`
张小宇
  • 浏览: 35135 次
  • 性别: Icon_minigender_1
  • 来自: 广州
文章分类
社区版块
存档分类
最新评论

实现CAS与AD在Windows下集成(修订)

阅读更多
        经过几天寝食难安的努力,终于在昨天晚上通过了cas与ad的集成验证。总结经验,绕了很多圈子,这篇博客将会直接提供配置过程,最终实现验证通过。
        首先,创建了必须的域控制器、cas服务器、客户机及应用系统,所有机器都加入域中备用。这里要说明的是,我所使用的域控制器为windows2003,cas server版本为:cas-server-3.4.10-release,cas client版本为:cas-client-3.2.1-release。
        接着要实现cas的sso,这两篇文档可以指导实现cas的单点登录:
        http://www.ibm.com/developerworks/cn/opensource/os-cn-cas/
        http://www.wsria.com/archives/1349 
        经过我的验证,文章中的方法可行。其中深入配置的部分主要是如何配置数据库,若单纯实现与域的集成,不需要数据库支持,可以不予配置。
        实现cas sso后,cas部分就准备好了。还要准备的是域环境。由于本次配置的域环境是现成的,所以这里不提供配置方案。
        域准备好后,条件都具备了,接下来的配置可参考:http://jcbay.iteye.com/blog/708020
        需要注意的是,
引用
c、退出authenticationManager,在外层加入一个标签bean:"jcifsConfig ":
<bean name="jcifsConfig" class="org.jasig.cas.support.spnego.authentication.handler.support.JCIFSConfig">
  <property name="jcifsServicePrincipal" value="HTTP/your.server.name.here@YOUR.REALM.HERE" />
  <property name="jcifsServicePassword" value="the.service.password.here" />
  <property name="kerberosDebug" value="false" />
  <property name="kerberosRealm" value="YOUR.REALM.HERE" />
  <property name="kerberosKdc" value="THE.KDC.IP.HERE" />
  <property name="loginConf" value="/path/to/WEB-INF/login.conf" />
</bean>

        这里边的jcifsServicePrincipal参数,value我没有配置为:HTTP/your.server.name.here@YOUR.REALM.HERE,我改为了:HTTP/RainTime@YOUR.REALM.HERE,前边的HTTP/RainTime即为:
引用
2:在Windows AD中创建用户
A、启动域用户管理:开始→管理工具→Active Director用户和计算机。
B、创建用户:Users→右键→新建→用户。
C、添入要创建的用户信息,比如是“RainTime”:“姓:RainTime;姓名:RainTime;用户登录名:HTTP/RainTime;用户登录名(Windows 2000以前版本):RainTime”。
D、输入密码,并选择“密码永不过期”,比如是:111111
E、点击确定,完成用户创建。
中的“用户登陆名”。

        接下来出现了找不到验证头的问题。将client IE浏览器中的“工具”——“Internet选项”——“高级”——“启用集成windows身份验证(需要重启动)”选中。解决了这个问题。

        接着出现了校验和失败的情况。经过绕了很多弯子,修改了几个地方最终实现域验证。修改的位置如下:
        1、AD域控制器中,“开始”的“搜索程序和文件”一栏中输入:“ADSI”,打开ADSI编辑器,直接连接到本机。
在CN=Computers——CN=CAS SERVER上鼠标右键——属性。打开属性编辑器,找到“userAccountControl”,打开该属性,将该值加上“2097152”(16进制的200000)。
在OU=Domain Controller——CN=AD Server上鼠标右键——属性。打开属性编辑器,找到“userAccountControl”,打开该属性,将该值加上“2097152”(16进制的200000)。

        2、AD域控制器中,“开始”——“运行”中输入regedit进入注册表编辑器,找到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc 位置。用鼠标右键单击 Kdc,指向 新建,然后再单击 DWORD 值。类型 KdcUseRequestedEtypesForTickets 作为 新值。用鼠标右键单击 KdcUseRequestedEtypesForTickets,然后单击 修改。 若要启用客户端指定一个 etype、 设置 KdcUseRequestedEtypesForTickets 注册表值为 1。如果您删除 KdcUseRequestedEtypesForTickets KDC 的注册表值将使用默认行为。单击 确定,然后退出注册表编辑器。重新启动密钥分发中心服务。注意 此注册表更改不会生效,直到您重新启动密钥分发中心服务。

        3、AD域控制器中,打开Active Directory用户和计算机,找到用户,点击鼠标右键,“属性”——“账户”——“账户选项”。将“为此账户使用Kerberos DES加密类型”和“不要求Kerberos预身份验证”勾选上。点击确定,对该用户重置密码。

        上述三点全部做完以后,在AD域控制器中重启涉及到的服务。包括Server,Workstation,Active Directory Domain Services,Kerberos Key DistributionCenter等以及依赖服务。
 
        最后说明一点,小宇做的集成是在windows平台上的,官方文档上面描述的是在linux平台上的,两者还是有区别的。windows中可以取到所要用的kerberos验证信息,不需要在ad控制器生成keytab文件。所以直接做cas server的配置就可以了。若参考标准手册:https://wiki.jasig.org/display/CASUM/SPNEGO,则生成keytab文件以及Test the SPN account的部分可以省略不看,直接到Set up Cas即可。
1
4
分享到:
评论
5 楼 u011938035 2015-01-05  
你好,能给一份标签bean:"jcifsConfig ":的配置示例吗?
4 楼 licanemma 2013-01-04  
您好!在网上看到你写的cas和ad集成的文章,写的很详细,受益匪浅。
我按照你的步骤配置了。但是未成功。
我的环境信息为:
cas 3.4.2 ,tomcat 7.0.16 ,
均为windows server 2003的操作系统。
我按照你的步骤配置之后,在开始就报错:


2013-01-04 05:49:33,813 DEBUG [org.jasig.cas.web.support.CasArgumentExtractor] - Extractor did not generate service.

2013-01-04 05:49:33,829 DEBUG [org.jasig.cas.web.support.SamlArgumentExtractor] - Extractor did not generate service.



请问是什么原因?
非常期待您的回信。
祝  新的一年天天开心,万事顺利!
3 楼 nishiufo 2012-08-02  
大虾好,最近小弟也在配置CAS SPNEGO在windows下集成,报错信息和你的一样,如下:
   “ 2012-07-19 09:02:50,524 DEBUG [org.jasig.cas.support.spnego.web.flow.SpnegoNegoc
iateCredentialsAction] - <Authorization header not found. Sending WWW-Authenticate header>”和“2012-07-19 10:20:21,136 DEBUG [org.jasig.cas.support.spnego.web.flow.SpnegoCrede
ntialsAction] - <SPNEGO Authorization header found with 56 bytes>
2012-07-19 10:20:21,136 DEBUG [org.jasig.cas.support.spnego.web.flow.SpnegoCrede
ntialsAction] - <Obtained token: NTLMSSP

2012-07-19 10:20:21,136 DEBUG [org.jasig.cas.support.spnego.web.flow.SpnegoCrede
ntialsAction] - <Obtained token: NTLMSSP  乱码”

    当时你是怎么解决的啊,我们需要你的解答~~   
2 楼 zdx3578 2011-12-21  
我也很久没上javaeye了,忙。  不错!
1 楼 s103y 2011-11-22  
不好意思,好久没上javaeye,今天才看到你给我的留言
呵呵,恭喜你,搞定了CAS

相关推荐

    cas集成AD域

    在企业环境中,尤其是在已部署了Active Directory(AD)域服务的情况下,将CAS与AD集成可以实现用户通过一次认证就能访问所有系统,提升用户体验并加强安全性。 AD域是微软Windows Server操作系统中的一个组件,它...

    CAS5.3+windows AD域实现单点登录免身份认证.docx

    4. 集成 CAS 和 Windows AD:使用 SPN 和 keytab 文件将 CAS 与 Windows AD 集成,实现单点登录免身份认证。 CAS 和 Windows AD 集成 集成 CAS 和 Windows AD 需要使用 SPN(Service Principal Name)和 keytab ...

    CAS+windows AD域实现单点登录免身份认证.docx

    cas集成window AD 域实现免身份认证单点登录,cas部署为centos系统,window server 2012 R2

    cas4.1.x集成 cas4.1.x集成

    cas4.1.x集成cas4.1.x集成cas4.1.x集成cas4.1.x集成cas4.1.x集成cas4.1.x集成cas4.1.x集成cas4.1.x集成cas4.1.x集成cas4.1.x集成cas4.1.x集成cas4.1.x集成cas4.1.x集成cas4.1.x集成cas4.1.x集成cas4.1.x集成cas4.1.x...

    cas spnego认证方式(即加ad域的windows主机应用免登录)高可用集群方案(目前来看国内第一份资料,本人探索出来的)

    然而,在加入AD域的Windows主机环境下实现CAS的SPNEGO认证模式,并构建高可用集群方案,国内鲜有现成资料和技术指导。本文档旨在分享通过作者亲身经历及不懈努力探索出的一套完整解决方案。 #### 二、关键技术点...

    CAS集成AD域

    经过一周多的努力,终于完成了组长分配的任务,成功实现CAS和windosAD域的集成。初学的小伙伴可以下载下来看一下,因为这个技术早就有了,但是现在没有人更新了,所以导致新手无法配置,这是我刚配置好的,大家拿去...

    springboot+cas5.x+shiro+pac4j实现sso集成

    本项目基于SpringBoot、CAS5.x、Shiro和Pac4j实现了SSO集成,下面将详细阐述这些技术组件以及它们在SSO中的作用。 1. **SpringBoot** SpringBoot是Spring框架的一个子项目,它简化了Spring应用的初始搭建和运行...

    集成cas实现单点登录认证.zip

    7. 测试与调试:集成完成后,你需要进行详尽的测试,确保在各种情况下SSO都能正常工作,同时注意处理可能出现的重定向循环、票据验证失败等问题。 总的来说,"集成cas实现单点登录认证.zip"提供的资源将指导你完成...

    前后端分离集成cas

    在这个前后端分离的项目中,Vue.js用于构建前端页面,与后端通过Ajax进行通信,实现动态交互和数据展示。 集成CAS(Central Authentication Service)是为了实现单点登录(Single Sign-On, SSO)。CAS是一个开源的...

    单点登录CAS与权限管理框架Shiro集成

    本文将详细介绍如何在权限管理框架Apache Shiro中集成CAS(Central Authentication Service)实现单点登录功能。 #### 二、CAS与Shiro简介 - **CAS**:CAS是由耶鲁大学发起的一个开源项目,用于跨域的身份认证服务...

    CAS集成手册(java版

    《CAS集成手册(Java版)》是一份详细指导文档,主要针对CAS(Central Authentication Service,中央认证服务)在Java环境下的集成与优化。CAS是一种开放源码的单点登录(SSO)系统,旨在简化用户身份验证过程,提高...

    cas3.5.0集成oauth2.0协议

    "cas-oauth-demo-3.5.0-master"这个压缩包很可能包含了CAS3.5.0集成OAuth2.0的示例代码或配置文件,它可以帮助你理解如何在实际项目中实现这一功能。通常,这样的示例可能包含以下部分: 1. **CAS服务器配置**:...

    Liferay集成CAS实现单点登录与应用系统集成

    【Liferay 门户集成CAS实现单点登录与应用系统集成】是将开源门户平台Liferay与中央认证服务(CAS)相结合,以实现用户在多个应用系统间的统一登录体验。Liferay是一个基于Java的企业级门户解决方案,它具备强大的...

    cas与springboot集成

    将CAS与Spring Boot集成,我们可以实现一个高效、安全的身份验证解决方案,尤其适用于拥有多个子系统的大型企业或组织。 集成CAS和Spring Boot主要涉及以下几个关键知识点: 1. **CAS服务器配置**: CAS服务器是...

    cas单点登陆集成到简单maven项目的全部war包

    CAS(Central Authentication Service)是基于Java的开源身份验证框架,用于实现单一登录(Single Sign-On,简称SSO)。SSO允许用户通过一次登录,就可以访问多个应用系统,无需为每个系统单独进行认证,大大提高了...

    struts2+cas单点登陆例子

    在这个例子中,我们将深入探讨如何在MyEclipse环境下使用Struts2框架与CAS服务器配合,实现单点登录功能。 首先,让我们理解一下CAS(Central Authentication Service)的核心概念。CAS是一个开放源码的SSO解决方案...

    discuz x2.5和cas集成,实现cas单点登录 sso

    X2.5与CAS(Central Authentication Service)集成是一种常见的身份验证解决方案,它能够实现单点登录(Single Sign-On, SSO)功能。在SSO系统中,用户只需登录一次,就可以在多个相互独立的应用系统之间自由切换,...

    springboot+security+cas集成demo

    "springboot+security+cas集成demo"的目的是展示如何在Spring Boot应用中集成Spring Security和CAS,实现SSO功能。以下是一些关键步骤: 1. **配置CAS客户端**:在Spring Boot应用中,我们需要引入CAS客户端库,...

Global site tag (gtag.js) - Google Analytics