实现CAS与AD在Windows下集成（修订）

        经过几天寝食难安的努力，终于在昨天晚上通过了cas与ad的集成验证。总结经验，绕了很多圈子，这篇博客将会直接提供配置过程，最终实现验证通过。
        首先，创建了必须的域控制器、cas服务器、客户机及应用系统，所有机器都加入域中备用。这里要说明的是，我所使用的域控制器为windows2003，cas server版本为：cas-server-3.4.10-release，cas client版本为：cas-client-3.2.1-release。
        接着要实现cas的sso，这两篇文档可以指导实现cas的单点登录:
        http://www.ibm.com/developerworks/cn/opensource/os-cn-cas/
        http://www.wsria.com/archives/1349 
        经过我的验证，文章中的方法可行。其中深入配置的部分主要是如何配置数据库，若单纯实现与域的集成，不需要数据库支持，可以不予配置。
        实现cas sso后，cas部分就准备好了。还要准备的是域环境。由于本次配置的域环境是现成的，所以这里不提供配置方案。
        域准备好后，条件都具备了，接下来的配置可参考：http://jcbay.iteye.com/blog/708020
        需要注意的是，

引用

c、退出authenticationManager，在外层加入一个标签bean:"jcifsConfig "：
<bean name="jcifsConfig" class="org.jasig.cas.support.spnego.authentication.handler.support.JCIFSConfig">
  <property name="jcifsServicePrincipal" value="HTTP/your.server.name.here@YOUR.REALM.HERE" />
  <property name="jcifsServicePassword" value="the.service.password.here" />
  <property name="kerberosDebug" value="false" />
  <property name="kerberosRealm" value="YOUR.REALM.HERE" />
  <property name="kerberosKdc" value="THE.KDC.IP.HERE" />
  <property name="loginConf" value="/path/to/WEB-INF/login.conf" />
</bean>

        这里边的jcifsServicePrincipal参数，value我没有配置为：HTTP/your.server.name.here@YOUR.REALM.HERE，我改为了：HTTP/RainTime@YOUR.REALM.HERE，前边的HTTP/RainTime即为：

引用

2:在Windows AD中创建用户
A、启动域用户管理：开始→管理工具→Active Director用户和计算机。
B、创建用户：Users→右键→新建→用户。
C、添入要创建的用户信息，比如是“RainTime”：“姓：RainTime；姓名：RainTime；用户登录名：HTTP/RainTime；用户登录名（Windows 2000以前版本）：RainTime”。
D、输入密码，并选择“密码永不过期”，比如是：111111
E、点击确定，完成用户创建。

中的“用户登陆名”。

        接下来出现了找不到验证头的问题。将client IE浏览器中的“工具”——“Internet选项”——“高级”——“启用集成windows身份验证（需要重启动）”选中。解决了这个问题。

        接着出现了校验和失败的情况。经过绕了很多弯子，修改了几个地方最终实现域验证。修改的位置如下：
        1、AD域控制器中，“开始”的“搜索程序和文件”一栏中输入：“ADSI”，打开ADSI编辑器，直接连接到本机。
在CN=Computers——CN=CAS SERVER上鼠标右键——属性。打开属性编辑器，找到“userAccountControl”，打开该属性，将该值加上“2097152”（16进制的200000）。
在OU=Domain Controller——CN=AD Server上鼠标右键——属性。打开属性编辑器，找到“userAccountControl”，打开该属性，将该值加上“2097152”（16进制的200000）。

        2、AD域控制器中，“开始”——“运行”中输入regedit进入注册表编辑器，找到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc 位置。用鼠标右键单击 Kdc，指向 新建，然后再单击 DWORD 值。类型 KdcUseRequestedEtypesForTickets 作为 新值。用鼠标右键单击 KdcUseRequestedEtypesForTickets，然后单击 修改。 若要启用客户端指定一个 etype、 设置 KdcUseRequestedEtypesForTickets 注册表值为 1。如果您删除 KdcUseRequestedEtypesForTickets KDC 的注册表值将使用默认行为。单击 确定，然后退出注册表编辑器。重新启动密钥分发中心服务。注意 此注册表更改不会生效，直到您重新启动密钥分发中心服务。

        3、AD域控制器中，打开Active Directory用户和计算机，找到用户，点击鼠标右键，“属性”——“账户”——“账户选项”。将“为此账户使用Kerberos DES加密类型”和“不要求Kerberos预身份验证”勾选上。点击确定，对该用户重置密码。

        上述三点全部做完以后，在AD域控制器中重启涉及到的服务。包括Server，Workstation，Active Directory Domain Services，Kerberos Key DistributionCenter等以及依赖服务。
 
        最后说明一点，小宇做的集成是在windows平台上的，官方文档上面描述的是在linux平台上的，两者还是有区别的。windows中可以取到所要用的kerberos验证信息，不需要在ad控制器生成keytab文件。所以直接做cas server的配置就可以了。若参考标准手册：https://wiki.jasig.org/display/CASUM/SPNEGO，则生成keytab文件以及Test the SPN account的部分可以省略不看，直接到Set up Cas即可。

评论

5 楼 u011938035 2015-01-05  

你好，能给一份标签bean:"jcifsConfig "：的配置示例吗？

4 楼 licanemma 2013-01-04  

您好！在网上看到你写的cas和ad集成的文章，写的很详细，受益匪浅。
我按照你的步骤配置了。但是未成功。
我的环境信息为：
cas 3.4.2 ,tomcat 7.0.16 ,
均为windows server 2003的操作系统。
我按照你的步骤配置之后，在开始就报错：


2013-01-04 05:49:33,813 DEBUG [org.jasig.cas.web.support.CasArgumentExtractor] - Extractor did not generate service.

2013-01-04 05:49:33,829 DEBUG [org.jasig.cas.web.support.SamlArgumentExtractor] - Extractor did not generate service.



请问是什么原因？
非常期待您的回信。
祝  新的一年天天开心，万事顺利！

3 楼 nishiufo 2012-08-02  

大虾好，最近小弟也在配置CAS SPNEGO在windows下集成，报错信息和你的一样，如下：
   “ 2012-07-19 09:02:50,524 DEBUG [org.jasig.cas.support.spnego.web.flow.SpnegoNegoc
iateCredentialsAction] - <Authorization header not found. Sending WWW-Authenticate header>”和“2012-07-19 10:20:21,136 DEBUG [org.jasig.cas.support.spnego.web.flow.SpnegoCrede
ntialsAction] - <SPNEGO Authorization header found with 56 bytes>
2012-07-19 10:20:21,136 DEBUG [org.jasig.cas.support.spnego.web.flow.SpnegoCrede
ntialsAction] - <Obtained token: NTLMSSP

2012-07-19 10:20:21,136 DEBUG [org.jasig.cas.support.spnego.web.flow.SpnegoCrede
ntialsAction] - <Obtained token: NTLMSSP  乱码”

    当时你是怎么解决的啊，我们需要你的解答~~   

2 楼 zdx3578 2011-12-21  

我也很久没上javaeye了，忙。  不错！

1 楼 s103y 2011-11-22  

不好意思,好久没上javaeye,今天才看到你给我的留言
呵呵,恭喜你,搞定了CAS