cas 服務(wù)器端配置cas 介紹： CAS 是 Yale 大學(xué)發(fā)起的一個開源項目，旨在為 Web 應(yīng)用系統(tǒng)提供一種可靠的單點登錄方法，CAS 在 2004 年 12 月正式成為 JA-SIG 的一個項

cas 服務(wù)器端配置

cas 介紹： CAS 是 Yale 大學(xué)發(fā)起的一個開源項目，旨在為 Web 應(yīng)用系統(tǒng)提供一種可靠的單點登錄方法，CAS 在 2004 年 12 月正式成為 JA-SIG 的一個項目。CAS 具有以下特點： ?

?

? 開源的企業(yè)級單點登錄解決方案。 CAS Server 為需要獨立部署的 Web 應(yīng)用。 支持非常多的客戶端(這里指單點登錄系統(tǒng)中的各個 Web 應(yīng)用) ，包括 Java, .Net, PHP, Perl, Apache, uPortal, Ruby 等。

CAS 原理和協(xié)議

從結(jié)構(gòu)上看，CAS 包含兩個部分： CAS Server 和

CAS Client。CAS Server 需要獨立部署，主要負責(zé)對用戶的認證工作；CAS Client 負責(zé)處理對客戶端受保護資源的訪問請求，需要登錄時，重定向到 CAS Server。圖1 是 CAS 最基本的協(xié)議過程：

圖 1. CAS 基礎(chǔ)協(xié)議

CAS Client 與受保護的客戶端應(yīng)用部署在一起，以 Filter 方式保護受保護的資源。對于訪問受保護資源的每個 Web 請求，CAS Client 會分析該請求的 Http 請求中是否包含

Service Ticket，如果沒有，則說明當(dāng)前用戶尚未登錄，于是將請求重定向到指定好的 CAS Server 登錄地址，并傳遞 Service （也就是要訪問的目的資源地址），以便登錄成功過后轉(zhuǎn)回該地址。用戶在第 3 步中輸入認證信息，如果登錄成功，CAS Server 隨機產(chǎn)生一個相當(dāng)長度、唯一、不可偽造的 Service Ticket，并緩存以待將來驗證，之后系統(tǒng)自動重定向到 Service 所在地址，并為客戶端瀏覽器設(shè)置一個 Ticket Granted Cookie（TGC ），CAS Client 在拿到 Service 和新產(chǎn)生的 Ticket 過后，在第 5，6 步中與 CAS Server 進行身份合適，以確保 Service Ticket 的合法性。

在該協(xié)議中，所有與 CAS 的交互均采用 SSL 協(xié)議，確保，ST 和 TGC 的安全性。協(xié)議工作過程中會有 2 次重定向的過程，但是 CAS Client 與 CAS Server 之間進行 Ticket 驗證的過程對于用戶是透明的。

另外，CAS 協(xié)議中還提供了 Proxy （代理）模式，以適應(yīng)更加高級、復(fù)雜的應(yīng)用場景，具體介紹可以參考 CAS 官方網(wǎng)站上的相關(guān)文檔。

CAS 服務(wù)器端配置

配置服務(wù)器環(huán)境

首先下載必須的軟件：

Tomcat6.0: http://tomcat.apache.org/download-60.cgi

Windows Service Installer

Jdk : http://java.sun.com/javase/downloads/index.jsp

你可以選擇帶有 jre 的安裝文件或者你機器里現(xiàn)在有 jre 環(huán)境則只需要下載 JDK. Java SE 6 Update 10 Beta (不帶JRE)

JDK 6 Update 6 (帶JRE)

Java Runtime Environment (JRE) 6 Update 6 (JRE)

下面按步驟來：

1. 安裝JDK 和JRE

一直下一步到安裝完成，記住JDK 安裝的路徑。

2. 設(shè)置JDK 相關(guān)的環(huán)境變量

1). 切換到桌面，右鍵點擊“我的電腦” -> 屬性 -> 高級 -> 如圖 建立一個 JAVA_HOME 環(huán)境變量，變量值為JDK 的根目錄。

2). 和上面一樣的操作，建立 環(huán)境變量 CLASSPATH ，值為 “.;JAVA_HOMElib;JAVA_HOMElibtools.jar;JAVA_HOMEjrelibrt.jar”

3). 還是操作環(huán)境變量但不是新建，而是編輯。編輯 Path 變量，最變量值最后面加上

;JAVA_HOMEbin;

3. 安裝Tomcat

1). 一直下一步，中間需要選擇安裝路徑和 JVM 目錄，如果JDK 和JRE 安裝沒問題，這里他應(yīng)該能自動找得到，否則需要你手動指定一下。 中間什么也不用管，有一部讓你設(shè)置端口，不用動，保持默認的就行了。

2). 新增一個 CATALINA_HOME 環(huán)境變量，變量值為你TOMCAT 安裝時的根目錄。

3. 測試運行服務(wù)器

安裝后的bin 目錄共有一下幾個文件：

bootstrap.jar

tomcat-juli.jar

tomcat6.exe

tomcat6w.exe

其中tomcat6w.exe 是監(jiān)控tomcat 運行的，可以直接運行，或者縮小到屏幕右下角成為一個小圖標。

直接運行tomcat6w.exe 或者“tomcat6w //ES//” 都可以進入監(jiān)控配置窗口；

或者運行“tomcat6w //MS//”把它縮小到右下角。

也可用startup.bat 和shutdown.bat 來啟動和關(guān)閉服務(wù)。

web 訪問測試

啟動后，可以通過瀏覽器進行訪問，測試運行是否正常。

用IE 或者Firefox 等瀏覽器，輸入地址：

經(jīng)常遇到的一個問題是端口沖突，最常見的就是80端口被占用，導(dǎo)致服務(wù)無法正常啟動。如果通過tomcat6 //TS//tomcat6來啟動，馬上就能夠發(fā)現(xiàn)提示信息。修改一下tomcat6confserver.xml中的端口就能夠解決。

通常使用80端口的有：

1. IIS服務(wù)器，因為在windows 服務(wù)器上，很多都安裝了IIS ，而IIS 默認的端口就是80.

2. skype即時聊天工具，skype 的可以穿透防火墻的本領(lǐng)，也是通過占用80端口實現(xiàn)的。

查看端口占用的命令：

進入windows 命令行，輸入：

netstat -an

這個命令返回有4列：protocol 協(xié)議、local address 本機地址、foreign address 來訪者地址、status 狀態(tài)

瀏覽本機地址一列，可以看到當(dāng)前主機對外服務(wù)的IP 地址、端口都有哪些。 如果一臺機器有192.168.1.100和192.168.1.101兩個地址，那么：

0.0.0.0:80表示這臺機器上所有80端口都被使用

127.0.0.1:80表示127.0.0.1的80被使用，但.100和.101IP 地址的80還未使用。 192.168.1.100:80表示.100IP 地址的80端口被使用

192.168.1.101:80表示.101IP 地址的80端口被使用

部署 CAS Server

CAS Server 是一套基于 Java 實現(xiàn)的服務(wù)，該服務(wù)以一個 Java Web Application 單獨部署在與 servlet2.3 兼容的 Web 服務(wù)器上，另外，由于 Client 與 CAS Server 之間的交互采用 Https 協(xié)議，因此部署 CAS Server 的服務(wù)器還需要支持 SSL 協(xié)議。當(dāng) SSL 配置成功過后，像普通 Web 應(yīng)用一樣將 CAS Server 部署在服務(wù)器上就能正常運行了，不過，在真正使用之前，還需要擴展驗證用戶的接口。

Tomcat 配置HTTPS 方式

1、開始-〉運行-〉cmd 進入到j(luò)dk 下的bin 目錄

2、輸入如下指令

keytool -v -genkey -alias tomcat -keyalg RSA -keystore

d:/tomcat.keystore -validity 36500

附：

d:/tomcat.keystore是將生成的tomcat.keystore 放到d 盤根目錄下。

"-validity 36500”含義是證書有效期，36500表示100年，默認值是90天

注意若要放到c 盤，在win7系統(tǒng)下，需要以管理員身份進入到命令行中進行操作，否則是無法創(chuàng)建tomcat.keystore 的。本例放到d 盤下。

如何以管理員身份進入到命令行下呢？開始->搜索框中輸入cmd->等待（注意不回車）->出現(xiàn)cmd.exe->右鍵“以管理員身份運行”即可。

3、輸入keystore 密碼

密碼任意，此處以123456為例，要記住這個密碼，之后在進行server.xml 配置時需要使用。

4、輸入名字、組織單位、組織、市、省、國家等信息

注意事項：

A 、Enter keystore password：此處需要輸入大于6個字符的字符串

B 、“What is your first and last name?”這是必填項，并且必須是TOMCAT 部署主機的域名或者IP[如：gbcom.com 或者 10.1.25.251]，就是你將來要在瀏覽器中輸入的訪問地址

C 、“What is the name of your organizational unit?”、“What is the name of your organization?”、“What is the name of your City or Locality?”、“What is the name of your State or Province?”、“What is the two-letter country code for this unit?”可以按照需要填寫也可以不填寫直接回車，在系統(tǒng)詢問“correct?”時，對照輸入信息，如果符合要求則使用鍵盤輸入字母“y”，否則輸入“n”重新填寫上面的信息

D 、Enter key password for ，這項較為重要，會在tomcat 配置文件中使用，建議輸入與keystore 的密碼一致，設(shè)置其它密碼也可以

l 完成上述輸入后，直接回車則在你在第二步中定義的位置找到生成的文件

5、輸入之后會出現(xiàn)確認的提示

此時輸入y ，并回車。此時創(chuàng)建完成keystore 。

進入到D 盤根目錄下可以看到已經(jīng)生成的tomcat.xml

6、進入tomcat 文件夾

找到conf 目錄下的sever.xml 并進行編輯

7、編輯

maxThreads="150" scheme="https" secure="true"

clientAuth="false"

keystoreFile="D:/AppServer/Tomcat/apache-tomcat-6.0.32/conf/tomcat.keystore"

keystorePass="deleiguo" sslProtocol="TLS" />

注：

方框中的keystore 的密碼，就是剛才我們設(shè)置的“123456”.

編輯完成后關(guān)閉并保存sever.xml

8、Tomcat 啟動成功后，使用https://127.0.0.1:8443 訪問頁面

頁面成功打開即tomcat 下的https 配置成功。

9、注意事項：

（1） 生成證書的時間，如果IE 客戶端所在機器的時間早于證書生效時間，或者晚于有效時間，IE 會提示“該安全證書已到期或還未生效”

（2） 如果IE 提示“安全證書上的名稱無效或者與站點名稱不匹配”，則是由生成證書時填寫的服務(wù)器所在主機的域名“您的名字與姓氏是什么？”/“What is your first and last name?”不正確引起的

10、遺留問題：

（1）如果AC 主機不能通過域名查找，必須使用IP ，但是這個IP 只有在配置后才能確定，這樣證書就必須在AC 確定IP 地址后才能生成

（2）證書文件只能綁定一個IP 地址，假設(shè)有10.1.25.250 和 192.168.1.250 兩個IP 地址，在證書生成文件時，如使用了10.1.25.250，通過IE 就只能使用10.1.25.250 來訪問AC-WEB ，192.168.1.250是無法訪問AC-WEB 的。

配置CAS

1. 下載cas http://www.ja-sig.org/downloads/cas/cas-server-3.4.2-release.zip

2. 安裝cas-server ，我們假定安裝cas-server 的服務(wù)器為server1

(1) 將cas-server-3.4.2-release.zip 解壓，將moudels 目錄下

cas-server-webapp-x.x.war 拷貝到tomcat 的webapps 目錄下，修 改名稱為cas.war.

(2) 生成server1的安全證書：

keytool -export -alias tomcat -file D:/file.cer -keystore d:/tomcat.keystore -validity 36500

然后輸入d:/tomcat.keystore中的keystore 密碼

-file D:/file.cer 即為生成的cer 文件，可直接點擊安裝

(3) 重新啟動server1上的tomcat ，檢驗cas 配置是否成功，訪問或域名:8443/cas/login,如果能看到cas 的登錄頁面則表示配置成功。