CAS示例環(huán)境部署及配置(完整版)

1、CAS示例環(huán)境部署及配置示例說明在本示例中將使用cas-server-3.5.0和cas-client-3.2.1搭建一個SSO測試環(huán)境， 在同一臺機器上安裝 3個tomcat，分別部署一個cas server和兩個cas client,這 三個應用使用不同的域名訪問(通過配置 hosts文件實現(xiàn)多個域名)。配置完成 之后，應達到如下效果：1、首先訪問appl，此時需要跳轉到cas登錄頁面，要求用戶進行登錄；2、 輸入正確的用戶名和密碼，登錄成功之后自動跳轉到appl，而且可以獲取到 用戶的登錄信息；3、 在同一個瀏覽器中直接訪問app2，此時不需要再次用戶登錄即可正常訪問， 而且可以獲取到登

2、錄用戶的信息；4、反復訪問app1和app2，只要不關閉瀏覽器，就可以一直正常訪問并且可以 獲取到用戶信息；5、在瀏覽器地址欄輸入 CAS登出的路徑(:8443/cas/logout)， 系統(tǒng)提示成功注銷；6此時無論訪問即p1還是app2，都會跳轉到cas登錄頁面，要求用戶重新登 錄。部署文件清單應用服務器中間件Tomcat6.0.23 （符合 Servlet2.3 以上標準的 J2EE容器）JDKJDK1.6CAS SERVE部 署包cas-server-3.5.0.war，可以從 /cas 獲取CAS CLIEN部署包使用CAS故單點登錄的應用準備部署

3、環(huán)境本文演示過程在同一個機器上的 （也可以在三臺實體機器或者三個的虛擬機 上），根據(jù)演示需求，我們需要準備三個不同的域名，分別對應cas server和兩個cas客戶端應用，用修改hosts文件的方法添加域名最簡單方便（這個非常重要）， 在文件 c:windowssystem32driversetchosts 文件中添加三條 其中：對應部署 cas server 的 tomcat，如果這個 tomcat 使用 https 協(xié)議，則這個虛擬域名還用于證書生成； 另外兩個域名對應兩個不同的客戶端應 用。安裝JDK配置JAVA_HOMEPAT

4、H環(huán)境變量；在D盤根目錄復制三個 TOMCAT 文件夾，分別命名為 tomcat-for-cas、tomcat-for-client-1、tomcat-for-client-2 ； 這個詳細過程就不再詳細描述。四、CAS SERVE部署及通用配3.1 CAS SERVER 部署cas-server-xxxx.warl的下載地址為 /cas/download ，本文以 cas-server-350.zip 為例，解壓提取 cas-server-3.5.0/modules/cas-servevebapp -3.5.0.war文件，把此文件復制到tomcat-f

5、or-caswebapps目錄并解壓到cas文件 夾（如果不準備對CAS的文件做修改，則可以直接將 WAR文件修改為cas.war 即可）。啟動tomcat （此tomcat的默認監(jiān)聽端口為8090），在瀏覽器地址欄輸入:8090/cas，按回車鍵后地址欄會自動變?yōu)?8090/cas/login，并顯示如下界面:JASICXon-seciate CoanectiocOntral /Yiithentiration Senioe (CAS)You .rwKauir*3 CAS rcn-aKurM HrriKdih. Etrt Sqn Bn WELL HOT KORK". In a-dar

6、 33 hiiiB .rgla >191 =m 肛電pu NIST kg if enrHE = Z 護 *TErxf 可陰知 Fife 2獰對上:.最j Ifa :ZNf亡亞CllbMaLfill's,” I H咖負h Mi_£±s：0th Ei幻強m廿 CvUtr H&oeda-謁nEX 刊侶JASIG在登錄窗口中，用戶名和密碼都輸入 admin （實際上可以輸入任何值，只要用戶 名和密碼一致，就可以成功登錄，這個是CAS的默認驗證規(guī)則），然后點擊登錄, 會出現(xiàn)如下界面：JASIGOnt ml Authentication Service ('

7、;AS)疊眾成功r -HE話比皿他舄蟲甘WXEi鼻加C胡吋眩二曲盒之JASIG至此，CAS SERVER應用已經(jīng)部署成功，接下來就是根據(jù)情況進行配置3.2 CAS SERVER通用配置1. 配置CAS SERVE節(jié)點名稱在文件 $CAS/WEB-INF/pertie中 的值，比如修改為 cas01。2. 去除登錄頁面的“ Non-secure Connectior”提示如果部署CAS SERVER勺TOMCAT沒有啟用HTTPS或者沒有通過 HTTPS端口訪問，則會出現(xiàn)如下提示，想要去掉這個提示，只能修改登錄頁面Caniwtion.Hl ” 匚上三 B h S

8、rrrerTan 弓日丁 E i'IIJ,耳苗訓聲丿 E a 廠 W M ? Sr Jr-勺 pn b iV-: v H/7T I刃 r Ab TTF5五、 CAS客戶端的部署及配置4.1 客戶端應用的部署按照常規(guī)方式部署使用CAS乍為單點登錄服務器的應用，并測試此應用是否 能正常訪問，我們使用的是一個測試應用，只有一個jsp頁面，將這個應用放到準備好的tomcat-for-client-2/webapps 下面即可，訪問應用的跟目錄 :5090/c2，如果顯示正常的頁面即表示應用部署成功，我的測試應用顯示如下信息：dotiiaiii=app2 demo.conicline tl d

9、clurl=http: :5090 c2qiienstting=niillrtqutstSe55ionld=970BF81F684ATB3A2B744518FDE88ses5ioiJd=9_0BF£lF6S4AiB3A2B-4451SFD-E$.AEUEerNam 尸4.2 復制CAS CLIENT需要的JAR文件復制CAS核心文件和其所依賴的JAR不同版本的CAS需要的JAR文件可能稍微有所不同，本例使用的是 cas-client-core-3.2.1,需要的JAR文件如下所示：IftC'l'j-Jil Ma I d- la -iUiLk«nl<!i

10、ih: m t»htft|和mm-i； “ g jK-<31wia«r<? J 1 j«rEkl MT'V - EBTF-! 5- Q .IW ；|«aW*qE £ JV；&: ,r|i-fc.xLji<IJ.*ftlr,3L I I Jtr >： TilfAjlll r-«fl|>i D :c-:wju3I'L WHuyr I I j<r 単*旳4 J« WriqrWdLF IX / V ifcP'iifiUlVt j-tf njErfarr-d >

11、D J hi 駅if 士堆審J«J_0 I>i kU« EWShRIIFl 袒=EME-H hiW*l M 郛JT4 EE-i iui EKBIJ 2E1 H!tWf |!| »EE BESisiiaiiWM-L 11 毎m Wliiin (Ei*匱口頼1沖?。篒4 D初區(qū)UB IBli dli LhCth卜* io ifiu :nliaJU EE番件135 15lO.tt734.3 配置web.xml文件有關cas-client的web.xml修改的詳細說明見官網(wǎng)介紹:/display/CASC/Co nfigur

12、i ng+the+JA-SIG+CAS+Clie nt+fo r+Java+in+ the+web.xml我們這里只介紹將會用到的最簡單的配置，將如下內(nèi)容復制到 web.xml中, 需要注意的是SingleSignOutFilter的映射一定要寫在其他過濾器的最前面，至少 是過濾器CAS Authentication Filter的前面，然后根據(jù)實際情況修改參數(shù)即可，如下所示突出顯示的部分:<liste ner> <liste ner-class>org.jasig.cas.clie nt.sessio n.Si ngleSig nOutHttpSessio nList

13、e nerv/listene r-class> v/liste ner><filter>vfilter-name>CAS Authentication Filterv/filter-name><filter-class>org.jasig.cas.clie nt.authe nticati on .Authe nticati onF ilter</filter-class><ini t-param>vparam-n ame>casServerLogi nUrlv/param-n ame> <param-v

14、alue>ittp:/:8090/cas/login v/param-value>v/ini t-param> vini t-param> vparam-n ame>serverName</param-n ame>vparam-value>:5090</param-value>v/ini t-param></filter><filter>vfilter- name>CAS Validatio n Filterv/filter- name><filter-class>org.jasi

15、g.cas.clie nt.validatio n.Cas20ProxyReceivi ngTicketValidatio nF ilte/filter-class><ini t-param>vparam-n ame>casServerUrlPrefix</param-n ame><param-value>ittp:/:8090/cas </param-value>v/ini t-param><ini t-param>vparam-n ame>serverNamev/param-n ame> vparam

16、-value>:5090v/param-value>v/ini t-param>vi nit-param>vparam-n ame>useSessi onv/param-n ame>vparam-value>truev/param-value>v/in it-param>vini t-param>vpara m-n ame>redirectAfterValidati onv/para m-n ame>vparam-value>falsev/param-value>v/in it-param>v/filte

17、r>vfilter>vfilter- name>HttpServletRequestWrapperFilterv/filter- name>vfilter-class>org.jasig.cas.clie nt.util.HttpServletRequestWrapperFilter</filter-class> v/filter><filter>vfilter- name>S in gleSig nO utFilterv/filter- name>vfilter-class>org.jasig.cas.clie n

18、t.sessio n.Si ngleSig nOutFilter</filter-class> </filter>vfilter-mapp ing><filter- name>S in gleSig nO utFilterv/filter- name>vurl-patter n> /jsp/*</url-patter n>v/filter-mapp ing>vfilter-mapp ing>vfilter-name>CAS Authentication Filterv/filter-name>vurl-p

19、attern>/jsp/* v/url-pattern>v/filter-mapp ing>vfilter-mapp ing>vfilter- name>CAS Validatio n Filterv/filter- name>vurl-pattern>/jsp/* v/url-pattern>v/filter-mapp ing>vfilter-mapp ing>vfilter- name>HttpServletRequestWrapperFilterv/filter- name>vurl-pattern>/jsp/

20、* v/url-pattern>v/filter-mapp ing>4.4 部署結果測試配置完成后，啟動 CAS SERVE所在的tomcat和CAS客戶端所在的tomcat,然后打開瀏覽器輸入網(wǎng)址:5090/c2，此時瀏覽器會自動進行跳轉到CAS的登錄頁面，地址欄會顯示如下的地址：:8090/cas/logi n?service=http%3A%2F%2F%3A5090%2Fc2%2F同時會看到如下所示的登錄界面：在登錄窗口中，用戶名和密碼都輸入 admi n，然后點擊登錄，系統(tǒng)會自動跳轉到登錄之前我們要訪問的地址，出現(xiàn)如下界面：至此，一個簡單的CAS測試環(huán)境就搭建成功了六、 為

21、 CAS SERVE配置 HTTPS5.1 獲取安全證書通常可以從一些安全機構申請安全證書，但是要支付一定的費用，在本試驗中，我們使用JDK自帶的工具keytool生成一個證書，生成證書的命令為:keytool -ge nkey -aliascas -keyalg RSA -keysize 1024 -validity 730 -keystore d:/temp/cas.keystore在上面的命令行中，突出顯示的部分為需要修改的部分，其他參數(shù)可以默認， 也可以參照keytool的參數(shù)說明進行修改；其中參數(shù) alias指定了證書的別名，以 后對證書的操作會用到此名稱，我們這里設置為cas, k

22、eystore指定了證書存在磁盤上的文件路徑，即我們需要將生成的證書存放在哪里。創(chuàng)建證書的過程如下所示，需要注意的是途中畫紅方框的地方，這個值需要 與訪問cas時的域名或者cas所在的計算機名保持一致；最后一個密碼和keystore 的密碼保持一致即可，密碼是 casserve。kcystDJTC碼相同，按回車）ces ,deiA0 -eonI輸入5皿C；>keytoo1-alias cas keaig RSA -keysize 104 -uilidity ?30 -kestored：/temp/cs.keystcre麵入keys to re密碼；【Unknown J您的組織魚位名禰是什

23、么？LJnknown ： less您的組織名稱是什么9 Unknown】： cn愿所在的城帀?。↘噸稱是什4?Unknown Lheijiner您所在的州或省蹤冬娜是什么？Unknaun 9he i J ing|該單位的兩字母國家代碼是什么U nknown cn.demo. con« OU =icss > fl=cn L=b>sijincf GT =Jbe ijiinigf, C=cn TF確嗎？匸否：h95.2 配置 CAS SERVER使用的 TOMCAT默認情況下，tomcat是沒有開啟https端口的，因此需要在TOMCAT/co nf/server.xml 中進

24、行手動配置。首先找到如下代碼的位置：Derine a SSL http/1.1 Ccinnector on port 右吒理了<Cainiiectpr port = rr8443lt maxH11pHeade£-512£="8192meiKTbr e adj-pp 150is i n5 p st eTlireads -rp 2 5 rp ztietx Sp ar eTtir e cui=- rF75fp enab IgLookups = ppfaIseFP dlsableUploadTixns屯匸=帶trueff ac ce pt C o unt=w100r

25、p s ctiewe=1P http a" sec ure =ntrue "c 1 ient Auth= plpf a 13e R ss 1 Proti3c:i3 1="TLS* />在配置文件中添加紅框中所示的代碼，其中keystoreFile為我們生成的證書文件的存放路徑，keystorePass為生成證書時輸入的密碼，本實驗中我把證書文件復 制到了 server.xml的目錄下。define a WBL HTTP/1h1 Connector on port 6443 -><Gciuiectar 四匸“別晴” msHttpHeadexSize

26、-F，6192Mmax Threads- ,r150*r xninSpar eThreads- "2 5fr max SpareThr tads1 ,r75rr enahleLookups=rrfalsef, disab丄色Uple邑dTim色匸忙u色" acceprCount11 f, ldOsc hem 已="11匸匕口3" secure= M true *'SSLEnabled= r*true,fkeystoreFi le=FT/con£/ cas Xey3tore 已匕"/>5.3 通過HTTPS訪問CAS應用在

27、瀏覽器中輸入:8443/cas，出現(xiàn)如下所示的界面:點擊“繼續(xù)瀏覽此網(wǎng)站”即可跳轉到我們熟悉的登錄界面，此時你會發(fā)現(xiàn)，那個令人討厭的“ Non-secure Connectior”提示也沒有了:在登錄窗口中，用戶名和密碼都輸入 admin （實際上可以輸入任何值，只要用戶 名和密碼一致，就可以成功登錄，這個是CAS的默認驗證規(guī)則），然后點擊登錄,會出現(xiàn)如下界面5.4 修改CAS客戶端的配置將CAS客戶端的web.xml中需要配置CAS SERVER URL地方做對應的修改， 本例中，應將過濾器 CAS Authentication Filter的參數(shù)casServerLoginUrl的值由“

28、:8090/cas/login ” 修改為“ :8443/cas/login ”；將過濾器 CAS Validation Filte的參數(shù) casServerUrlPrefix的值由“ :8090/cas” 修改為“ :8443/cas” ；修改完配置文件之后，重新啟動tomcat，訪問地址:5090/c2 , 瀏覽器依然會自動跳轉到登錄頁面，但是當輸入完用戶名和密碼，點擊登錄之后， 就會出現(xiàn)如下的錯誤頁面：i-TFTP Mata 上圖對應的錯誤信息如下：java.la ng.R un timeExceptio n: javax. net.ssl.SSLHa ndshakeExceptio n

29、: sun. security.validator.ValidatorExcepti on:PKIX path buildi ng failed:vider.certpath.SunCertPathBuilderException: unable to find valid certificati on path to requested targetorg.jasig.cas.clie nt.util.Com mon Utils.getResp on seFromServer(C ommon Utils.java:341)org.jasig.cas.clie

30、nt.util.Com mon Utils.getResp on seFromServer(C ommon Utils.java:305)org.jasig.cas.clie nt.validatio n. AbstractCasProtocolUrlBasedTi cketValidator.retrieveResp on seFromServer(AbstractCasProtocolUrlBasedT icketValidator.java:50)org.jasig.cas.clie nt.validatio n. AbstractUrlBasedTicketValidat or.val

31、idate(AbstractUrlBasedTicketValidator.java:207)org.jasig.cas.clie nt.validatio n. AbstractTicketValidatio nF ilter.doFilter(AbstractTicketValidatio nFilter.java:169)org.jasig.cas.clie nt.authe nticati on .Authe nticatio nF ilter.doFi lter(Authe nticatio nF ilter.java:116)出現(xiàn)這個錯誤的直接原因就是因為 JVM沒有找到訪問時所需

32、要的 安全證書，現(xiàn)在出現(xiàn)這個錯誤是正常的，因為我們還沒有將安全證書導入到 JVM 的證書庫中，如果在以后的使用過程中出現(xiàn)這個錯誤，可以通過keytool的list命令查看JVM的證書庫中是否有對應的證書。5.5 為運行CAS CLIENT的JVM設置安全證書CAS客戶端在驗證時，會從后臺通過代碼訪問CAS SERVER匕時是通過HTTPS 進行訪問的，因此運行 CAS客戶端的JVM會在JVM的證書庫中查找與訪問的域 名對應的證書，然后使用此證書與 CAS SERVE建立會話。因此我們要告訴JVM 到哪里獲取安全證書。有兩種方法可以達到這個目的，一個方法是在啟動TOMCAT勺時候為JVM指定證書

33、的位置和訪問密碼，另一個方法是將安全證書導 入到JVM的默認證書庫中。1、為JVM指定可信證書庫的位置在啟動TOMCAT的啟動參數(shù)中增加如下內(nèi)容，也可以在啟動TOMCAT之前將 環(huán)境變量JAVA_OPT設置為如下的值（需要注意的是下面兩行的內(nèi)容不要換行）-Djavax. net.ssl.trustStore=D:/tomcat-for-cas/c on f/cas.keystore -Djavax .n et.ssl.trustStorePassword=casserver有兩種方式指定 JVM的啟動參數(shù)，一種在tomcat/bin/catalina.bat中指定:IET MM l*Tl*lJWn IFT11jC41 lir'KI'ftvrAali ；ftrBtM/CAnffC-M >htgFfiVflr*JdvAixtttt.illif n»t -UATfllll* dWt,T " “ wV-Idht無（jitM rMt.iiWtfRlif rri'st