【转载】CAS 服务端配置

chengtong_java

浏览: 113591 次
性别:
来自: 武汉

最近访客更多访客>>

komelio

sunqianlong

iams13

fruwei

博主相关

博客

微博

相册

留言

关于我

文章分类

社区版块

存档分类

博客分类：

单点登录

cas 单点登录

使用CAS实现单点登陆的相关配置，步骤如下：

1. 配置SSL
   a) 生成证书
   b) 将证书导出为证书文件
   c) 将证书文件导入到java证书库cacerts中
   d) 修改<TOMCAT_HOME>/conf下面得server.xml文件
2. 部署CAS服务器
3. 修改CAS登录的用户库
4. 测试是否配置成功
5. 配置过程中可能会出现的错误

下面就按照上面的步骤详细阐述：
1. 使用SSL
   使用SSL需要使用的java提供的keytool.exe工具，如果配置了java环境变量，可以直接在命令窗口使用，如果没有则学要将目录CD到jdk的bin下。

   a) 生成密钥对
    使用下面的的命令
    keytool -genkey -alias tomcat -keyalg RSA -keystore tomcat.keystore
    密码是：changeit
    姓名是：localhost
    其他的提示输入的信息可以随便

    这个命令生成的文件默认在当前目录，即CMD的当前目录C:\Documents and Settings\Administrator（如果没有使用cd命令）。

   b) 将服务器证书导出为证书文件
    使用下面的命令
    keytool -export -alias tomcat -file tomcat.crt -keystore tomcat.keystore
    这里注意一点，导出来的crt证书文件在双击打开的时候可能会看到有红叉在证书上，这个时候只要按照向导安装完成就可以了。

   c) 将证书文件导入到java证书库cacerts中
    将在C:\Documents and Settings\Administrator下的tomcat.crt文件和在C:\Program Files\Java\jdk1.5.0_15\jre\lib\
    (JDK不同位置可能不同)下的security拷贝到c:\下，然后运行下面的命令：
    keytool -import -file c:\tomcat.crt -keystore c:\cacerts -alias tomcat
    然后将cacerts文件拷贝回去，注意备份源文件。
    tomcat.crt可以拷到tomcat_home下，这里为C:\Program Files\tomcat5.5.26。

    这里还要注意一点的便是，使用的到底是jdk中的jre还是jre，要将证书导入相应的证书库中。

   d) <TOMCAT_HOME>/conf下面得server.xml文件
    打开server.xml文件，定位到

    
    

    将下面的注释去掉并加入两个属性：
    keystoreFile="C:\Program Files\tomcat5.5.26\tomcat.keystore"
    keystorePass="changeit"

    如下：
    

    <Connector port="8443" maxHttpHeaderSize="8192"
    maxThreads="150" minSpareThreads="25" maxSpareThreads="75"
    enableLookups="false" disableUploadTimeout="true"
    acceptCount="100" scheme="https" secure="true"
    clientAuth="false" sslProtocol="TLS"

    keystoreFile="C:\Program Files\tomcat5.5.26\tomcat.keystore"
    keystorePass="changeit"/>

    其中keystoreFile指定tomcat.keystore文件的位置,
    keystorePass指定服务器证书文件的密码。

2. 部署CAS服务器的WAR包
将cas-server-3.1.1-release.zip解压缩，把modules文件夹中的cas-server-webapp-3.1.1.war
文件拷贝到<TOMCAT_HOME>/webapps/下，改名为cas（这里的名字只是一种习惯，当然可以改成其他或不改），然后启动服务器，其会自动解压。

3. 修改CAS登录的用户库
CAS的默认设置是只要用户名和密码相同，即可进行登录成功，真正的系统用户名和密码相同的可能性极小，所以我们需要修改默认的设置。

主要的修改在deployerConfigContext.xml文件里
位置：<TOMCAT_HOME>/webapps/cas/WEB-INF。

首先找到
<bean class="org.jasig.cas.authentication.handler.support.SimpleTestUsernamePasswordAuthenticationHandler" />

注释该行，加入下面的bean：
<bean class="org.jasig.cas.adaptors.jdbc.QueryDatabaseAuthenticationHandler">
   <property name="sql" value="select password from clientuser where username=?" />
   <property name="dataSource" ref="dataSource" />
   </bean>

这里bean的class属性用到的是CAS服务器端封装的JDBC包cas-server-jdbc-3.0.5-rc2.jar里的
QueryDatabaseAuthenticationHandler方法，所以要将此包拷贝到/WEB-INF下的lib中。

这里sql属性是从clientuser表中根据cas登陆名查找密码。

dataSource属性需要再添加一个bean，如下：

<bean id="dataSource" class="org.springframework.jdbc.datasource.DriverManagerDataSource">
   <property name="driverClassName">
     <value>com.mysql.jdbc.Driver</value>
   </property>

   <property name="url">
    <value>jdbc:mysql://192.168.1.130:3306/sso</value>
   </property>

   <property name="username">
    <value>root</value>
   </property>

   <property name="password">
     <value>pass</value>
   </property>
</bean>

4. 测试是否配置成功
启动tomcat之后，新打开得浏览器中输入https://localhost:8443即可看到安全报警对话框,选择是正确显示。说明CAS服务器已经配置成功并完成。

5. 配置过程中可能会出现的错误
a) 系统找不到指定的文件：（服务器启动时）
   情况一，
   C:\Documents and Settings\Administrator\.keystore (系统找不到指定的文件。)
   情况二，
   C:\Program Files\tomcat-5.5.26\server.keystore (系统找不到指定的文件。)

   如果您只是在tomcat的server.xml配置中打开了8443端口，但没有用keystoreFile属性，
   tomcat默认去找C:\Documents and Settings\Administrator\.keystore文件，如果没有找到就会出现情况一的错误，
   如果使用了keystoreFile属性，但仍然没有server.keystore文件，就会出现情况二的错误。

b) Keystore was tampered with, or password was incorrect（服务器启动时）
   当使用了keystorePass时且提供了错误的密码便会出现这个错误。

c) No name matching localhost found
   这就是步骤 1-a）要求姓名是：localhost的原因，当姓名不是localhost的时候，我们在CASFilter中使用localhost就会报这个错。

d) unable to find valid certification path to requested target
   当服务器证书没有导入到jre的cacerts证书库的时候会出现这个错误，同样要注意要讲证书导入到tomcat使用的jre中。