单点登录（SSO）

好久没发表什么文章了，也不是不发，是没研究什么东西。最近在做一个门户项目，要用到单点登录这个功能，所以就开始研究起了单点登录，开源的框架也挺多的，但是好像也都不怎么适用，网上关于单点登录的资料又少的可怜。最后跟领导商议用耶鲁大学的开源框架CAS进行研究及开发。下面在研究过程中一些笔记，有些也是在网上找到的。都是按照这个流程走下来的，在中途遇到好多莫名其妙的问题，有些事解决了，但是还有些小问题没能彻底解决，但是能跑的动，如果大家有兴趣的话，可以一起讨论。

       下面为具体的流程



                       单点登录

SSO是目前比较流行的企业业务整合的解决方案之一，它定义在多个应用系统中，用户只需要登录一次就可以访问所有相互信任的应用系统。
CAS 是Yale（耶鲁）大学发起的一个开源项目，旨在为 Web 应用系统提供一种可靠的单点登录方法，在2004年12月正式成为JA-SIG的一个项目。目前，也已经有许多应用CAS实现单点登录的成功案例。



一、下载所需软件

CAS Server：http://www.jasig.org/cas/download
CAS Client：http://downloads.jasig.org/cas-clients/

本文下载的版本是：
cas-server-3.4.11-release.zip
cas-client-3.2.1-release.zip


二、配置过程
1、Tomcat
本文将配置一个单独的Tomcat环境将CAS用，因为原有的Tomcat可能要用于其它项目的开发，就不想在原有上面的Tomcat开刀了。

下载apache-tomcat-6.0.30-windows-x64.zip，解压到C盘，并命名为：Tomcat6_CAS

因为要存在多个Tomcat，所以新建环境变量:
CATALINA_HOME_CAS=C:\Tomcat6_CAS
CATALINA_BASE_CAS=C:\Tomcat6_CAS


然后修改Tomcat下所有指向CATALINA_HOME和CATALINA_BASE，可以用DW一次性打开C:\Tomcat6_CAS\bin下面的所有.bat文件，然后利用查找替换功能一次搞定。

修改Tomcat6_CAS的http访问端口为80端口（因为到时要用域名访问，需要修改hosts，而hosts不支持端口号），打开conf/server.xml，修改成：

<Connector port="80" protocol="HTTP/1.1"

           connectionTimeout="20000"

           redirectPort="8443" />


启动Tomcat,访问http://127.0.0.1 看看能不能打开。


映射域名（此处使用gevin.me作为例子），修改C:\Windows\System32\drivers\etc\hosts文件，增加以下记录：

127.0.0.1 sso.gevin.me （这个是域名，在生成证书的时候根据自己的情况，填写自己的域名，什么都可以）
访问http://sso.gevin.me，看看能不能访问，如图：








要实现CAS SSO，必须让Tomcat支持SSL，下面将讲一下如何配置SSL。

本文使用的Tomcat版本是：apache-tomcat-6.0.30-windows-x64.zip

一、生成Key Store

1 C:\Java\jdk1.6.0_27\bin>keytool -genkey -alias "tomcat" -keyalg "RSA" -keystore "C:\Tomcat6_CAS\keystore\gevinme.keystore" -validity 360









注意：第一个问一定要填写cas server的域名，否则到时访问客户端程序时将会报以下的错误：

javax.net.ssl.SSLHandshakeException: java.security.cert.CertificateException: No name matching xxx.xxx.xx found
参数介绍：

-alias 密钥的别名

-keyalg 密钥使用的加密算法，此处使用RSA

-keystore 密钥存储的位置，默认是存在用户主目录下，此处则指定存储位置

-validity 密钥的有效期

更多关于keytool的参数说明请参考《JDK keytool参数说明》

keystore的密码我设置为gevinme，与Tomcat的管理员密码一样，tomcat-user.xml额外增加了以下权限：

<tomcat-users> 

<user username="admin" password="gevinme" roles="admin,manager"/> 

</tomcat-users>



执行完上述命令后，将会在指定的目录下生成gevinme.keystore文件，如图：













二、配置SSL连接器

修改Tomcat\conf\server.xml文件

将以下的内容的注释去掉，并增加以下密钥位置和密码：

<Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true"

               maxThreads="150" scheme="https" secure="true"

                clientAuth="false" sslProtocol="TLS"

                keystoreFile="C:\Tomcat6_CAS\keystore\gevinme.keystore"

               keystorePass="gevinme"

                /> 此时启动后会报以下错误：

1 java.lang.exception connector attribute sslcertificatefile must be defined when using ssl with apr

只需要将conf\server.xml里面的以下内容注释掉即可：

<!-- 

<Listener className="org.apache.catalina.core.AprLifecycleListener" SSLEngine="on" /> 

-->


三、测试访问：

启动Tomcat，访问https://127.0.0.1:8443








点击“证书错误”后，可以查看到我们刚刚生成的密钥的相关信息：







至此，Tomcat的SSL配置过程已完成，下面将介绍如何导出证书和客户端如何导入服务器端生成的证书，为之后的SSO做准备。

四、导出证书



1 C:\Java\jdk1.6.0_27\bin>keytool -export -alias tomcat -file "C:\Tomcat6_CAS\keystore\gevinme.cert" -keystore "C:\Tomcat6_CAS\keystore\gevinme.keystore"





五、客户端导入证书

在运行客户端程序的机器上导入证书，需要注意的是此入导入的jre必须是Tomcat指向的jre。（本文在同一台机器上测试）

1 C:\Java\jdk1.6.0_27\bin>keytool -import -alias tomcat_client -trustcacerts -file "C:\Tomcat6_CAS\keystore\gevinme.cert" -keystore "C:\Java\jre6\lib\security\cacerts"




如果看到这个图显示的东西时，说明你的证书已经生成，并且把证书已经导入到客户端。

未完有时间再续~~~~

评论

3 楼 llixinrui_strive 2015-10-08  

他[img]

[/img]

2 楼 lwazl1314 2012-08-22  

junjun185576005 写道

期待后续，不过图片好像没有。。

现在有了

1 楼 junjun185576005 2012-08-22  

期待后续，不过图片好像没有。。