS Client 負(fù)責(zé)處理對(duì)客戶端受保護(hù)資源的訪問請(qǐng)求，需要登錄時(shí)，重定向到 CAS Server。圖1 是 CAS 最基本的協(xié)議過程：

圖 1. CAS 基礎(chǔ)協(xié)議

CAS Client 與受保護(hù)的客戶端應(yīng)用部署在一起，以 Filter 方式保護(hù)受保護(hù)的資源。對(duì)于訪問受保護(hù)資源的每個(gè) Web 請(qǐng)求，CAS Client 會(huì)分析該請(qǐng)求的 Http 請(qǐng)求中是否包含

Service Ticket，如果沒有，則說明當(dāng)前用戶尚未登錄，于是將請(qǐng)求重定向到指定好的 CAS Server 登錄地址，并傳遞 Service （也就是要訪問的目的資源地址），以便登錄成功過后轉(zhuǎn)回該地址。用戶在第 3 步中輸入認(rèn)證信息，如果登錄成功，CAS Server 隨機(jī)產(chǎn)生一個(gè)相當(dāng)長度、唯一、不可偽造的 Service Ticket，并緩存以待將來驗(yàn)證，之后系統(tǒng)自動(dòng)重定向到 Service 所在地址，并為客戶端瀏覽器設(shè)置一個(gè) Ticket Granted Cookie（TGC ），CAS Client 在拿到 Service 和新產(chǎn)生的 Ticket 過后，在第 5，6 步中與 CAS Server 進(jìn)行身份合適，以確保 Service Ticket 的合法性。

在該協(xié)議中，所有與 CAS 的交互均采用 SSL 協(xié)議，確保，ST 和 TGC 的安全性。協(xié)議工作過程中會(huì)有 2 次重定向的過程，但是 CAS Client 與 CAS Server 之間進(jìn)行 Ticket 驗(yàn)證的過程對(duì)于用戶是透明的。

另外，CAS 協(xié)議中還提供了 Proxy （代理）模式，以適應(yīng)更加高級(jí)、復(fù)雜的應(yīng)用場(chǎng)景，具體介紹可以參考 CAS 官方網(wǎng)站上的相關(guān)文檔。

CAS 服務(wù)器端配置

配置服務(wù)器環(huán)境

首先下載必須的軟件：

Tomcat6.0: http://tomcat.apache.org/download-60.cgi

Windows Service Installer

Jdk : http://java.sun.com/javase/downloads/index.jsp

你可以選擇帶有 jre 的安裝文件或者你機(jī)器里現(xiàn)在有 jre 環(huán)境則只需要下載 JDK. Java SE 6 Update 10 Beta (不帶JRE)

JDK 6 Update 6 (帶JRE)

Java Runtime Environment (JRE) 6 Update 6 (JRE)

下面按步驟來：

1. 安裝JDK 和JRE

一直下一步到安裝完成，記住JDK 安裝的路徑。

2. 設(shè)置JDK 相關(guān)的環(huán)境變量

1). 切換到桌面，右鍵點(diǎn)擊“我的電腦” -> 屬性 -> 高級(jí) -> 如圖 建立一個(gè) JAVA_HOME 環(huán)境變量，變量值為JDK 的根目錄。

2). 和上面一樣的操作，建立 環(huán)境變量 CLASSPATH ，值為 “.;JAVA_HOMElib;JAVA_HOMElibtools.jar;JAVA_HOMEjrelibrt.jar”

3). 還是操作環(huán)境變量但不是新建，而是編輯。編輯 Path 變量，最變量值最后面加上

;JAVA_HOMEbin;

3. 安裝Tomcat

1). 一直下一步，中間需要選擇安裝路徑和 JVM 目錄，如果JDK 和JRE 安裝沒問題，這里他應(yīng)該能自動(dòng)找得到，否則需要你手動(dòng)指定一下。 中間什么也不用管，有一部讓你設(shè)置端口，不用動(dòng)，保持默認(rèn)的就行了。

2). 新增一個(gè) CATALINA_HOME 環(huán)境變量，變量值為你TOMCAT 安裝時(shí)的根目錄。

3. 測(cè)試運(yùn)行服務(wù)器

安裝后的bin 目錄共有一下幾個(gè)文件：

bootstrap.jar

tomcat-juli.jar

tomcat6.exe

tomcat6w.exe

其中tomcat6w.exe 是監(jiān)控tomcat 運(yùn)行的，可以直接運(yùn)行，或者縮小到屏幕右下角成為一個(gè)小圖標(biāo)。

直接運(yùn)行tomcat6w.exe 或者“tomcat6w //ES//” 都可以進(jìn)入監(jiān)控配置窗口；

或者運(yùn)行“tomcat6w //MS//”把它縮小到右下角。

也可用startup.bat 和shutdown.bat 來啟動(dòng)和關(guān)閉服務(wù)。

web 訪問測(cè)試

啟動(dòng)后，可以通過瀏覽器進(jìn)行訪問，測(cè)試運(yùn)行是否正常。

用IE 或者Firefox 等瀏覽器，輸入地址：

經(jīng)常遇到的一個(gè)問題是端口沖突，最常見的就是80端口被占用，導(dǎo)致服務(wù)無法正常啟動(dòng)。如果通過tomcat6 //TS//tomcat6來啟動(dòng)，馬上就能夠發(fā)現(xiàn)提示信息。修改一下tomcat6confserver.xml中的端口就能夠解決。

通常使用80端口的有：

1. IIS服務(wù)器，因?yàn)樵趙indows 服務(wù)器上，很多都安裝了IIS ，而IIS 默認(rèn)的端口就是80.

2. skype即時(shí)聊天工具，skype 的可以穿透防火墻的本領(lǐng)，也是通過占用80端口實(shí)現(xiàn)的。

查看端口占用的命令：

進(jìn)入windows 命令行，輸入：

netstat -an

這個(gè)命令返回有4列：protocol 協(xié)議、local address 本機(jī)地址、foreign address 來訪者地址、status 狀態(tài)

瀏覽本機(jī)地址一列，可以看到當(dāng)前主機(jī)對(duì)外服務(wù)的IP 地址、端口都有哪些。 如果一臺(tái)機(jī)器有192.168.1.100和192.168.1.101兩個(gè)地址，那么：

0.0.0.0:80表示這臺(tái)機(jī)器上所有80端口都被使用

127.0.0.1:80表示127.0.0.1的80被使用，但.100和.101IP 地址的80還未使用。 192.168.1.100:80表示.100IP 地址的80端口被使用

192.168.1.101:80表示.101IP 地址的80端口被使用

部署 CAS Server

CAS Server 是一套基于 Java 實(shí)現(xiàn)的服務(wù)，該服務(wù)以一個(gè) Java Web Application 單獨(dú)部署在與 servlet2.3 兼容的 Web 服務(wù)器上，另外，由于 Client 與 CAS Server 之間的交互采用 Https 協(xié)議，因此部署 CAS Server 的服務(wù)器還需要支持 SSL 協(xié)議。當(dāng) SSL 配置成功過后，像普通 Web 應(yīng)用一樣將 CAS Server 部署在服務(wù)器上就能正常運(yùn)行了，不過，在真正使用之前，還需要擴(kuò)展驗(yàn)證用戶的接口。

Tomcat 配置HTTPS 方式

1、開始-〉運(yùn)行-〉cmd 進(jìn)入到j(luò)dk 下的bin 目錄

2、輸入如下指令

keytool -v -genkey -alias tomcat -keyalg RSA -keystore

d:/tomcat.keystore -validity 36500

附：

d:/tomcat.keystore是將生成的tomcat.keystore 放到d 盤根目錄下。

"-validity 36500”含義是證書有效期，36500表示100年，默認(rèn)值是90天

注意若要放到c 盤，在win7系統(tǒng)下，需要以管理員身份進(jìn)入到命令行中進(jìn)行操作，否則是無法創(chuàng)建tomcat.keystore 的。本例放到d 盤下。

如何以管理員身份進(jìn)入到命令行下呢？開始->搜索框中輸入cmd->等待（注意不回車）->出現(xiàn)cmd.exe->右鍵“以管理員身份運(yùn)行”即可。

3、輸入keystore 密碼

密碼任意，此處以123456為例，要記住這個(gè)密碼，之后在進(jìn)行server.xml 配置時(shí)需要使用。

4、輸入名字、組織單位、組織、市、省、國家等信息

注意事項(xiàng)：

A 、Enter keystore password：此處需要輸入大于6個(gè)字符的字符串

B 、“What is your first and last name?”這是必填項(xiàng)，并且必須是TOMCAT 部署主機(jī)的域名或者IP[如：gbcom.com 或者 10.1.25.251]，就是你將來要在瀏覽器中輸入的訪問地址

C 、“What is the name of your organizational unit?”、“What is the name of your organization?”、“What is the name of your City or Locality?”、“What is the name of your State or Province?”、“What is the two-letter country code for this unit?”可以按照需要填寫也可以不填寫直接回車，在系統(tǒng)詢問“correct?”時(shí)，對(duì)照輸入信息，如果符合要求則使用鍵盤輸入字母“y”，否則輸入“n”重新填寫上面的信息

D 、Enter key password for ，這項(xiàng)較為重要，會(huì)在tomcat 配置文件中使用，建議輸入與keystore 的密碼一致，設(shè)置其它密碼也可以

l 完成上述輸入后，直接回車則在你在第二步中定義的位置找到生成的文件

5、輸入之后會(huì)出現(xiàn)確認(rèn)的提示

此時(shí)輸入y ，并回車。此時(shí)創(chuàng)建完成keystore 。

進(jìn)入到D 盤根目錄下可以看到已經(jīng)生成的tomcat.xml

6、進(jìn)入tomcat 文件夾

找到conf 目錄下的sever.xml 并進(jìn)行編輯

7、編輯

maxThreads="150" scheme="https" secure="true"

clientAuth="false"

keystoreFile="D:/AppServer/Tomcat/apache-tomcat-6.0.32/conf/tomcat.keystore"

keystorePass="deleiguo" sslProtocol="TLS" />

注：

方框中的keystore 的密碼，就是剛才我們?cè)O(shè)置的“123456”.

編輯完成后關(guān)閉并保存sever.xml

8、Tomcat 啟動(dòng)成功后，使用https://127.0.0.1:8443 訪問頁面

頁面成功打開即tomcat 下的https 配置成功。

9、注意事項(xiàng)：

（1） 生成證書的時(shí)間，如果IE 客戶端所在機(jī)器的時(shí)間早于證書生效時(shí)間，或者晚于有效時(shí)間，IE 會(huì)提示“該安全證書已到期或還未生效”

（2） 如果IE 提示“安全證書上的名稱無效或者與站點(diǎn)名稱不匹配”，則是由生成證書時(shí)填寫的服務(wù)器所在主機(jī)的域名“您的名字與姓氏是什么？”/“What is your first and last name?”不正確引起的

10、遺留問題：

（1）如果AC 主機(jī)不能通過域名查找，必須使用IP ，但是這個(gè)IP 只有在配置后才能確定，這樣證書就必須在AC 確定IP 地址后才能生成

（2）證書文件只能綁定一個(gè)IP 地址，假設(shè)有10.1.25.250 和 192.168.1.250 兩個(gè)IP 地址，在證書生成文件時(shí)，如使用了10.1.25.250，通過IE 就只能使用10.1.25.250 來訪問AC-WEB ，192.168.1.250是無法訪問AC-WEB 的。

配置CAS

1. 下載cas http://www.ja-sig.org/downloads/cas/cas-server-3.4.2-release.zip

2. 安裝cas-server ，我們假定安裝cas-server 的服務(wù)器為server1

(1) 將cas-server-3.4.2-release.zip 解壓，將moudels 目錄下

cas-server-webapp-x.x.war 拷貝到tomcat 的webapps 目錄下，修 改名稱為cas.war.

(2) 生成server1的安全證書：

keytool -export -alias tomcat -file D:/file.cer -keystore d:/tomcat.keystore -validity 36500

然后輸入d:/tomcat.keystore中的keystore 密碼

-file D:/file.cer 即為生成的cer 文件，可直接點(diǎn)擊安裝

(3) 重新啟動(dòng)server1上的tomcat ，檢驗(yàn)cas 配置是否成功，訪問或域名:8443/cas/login,如果能看到cas 的登錄頁面則表示配置成功。