CAS示例環(huán)境部署及配置(完整版)

1、CAS示例環(huán)境部署及配置示例說明在本示例中將使用cas-server-3.5.0和cas-client-3.2.1搭建一個(gè)SSO測試環(huán)境， 在同一臺(tái)機(jī)器上安裝 3個(gè)tomcat，分別部署一個(gè)cas server和兩個(gè)cas client,這 三個(gè)應(yīng)用使用不同的域名訪問(通過配置 hosts文件實(shí)現(xiàn)多個(gè)域名)。配置完成 之后，應(yīng)達(dá)到如下效果：1、首先訪問appl，此時(shí)需要跳轉(zhuǎn)到cas登錄頁面，要求用戶進(jìn)行登錄；2、 輸入正確的用戶名和密碼，登錄成功之后自動(dòng)跳轉(zhuǎn)到appl，而且可以獲取到 用戶的登錄信息；3、 在同一個(gè)瀏覽器中直接訪問app2，此時(shí)不需要再次用戶登錄即可正常訪問， 而且可以獲取到登

2、錄用戶的信息；4、反復(fù)訪問app1和app2，只要不關(guān)閉瀏覽器，就可以一直正常訪問并且可以 獲取到用戶信息；5、在瀏覽器地址欄輸入 CAS登出的路徑(:8443/cas/logout)， 系統(tǒng)提示成功注銷；6此時(shí)無論訪問即p1還是app2，都會(huì)跳轉(zhuǎn)到cas登錄頁面，要求用戶重新登 錄。部署文件清單應(yīng)用服務(wù)器中間件Tomcat6.0.23 （符合 Servlet2.3 以上標(biāo)準(zhǔn)的 J2EE容器）JDKJDK1.6CAS SERVE部 署包c(diǎn)as-server-3.5.0.war，可以從 /cas 獲取CAS CLIEN部署包使用CAS故單點(diǎn)登錄的應(yīng)用準(zhǔn)備部署

3、環(huán)境本文演示過程在同一個(gè)機(jī)器上的 （也可以在三臺(tái)實(shí)體機(jī)器或者三個(gè)的虛擬機(jī) 上），根據(jù)演示需求，我們需要準(zhǔn)備三個(gè)不同的域名，分別對(duì)應(yīng)cas server和兩個(gè)cas客戶端應(yīng)用，用修改hosts文件的方法添加域名最簡單方便（這個(gè)非常重要）， 在文件 c:windowssystem32driversetchosts 文件中添加三條 其中：對(duì)應(yīng)部署 cas server 的 tomcat，如果這個(gè) tomcat 使用 https 協(xié)議，則這個(gè)虛擬域名還用于證書生成； 另外兩個(gè)域名對(duì)應(yīng)兩個(gè)不同的客戶端應(yīng) 用。安裝JDK配置JAVA_HOMEPAT

4、H環(huán)境變量；在D盤根目錄復(fù)制三個(gè) TOMCAT 文件夾，分別命名為 tomcat-for-cas、tomcat-for-client-1、tomcat-for-client-2 ； 這個(gè)詳細(xì)過程就不再詳細(xì)描述。四、CAS SERVE部署及通用配3.1 CAS SERVER 部署cas-server-xxxx.warl的下載地址為 /cas/download ，本文以 cas-server-350.zip 為例，解壓提取 cas-server-3.5.0/modules/cas-servevebapp -3.5.0.war文件，把此文件復(fù)制到tomcat-f

5、or-caswebapps目錄并解壓到cas文件 夾（如果不準(zhǔn)備對(duì)CAS的文件做修改，則可以直接將 WAR文件修改為cas.war 即可）。啟動(dòng)tomcat （此tomcat的默認(rèn)監(jiān)聽端口為8090），在瀏覽器地址欄輸入:8090/cas，按回車鍵后地址欄會(huì)自動(dòng)變?yōu)?8090/cas/login，并顯示如下界面:JASICXon-seciate CoanectiocOntral /Yiithentiration Senioe (CAS)You .rwKauir*3 CAS rcn-aKurM HrriKdih. Etrt Sqn Bn WELL HOT KORK". In a-dar

6、 33 hiiiB .rgla >191 =m 肛電pu NIST kg if enrHE = Z 護(hù) *TErxf 可陰知 Fife 2獰對(duì)上:.最j Ifa :ZNf亡亞CllbMaLfill's,” I H咖負(fù)h Mi_£±s：0th Ei幻強(qiáng)m廿 CvUtr H&oeda-謁nEX 刊侶JASIG在登錄窗口中，用戶名和密碼都輸入 admin （實(shí)際上可以輸入任何值，只要用戶 名和密碼一致，就可以成功登錄，這個(gè)是CAS的默認(rèn)驗(yàn)證規(guī)則），然后點(diǎn)擊登錄, 會(huì)出現(xiàn)如下界面：JASIGOnt ml Authentication Service ('

7、;AS)疊眾成功r -HE話比皿他舄蟲甘WXEi鼻加C胡吋眩二曲盒之JASIG至此，CAS SERVER應(yīng)用已經(jīng)部署成功，接下來就是根據(jù)情況進(jìn)行配置3.2 CAS SERVER通用配置1. 配置CAS SERVE節(jié)點(diǎn)名稱在文件 $CAS/WEB-INF/pertie中 的值，比如修改為 cas01。2. 去除登錄頁面的“ Non-secure Connectior”提示如果部署CAS SERVER勺TOMCAT沒有啟用HTTPS或者沒有通過 HTTPS端口訪問，則會(huì)出現(xiàn)如下提示，想要去掉這個(gè)提示，只能修改登錄頁面Caniwtion.Hl ” 匚上三 B h S

8、rrrerTan 弓日丁 E i'IIJ,耳苗訓(xùn)聲丿 E a 廠 W M ? Sr Jr-勺 pn b iV-: v H/7T I刃 r Ab TTF5五、 CAS客戶端的部署及配置4.1 客戶端應(yīng)用的部署按照常規(guī)方式部署使用CAS乍為單點(diǎn)登錄服務(wù)器的應(yīng)用，并測試此應(yīng)用是否 能正常訪問，我們使用的是一個(gè)測試應(yīng)用，只有一個(gè)jsp頁面，將這個(gè)應(yīng)用放到準(zhǔn)備好的tomcat-for-client-2/webapps 下面即可，訪問應(yīng)用的跟目錄 :5090/c2，如果顯示正常的頁面即表示應(yīng)用部署成功，我的測試應(yīng)用顯示如下信息：dotiiaiii=app2 demo.conicline tl d

9、clurl=http: :5090 c2qiienstting=niillrtqutstSe55ionld=970BF81F684ATB3A2B744518FDE88ses5ioiJd=9_0BF£lF6S4AiB3A2B-4451SFD-E$.AEUEerNam 尸4.2 復(fù)制CAS CLIENT需要的JAR文件復(fù)制CAS核心文件和其所依賴的JAR不同版本的CAS需要的JAR文件可能稍微有所不同，本例使用的是 cas-client-core-3.2.1,需要的JAR文件如下所示：IftC'l'j-Jil Ma I d- la -iUiLk«nl<!i

10、ih: m t»htft|和mm-i； “ g jK-<31wia«r<? J 1 j«rEkl MT'V - EBTF-! 5- Q .IW ；|«aW*qE £ JV；&: ,r|i-fc.xLji<IJ.*ftlr,3L I I Jtr >： TilfAjlll r-«fl|>i D :c-:wju3I'L WHuyr I I j<r 単*旳4 J« WriqrWdLF IX / V ifcP'iifiUlVt j-tf njErfarr-d >

11、D J hi 駅if 士堆審J«J_0 I>i kU« EWShRIIFl 袒=EME-H hiW*l M 郛JT4 EE-i iui EKBIJ 2E1 H!tWf |!| »EE BESisiiaiiWM-L 11 毎m Wliiin (Ei*匱口頼1沖?。篒4 D初區(qū)UB IBli dli LhCth卜* io ifiu :nliaJU EE番件135 15lO.tt734.3 配置web.xml文件有關(guān)cas-client的web.xml修改的詳細(xì)說明見官網(wǎng)介紹:/display/CASC/Co nfigur

12、i ng+the+JA-SIG+CAS+Clie nt+fo r+Java+in+ the+web.xml我們這里只介紹將會(huì)用到的最簡單的配置，將如下內(nèi)容復(fù)制到 web.xml中, 需要注意的是SingleSignOutFilter的映射一定要寫在其他過濾器的最前面，至少 是過濾器CAS Authentication Filter的前面，然后根據(jù)實(shí)際情況修改參數(shù)即可，如下所示突出顯示的部分:<liste ner> <liste ner-class>org.jasig.cas.clie nt.sessio n.Si ngleSig nOutHttpSessio nList

13、e nerv/listene r-class> v/liste ner><filter>vfilter-name>CAS Authentication Filterv/filter-name><filter-class>org.jasig.cas.clie nt.authe nticati on .Authe nticati onF ilter</filter-class><ini t-param>vparam-n ame>casServerLogi nUrlv/param-n ame> <param-v

14、alue>ittp:/:8090/cas/login v/param-value>v/ini t-param> vini t-param> vparam-n ame>serverName</param-n ame>vparam-value>:5090</param-value>v/ini t-param></filter><filter>vfilter- name>CAS Validatio n Filterv/filter- name><filter-class>org.jasi

15、g.cas.clie nt.validatio n.Cas20ProxyReceivi ngTicketValidatio nF ilte/filter-class><ini t-param>vparam-n ame>casServerUrlPrefix</param-n ame><param-value>ittp:/:8090/cas </param-value>v/ini t-param><ini t-param>vparam-n ame>serverNamev/param-n ame> vparam

16、-value>:5090v/param-value>v/ini t-param>vi nit-param>vparam-n ame>useSessi onv/param-n ame>vparam-value>truev/param-value>v/in it-param>vini t-param>vpara m-n ame>redirectAfterValidati onv/para m-n ame>vparam-value>falsev/param-value>v/in it-param>v/filte

17、r>vfilter>vfilter- name>HttpServletRequestWrapperFilterv/filter- name>vfilter-class>org.jasig.cas.clie nt.util.HttpServletRequestWrapperFilter</filter-class> v/filter><filter>vfilter- name>S in gleSig nO utFilterv/filter- name>vfilter-class>org.jasig.cas.clie n

18、t.sessio n.Si ngleSig nOutFilter</filter-class> </filter>vfilter-mapp ing><filter- name>S in gleSig nO utFilterv/filter- name>vurl-patter n> /jsp/*</url-patter n>v/filter-mapp ing>vfilter-mapp ing>vfilter-name>CAS Authentication Filterv/filter-name>vurl-p

19、attern>/jsp/* v/url-pattern>v/filter-mapp ing>vfilter-mapp ing>vfilter- name>CAS Validatio n Filterv/filter- name>vurl-pattern>/jsp/* v/url-pattern>v/filter-mapp ing>vfilter-mapp ing>vfilter- name>HttpServletRequestWrapperFilterv/filter- name>vurl-pattern>/jsp/

20、* v/url-pattern>v/filter-mapp ing>4.4 部署結(jié)果測試配置完成后，啟動(dòng) CAS SERVE所在的tomcat和CAS客戶端所在的tomcat,然后打開瀏覽器輸入網(wǎng)址:5090/c2，此時(shí)瀏覽器會(huì)自動(dòng)進(jìn)行跳轉(zhuǎn)到CAS的登錄頁面，地址欄會(huì)顯示如下的地址：:8090/cas/logi n?service=http%3A%2F%2F%3A5090%2Fc2%2F同時(shí)會(huì)看到如下所示的登錄界面：在登錄窗口中，用戶名和密碼都輸入 admi n，然后點(diǎn)擊登錄，系統(tǒng)會(huì)自動(dòng)跳轉(zhuǎn)到登錄之前我們要訪問的地址，出現(xiàn)如下界面：至此，一個(gè)簡單的CAS測試環(huán)境就搭建成功了六、 為

21、 CAS SERVE配置 HTTPS5.1 獲取安全證書通常可以從一些安全機(jī)構(gòu)申請(qǐng)安全證書，但是要支付一定的費(fèi)用，在本試驗(yàn)中，我們使用JDK自帶的工具keytool生成一個(gè)證書，生成證書的命令為:keytool -ge nkey -aliascas -keyalg RSA -keysize 1024 -validity 730 -keystore d:/temp/cas.keystore在上面的命令行中，突出顯示的部分為需要修改的部分，其他參數(shù)可以默認(rèn)， 也可以參照keytool的參數(shù)說明進(jìn)行修改；其中參數(shù) alias指定了證書的別名，以 后對(duì)證書的操作會(huì)用到此名稱，我們這里設(shè)置為cas, k

22、eystore指定了證書存在磁盤上的文件路徑，即我們需要將生成的證書存放在哪里。創(chuàng)建證書的過程如下所示，需要注意的是途中畫紅方框的地方，這個(gè)值需要 與訪問cas時(shí)的域名或者cas所在的計(jì)算機(jī)名保持一致；最后一個(gè)密碼和keystore 的密碼保持一致即可，密碼是 casserve。kcystDJTC碼相同，按回車）ces ,deiA0 -eonI輸入5皿C；>keytoo1-alias cas keaig RSA -keysize 104 -uilidity ?30 -kestored：/temp/cs.keystcre麵入keys to re密碼；【Unknown J您的組織魚位名禰是什

23、么？LJnknown ： less您的組織名稱是什么9 Unknown】： cn愿所在的城帀巍（K噸稱是什4?Unknown Lheijiner您所在的州或省蹤冬娜是什么？Unknaun 9he i J ing|該單位的兩字母國家代碼是什么U nknown cn.demo. con« OU =icss > fl=cn L=b>sijincf GT =Jbe ijiinigf, C=cn TF確嗎？匸否：h95.2 配置 CAS SERVER使用的 TOMCAT默認(rèn)情況下，tomcat是沒有開啟https端口的，因此需要在TOMCAT/co nf/server.xml 中進(jìn)

24、行手動(dòng)配置。首先找到如下代碼的位置：Derine a SSL http/1.1 Ccinnector on port 右吒理了<Cainiiectpr port = rr8443lt maxH11pHeade£-512£="8192meiKTbr e adj-pp 150is i n5 p st eTlireads -rp 2 5 rp ztietx Sp ar eTtir e cui=- rF75fp enab IgLookups = ppfaIseFP dlsableUploadTixns屯匸=帶trueff ac ce pt C o unt=w100r

25、p s ctiewe=1P http a" sec ure =ntrue "c 1 ient Auth= plpf a 13e R ss 1 Proti3c:i3 1="TLS* />在配置文件中添加紅框中所示的代碼，其中keystoreFile為我們生成的證書文件的存放路徑，keystorePass為生成證書時(shí)輸入的密碼，本實(shí)驗(yàn)中我把證書文件復(fù) 制到了 server.xml的目錄下。define a WBL HTTP/1h1 Connector on port 6443 -><Gciuiectar 四匸“別晴” msHttpHeadexSize

26、-F，6192Mmax Threads- ,r150*r xninSpar eThreads- "2 5fr max SpareThr tads1 ,r75rr enahleLookups=rrfalsef, disab丄色Uple邑dTim色匸忙u色" acceprCount11 f, ldOsc hem 已="11匸匕口3" secure= M true *'SSLEnabled= r*true,fkeystoreFi le=FT/con£/ cas Xey3tore 已匕"/>5.3 通過HTTPS訪問CAS應(yīng)用在

27、瀏覽器中輸入:8443/cas，出現(xiàn)如下所示的界面:點(diǎn)擊“繼續(xù)瀏覽此網(wǎng)站”即可跳轉(zhuǎn)到我們熟悉的登錄界面，此時(shí)你會(huì)發(fā)現(xiàn)，那個(gè)令人討厭的“ Non-secure Connectior”提示也沒有了:在登錄窗口中，用戶名和密碼都輸入 admin （實(shí)際上可以輸入任何值，只要用戶 名和密碼一致，就可以成功登錄，這個(gè)是CAS的默認(rèn)驗(yàn)證規(guī)則），然后點(diǎn)擊登錄,會(huì)出現(xiàn)如下界面5.4 修改CAS客戶端的配置將CAS客戶端的web.xml中需要配置CAS SERVER URL地方做對(duì)應(yīng)的修改， 本例中，應(yīng)將過濾器 CAS Authentication Filter的參數(shù)casServerLoginUrl的值由“

28、:8090/cas/login ” 修改為“ :8443/cas/login ”；將過濾器 CAS Validation Filte的參數(shù) casServerUrlPrefix的值由“ :8090/cas” 修改為“ :8443/cas” ；修改完配置文件之后，重新啟動(dòng)tomcat，訪問地址:5090/c2 , 瀏覽器依然會(huì)自動(dòng)跳轉(zhuǎn)到登錄頁面，但是當(dāng)輸入完用戶名和密碼，點(diǎn)擊登錄之后， 就會(huì)出現(xiàn)如下的錯(cuò)誤頁面：i-TFTP Mata 上圖對(duì)應(yīng)的錯(cuò)誤信息如下：java.la ng.R un timeExceptio n: javax. net.ssl.SSLHa ndshakeExceptio n

29、: sun. security.validator.ValidatorExcepti on:PKIX path buildi ng failed:vider.certpath.SunCertPathBuilderException: unable to find valid certificati on path to requested targetorg.jasig.cas.clie nt.util.Com mon Utils.getResp on seFromServer(C ommon Utils.java:341)org.jasig.cas.clie

30、nt.util.Com mon Utils.getResp on seFromServer(C ommon Utils.java:305)org.jasig.cas.clie nt.validatio n. AbstractCasProtocolUrlBasedTi cketValidator.retrieveResp on seFromServer(AbstractCasProtocolUrlBasedT icketValidator.java:50)org.jasig.cas.clie nt.validatio n. AbstractUrlBasedTicketValidat or.val

31、idate(AbstractUrlBasedTicketValidator.java:207)org.jasig.cas.clie nt.validatio n. AbstractTicketValidatio nF ilter.doFilter(AbstractTicketValidatio nFilter.java:169)org.jasig.cas.clie nt.authe nticati on .Authe nticatio nF ilter.doFi lter(Authe nticatio nF ilter.java:116)出現(xiàn)這個(gè)錯(cuò)誤的直接原因就是因?yàn)?JVM沒有找到訪問時(shí)所需

32、要的 安全證書，現(xiàn)在出現(xiàn)這個(gè)錯(cuò)誤是正常的，因?yàn)槲覀冞€沒有將安全證書導(dǎo)入到 JVM 的證書庫中，如果在以后的使用過程中出現(xiàn)這個(gè)錯(cuò)誤，可以通過keytool的list命令查看JVM的證書庫中是否有對(duì)應(yīng)的證書。5.5 為運(yùn)行CAS CLIENT的JVM設(shè)置安全證書CAS客戶端在驗(yàn)證時(shí)，會(huì)從后臺(tái)通過代碼訪問CAS SERVER匕時(shí)是通過HTTPS 進(jìn)行訪問的，因此運(yùn)行 CAS客戶端的JVM會(huì)在JVM的證書庫中查找與訪問的域 名對(duì)應(yīng)的證書，然后使用此證書與 CAS SERVE建立會(huì)話。因此我們要告訴JVM 到哪里獲取安全證書。有兩種方法可以達(dá)到這個(gè)目的，一個(gè)方法是在啟動(dòng)TOMCAT勺時(shí)候?yàn)镴VM指定證書

33、的位置和訪問密碼，另一個(gè)方法是將安全證書導(dǎo) 入到JVM的默認(rèn)證書庫中。1、為JVM指定可信證書庫的位置在啟動(dòng)TOMCAT的啟動(dòng)參數(shù)中增加如下內(nèi)容，也可以在啟動(dòng)TOMCAT之前將 環(huán)境變量JAVA_OPT設(shè)置為如下的值（需要注意的是下面兩行的內(nèi)容不要換行）-Djavax. net.ssl.trustStore=D:/tomcat-for-cas/c on f/cas.keystore -Djavax .n et.ssl.trustStorePassword=casserver有兩種方式指定 JVM的啟動(dòng)參數(shù)，一種在tomcat/bin/catalina.bat中指定:IET MM l*Tl*lJWn IFT11jC41 lir'KI'ftvrAali ；ftrBtM/CAnffC-M >htgFfiVflr*JdvAixtttt.illif n»t -UATfllll* dWt,T " “ wV-Idht無（jitM rMt.iiWtfRlif rri'st