cas实现单点登录

cas实现单点登录

1 简介
cas是耶鲁大学开发的一个开源项目，含义为集中认证服务(Central Authentication Service)，
目标为：当耶鲁大学有新的应用系统上线时，这个应用系统只需要配置使用cas来保护它的资源受限访问，而不需要 这个应用系统本身再编写安全方面的代码。
www.yale.edu/tp/auth
2 实现方式
cas是以web app的形式出现的，即cas本身是一个web应用 需要使用cas的其他web app，只需要在它的部署文件web.xml中配置一个过滤servlet，就可以利用cas来提供因为cas需要使用ssl来加强安全，因此web服务器要开放ssl连接
--------------------------------------------------------------------------------------
Yale CAS (Central Authentication Service，中央认证服务)是耶鲁大学的一个开源项目。它为耶鲁大学的网络应用提供了一种标准的用户认证服务，从而实现了SSO的功能。
Yale CAS被设计成为一个独立的网络应用程序，它使用JavaServlet技术实现，可以作为用户身份认证模块加入到网络应用中。
他的实现的小例子，网上有很多版本，可是总是配置不成功，现在总结一下自己的配置过程。希望对各位网友有所帮助。
Tomcat5.5.9
Jdk 1.5.0.1
按照如下的配置成功：
1、首先我打开tomcat5.5的SSL，修改Tomcat配置文件server.xml，去掉对于SSL的注释，即开放8443端口（注意：不用添加任何东西）

2.生成安全证书
在命令行中：切换到
%java_home%/bin/keytool -genkey -alias tomcat -keyalg RSA
密码是:changeit
姓名是:localhost
其他随便写的
之后是
%java_home%/bin/keytool -export -alias tomcat -file server.crt
和
%java_home%/bin/keytool -import -file server.crt -keystore %java_home%/jre/lib/security/cacerts
-----------------------------------------

 

Yale CAS Server 的配置过程

CAS (Central Authentication Service)是Yale大学的ITS开发的一套JAVA实现的开源
的SSO(single sign-on)的服务。该服务是以一个java web app(eg:cas.war)来进行服务的，
使用时需要将cas.war发布到一个servlet2.3兼容的服务器上，并且服务器需要支持SSL，
在需要使用该服务的其他服务器（客户），只要进行简单的配置就可以实现SSO了。

CAS 的客户端可以有很多种，因为验证的结果是以XML的格式返回的，CAS的客户端已
打包进去的有java,perl,python,asp,apache module等好几种客户端示例，你还可以根据
需要实现一个自己的客户端，非常简单!~

下面我们以tomcat 5.0 作为CAS Server(server1)，另外一台tomcat5.0 为client(client1)
为例进行说明。

1.下载cas-server和cas-client(可选，建议使用）
http://www.yale.edu/tp/cas/cas-server-2.0.12.zip
http://www.yale.edu/tp/cas/cas-client-2.0.11.zip

2.将cas-server-2.0.12.zip解压，并将lib/cas.war拷贝到server1的webapps下

3.产生SERVER的证书
keytool -genkey -alias my-alias-name -keyalg RSA -keystore keystore-file

4.在server1配置tomcat使用HTTPS

$CATALINA_HOME/conf/server.xml里

<Connector className="org.apache.coyote.tomcat5.CoyoteConnector"
port="8443" minProcessors="5" maxProcessors="75"
enableLookups="true" disableUploadTimeout="true"
acceptCount="100" debug="0" scheme="https"
secure="true">
<Factory className="org.apache.coyote.tomcat5.CoyoteServerSocketFactory"
keystoreFile="/path/to/your/keystore-file"
keystorePass="your-password" clientAuth="false" protocol="TLS" />
</Connector>

5.在要使用CAS的客户端client1里设置（以servlets-examples这个APP为例），我们使用
ServletFilter(CAS client里提供的)来实现SSO的检查。

修改servlets-examples/WEB-INF/web.xml

<filter>
<filter-name>CASFilter</filter-name>
<filter-class>edu.yale.its.tp.cas.client.filter.CASFilter</filter-class>
<init-param>
<param-name>edu.yale.its.tp.cas.client.filter.loginUrl</param-name>
<param-value>https://your.cas.server.name(eg:server1):port/cas/login</param-value>
</init-param>
<init-param>
<param-name>edu.yale.its.tp.cas.client.filter.validateUrl</param-name>
<param-value>https://your.cas.server.name(eg:server1):port/cas/proxyValidate</param-value>
</init-param>

<init-param>
<param-name>edu.yale.its.tp.cas.client.filter.serverName</param-name>
<param-value>your.client.server.name(eg:client1):port</param-value>
</init-param>

</filter>

<filter-mapping>
<filter-name>CASFilter</filter-name>
<url-pattern>/servlet/*</url-pattern>
</filter-mapping>

6.将cas-client-2.0.11.zip解压，把java/lib/casclient.jar拷贝到client1服务器上的
webapps/servlets-examples/WEB-INF/lib目录下（如果没有就建一个）

7.导出SERVER的证书，用来给所有需要用到的客户端导入
keytool -export -file myserver.cert -alias my-alias-name -keystore keystore-file

8.在客户端的JVM里导入信任的SERVER的证书(根据情况有可能需要管理员权限)
keytool -import -keystore $JAVA_HOME/jre/lib/security/cacerts -file myserver.cert -alias my-alias-name

9.test & done.
把server1和client1分别起来，检查启动的LOG是否正常，如果一切OK，就访问
http://client1:8080/servlets-examples/servlet/HelloWorldExample
系统会自动跳转到一个验证页面，随便输入一个相同的账号,密码，严正通过之后就会访问
到真正的HelloWorldExample这个servlet了

更多信息请参考
http://www.yale.edu/tp/cas/
http://www-106.ibm.com/developerworks/web/library/wa-singlesign/