2022年CAS示例环境部署及配置 .pdf

《2022年CAS示例环境部署及配置 .pdf》由会员分享，可在线阅读，更多相关《2022年CAS示例环境部署及配置 .pdf（21页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、CAS示例环境部署及配置一、示例说明在本示例中将使用 cas-server-3.5.2和 cas-client-3.2.1搭建一个 SSO 测试环境，部署文件清单应用服务器中间件apache-tomcat-5.5.26 （符合 Servlet2.3以上标准的 J2EE容器）CAS SERVER部署包cas-server-3.5.2-release.zip CAS CLIENT 部署包cas-client-3.2.1-release.zip 二、准备部署环境准备一个 apache-tomcat-5.5.26部署 CAS 服务端创建一个 Web 项目作为 CAS服务端三、CAS SERVER 部署

2、3.1CAS SERVER部署解压提取 cas-server-3.5.2/modules/cas-server webapp-3.5.2.war文件，把此文件复制到 apache-tomcat-5.5.26webapps目录,文件修改为 cas.war即可。启动 tomcat（此 tomcat 的默认监听端口为8090） ，在浏览器地址栏输入：http:/:8090/cas，按回车键后地址栏会自动变为http:/:8090/cas/login ，并显示如下界面：名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - -

3、 - - - - - 第 1 页，共 21 页 - - - - - - - - - 在登录窗口中，用户名和密码都输入admin（实际上可以输入任何值，只要用户名和密码一致，就可以成功登录， 这个是 CAS的默认验证规则）， 然后点击登录，会出现如下界面：至此， CAS SERVER的应用已经部署成功，接下来就是根据情况进行配置。3.2CAS SERVER 数据库登录及查询用户信息( 以 SQL Server 为例 ) 1.添加所需的JAR 文件解压提取cas-server-3.5.2/modules/ cas-server-support-jdbc-3.5.2.jar 及sqljdbc.jar

4、ProtalHandler.jar （MD5 加密 JAR ）2.修改 webappscasWEB-INF deployerConfigContext.xml 文件一、在最上方添加数据源及MD5 加班 名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 2 页，共 21 页 - - - - - - - - - 二、找到authenticationHandlers修改SimpleTestUsernamePasswordAuthenticationHandler 配置三、 需要重新配置属性a

5、ttributeRepository 其中：queryAttributeMapping 是组装 sql 用的查询条件属性， 上述配置后，结合封装成查询 sql 就是select * from hrEmployee where mail=#mail# 名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 3 页，共 21 页 - - - - - - - - - resultAttributeMapping 是 sql 执行完毕后返回的结构属性，key 对应数据库字段， value 对应客户端

6、获取参数。四、配置用户认证凭据转化的解析器也是在 deployerConfigContext.xml 中，找到credentialsToPrincipalResolvers，为UsernamePasswordCredentialsToPrincipalResolver 注入attributeRepository， 那么 attributeRepository 就会被触发并通过此类进行解析。五、 找到org.jasig.cas.services.InMemoryServiceRegistryDaoImpl为其添加属性registeredServices修改registeredServices 列

7、表中的每个协议中的 allowedAttributes 属性的值，列出的每个值，在客户端就可以访问了名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 4 页，共 21 页 - - - - - - - - - 到次服务端配置完毕。四、CAS客户端的部署及配置4.1客户端应用的部署按照常规方式部署使用CAS作为单点登录服务器的应用， 并测试此应用是否能正常访问， 我们使用的是一个测试应用， 只有一个 jsp 页面,如果显示正常的页面即表示应用部署成功，我的测试应用显示如下信息：名师资料总结

8、 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 5 页，共 21 页 - - - - - - - - - 4.2复制 CAS CLIENT 需要的 JAR 文件复制 CAS核心文件和其所依赖的JAR包 cas-client-core-3.2.1.jar 4.3配置 web.xml文件有关 cas-client的 web.xml 修改的详细说明见官网介绍：https:/wiki.jasig.org/display/CASC/Configuring+the+JA-SIG+CAS+Client+for

9、+Java+in+the+web.xml 我们这里只介绍将会用到的最简单的配置，将如下内容复制到web.xml 中，需要注意的是SingleSignOutFilter的映射一定要写在其他过滤器的最前面，至少是过滤器 CAS Authentication Filter的前面，然后根据实际情况修改参数即可，如下所示突出显示的部分：org.jasig.cas.client.session.SingleSignOutHttpSessionListenerCAS Single Sign Out 名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - -

10、- 名师精心整理 - - - - - - - 第 6 页，共 21 页 - - - - - - - - - Filterorg.jasig.cas.client.session.SingleSignOutFilterCAS Single Sign Out Filter/* CASFilterorg.jasig.cas.client.authentication.AuthenticationFiltercasServerLoginUrlhttp:/localhost:8080/cas/login名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - -

11、- - - 名师精心整理 - - - - - - - 第 7 页，共 21 页 - - - - - - - - - serverName http:/localhost:8090CASFilter/* CAS Validation Filterorg.jasig.cas.client.validation.Cas20ProxyReceivingTicketValidationFiltercasServerUrlPrefix名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 8 页，共 2

12、1 页 - - - - - - - - - http:/localhost:8080/casserverName http:/localhost:8090encoding UTF-8CAS Validation Filter/* CAS HttpServletRequest Wrapper Filterorg.jasig.cas.client.util.HttpServletRequestWrapperFilterCAS HttpServletRequest Wrapper Filter/* CAS Assertion Thread Local 名师资料总结 - - -精品资料欢迎下载 - -

13、 - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 10 页，共 21 页 - - - - - - - - - Filterorg.jasig.cas.client.util.AssertionThreadLocalFilterCAS Assertion Thread Local Filter/* 4.4部署结果测试配置完成后，启动CAS SERVER所在的 tomcat 和 CAS客户端所在的 tomcat，然后打开浏览器输入网址http:/:5090/c2 ，此时浏览器会自动进行跳转到 CAS的登录页面，地址栏会显示如下的地址：h

14、ttp:/:8090/cas/login?service=http%3A%2F%2F%3A5090%2Fc2%2F ，同时会看到如下所示的登录界面：名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 11 页，共 21 页 - - - - - - - - - 在登录窗口中，用户名和密码都输入admin，然后点击登录，系统会自动跳转到登录之前我们要访问的地址，出现如下界面：至此，一个简单的CAS测试环境就搭建成功了。4.5 客户端取值AttributePrincipal principal

15、 = (AttributePrincipal) request.getUserPrincipal(); String loginName = principal.getName(); out.println(loginName: + loginName); Map attributes = 名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 12 页，共 21 页 - - - - - - - - - principal.getAttributes(); out.println( ); i

16、f (attributes != null) out.println(user: + attributes.get(name ); out.println( ); out.println(id: + attributes.get(id); out.println( ); out.println(mail: + attributes.get(mail); out.println( ); 4.6 为客户端配置注销cas功能1： 服务端：修改casWEB-INFcas-servlet.xml查询修改p:followServiceRedirects=$cas.logout.followServiceR

17、edirects:false 为p:followServiceRedirects=$cas.logout.followServiceRedirects: true 2:客户端：退出 action 跳转修改为http:/192.168.18.231:8070/cas/logout?service=http:/localhost:8088/BJERP/login.action 名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 13 页，共 21 页 - - - - - - - - - 五、

18、为 CAS SERVER 配置 HTTPS 5.1获取安全证书通常可以从一些安全机构申请安全证书，但是要支付一定的费用，在本试验中，我们使用 JDK自带的工具 keytool 生成一个证书，生成证书的命令为：keytool -genkey -alias cas -keyalg RSA -keysize 1024 -validity 730 -keystored:/temp/cas.keystore 在上面的命令行中， 突出显示的部分为需要修改的部分，其他参数可以默认，也可以参照 keytool 的参数说明进行修改；其中参数alias指定了证书的别名，以后对证书的操作会用到此名称，我们这里设置为

19、cas，keystore 指定了证书存在磁盘上的文件路径，即我们需要将生成的证书存放在哪里。创建证书的过程如下所示，需要注意的是途中画红方框的地方，这个值需要与访问 cas时的域名或者 cas所在的计算机名保持一致； 最后一个密码和 keystore的密码保持一致即可，密码是casserver 。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 14 页，共 21 页 - - - - - - - - - 5.2配置 CAS SERVER使用的 TOMCAT 默 认 情 况 下 ， to

20、mcat是 没 有 开 启https端 口 的 ， 因 此 需 要 在TOMCAT/conf/server.xml中进行手动配置。首先找到如下代码的位置：在配置文件中添加红框中所示的代码，其中keystoreFile 为我们生成的证书文件的存放路径， keystorePass为生成证书时输入的密码，本实验中我把证书文件复制到了 server.xml的目录下。5.3通过 HTTPS 访问 CAS应用在浏览器中输入 https:/:8443/cas，出现如下所示的界面：名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 -

21、 - - - - - - 第 15 页，共 21 页 - - - - - - - - - 点击“继续浏览此网站”即可跳转到我们熟悉的登录界面，此时你会发现，那个令人讨厌的“ Non-secure Connection ”提示也没有了：在登录窗口中，用户名和密码都输入admin（实际上可以输入任何值，只要用户名和密码一致，就可以成功登录， 这个是 CAS的默认验证规则）， 然后点击登录，名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 16 页，共 21 页 - - - - - - -

22、- - 会出现如下界面5.4修改 CAS 客户端的配置将 CAS客户端的 web.xml 中需要配置 CAS SERVER URL的地方做对应的修改，本例中，应将过滤器CAS Authentication Filter的参数 casServerLoginUrl的值由“http:/:8090/cas/login ”修改为“https:/:8443/cas/login” ；将过滤器 CAS Validation Filter 的参数casServerUrlPrefix的值由“ http:/:8090/cas”修改为“https:/:8443/cas” ；修改完配置文件之后， 重新启动 tomcat

23、， 访问地址 http:/:5090/c2 ，浏览器依然会自动跳转到登录页面， 但是当输入完用户名和密码， 点击登录之后，就会出现如下的错误页面：名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 17 页，共 21 页 - - - - - - - - - 上图对应的错误信息如下：java.lang.RuntimeException: .ssl.SSLHandshakeException: sun.security.validator.ValidatorException: PKIX p

24、ath building failed: sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested targetorg.jasig.cas.client.util.CommonUtils.getResponseFromServer(CommonUtils.java:341) org.jasig.cas.client.util.CommonUtils.getResponseFromServer(CommonUtils.java:3

25、05) org.jasig.cas.client.validation.AbstractCasProtocolUrlBasedTicketValidator.retrieveResponseFromServer(AbstractCasProtocolUrlBasedTicketValidator.java:50) org.jasig.cas.client.validation.AbstractUrlBasedTicketValidator.validate(AbstractUrlBasedTicketValidator.java:207) org.jasig.cas.client.valida

26、tion.AbstractTicketValidationFilter.doFilter(AbstractTicketValidationFilter.java:169) org.jasig.cas.client.authentication.AuthenticationFilter.doFilter(AuthenticationFilter.java:116) 出现这个错误的直接原因就是因为JVM没有找到访问 时所需要的安全证书，现在出现这个错误是正常的， 因为我们还没有将安全证书导入到JVM的证书库中，如果在以后的使用过程中出现这个错误，可以通过keytool 的 list命令查看 JVM

27、的证书库中是否有对应的证书。5.5为运行 CAS CLIENT 的 JVM 设置安全证书CAS客户端在验证时，会从后台通过代码访问CAS SERVER， 此时是通过 HTTPS进行访问的，因此运行CAS客户端的 JVM会在 JVM的证书库中查找与访问的域名对应的证书，然后使用此证书与CAS SERVER 建立会话。因此我们要告诉JVM名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 18 页，共 21 页 - - - - - - - - - 到哪里获取安全证书。有两种方法可以达到这个目

28、的，一个方法是在启动TOMCAT 的时候为 JVM指定证书的位置和访问密码， 另一个方法是将安全证书导入到 JVM的默认证书库中。1、为 JVM指定可信证书库的位置在启动 TOMCAT 的启动参数中增加如下内容，也可以在启动 TOMCAT之前将环境变量 JAVA_OPTS 设置为如下的值（需要注意的是下面两行的内容不要换行）：-D.ssl.trustStore=D:/tomcat-for-cas/conf/cas.keystore -D.ssl.trustStorePassword=casserver 有两种方式指定 JVM的启动参数，一种在tomcat/bin/catalina.bat 中指

29、定：一种是单独建一个文件， 比如 start-with-key.bat， 然后在文件中加入下面的内容：修改完启动脚本之后， 重新启动 tomcat， 访问地址 http:/:5090/c2 ，浏览器依然会自动跳转到登录页面，输入完用户名和密码， 点击登录之后， 就会自动跳转到我们需要访问的地址，并显示正常的页面。2、将安全证书导入到JVM默认的证书库中如果在启动 JVM的时候没有指定安全证书的位置，当程序用到安全证书时，JVM将使用 JRE默认的证书库， 位置为 %JAVA_HOME%jrelibsecuritycacerts 。因此我们需要做的就是将CAS SERVER使用的安全证书导入到J

30、RE的这个证书库中。首先使用 keytool 的 export 命令将 keystore中的证书信息导出为cer 格式的文件，命令格式为： keytool -export -aliascas -keystorecas.keystore -file cas.cer，其中keystore指定了 CAS SERVERS使用的安全证书文件的路径（我们前面生成的证书存放的路径），参数 file 指定要将证书信息导出到哪个文件进行存放。本例中使用的是 tomcat/conf 下的证书文件，同时也将导出的证书放在了这个目录下：名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - -

31、- - - - - - - - 名师精心整理 - - - - - - - 第 19 页，共 21 页 - - - - - - - - - 然后使用 keytool 的 import 命令将证书 cas.cer中的信息导入到 JVM的证书库中，命令格式为： keytool -import -aliascas -keystore“ %JAVA_HOME%jrelibsecuritycacerts ” -file cas.cer，其中 keystore 指定了 JVM的安全证书文件的路径， 参数 file 指定要将哪个证书的信息导入。JVM证书库的默认密码是changeit。名师资料总结 - - -

32、精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 20 页，共 21 页 - - - - - - - - - 如果在导入证书时，提示证书已经存在，则使用keytool 的 delete 命令将证书删除 后 再 导 入 即 可 ， 命 令的 语 法 为keytool -delete -aliascas -keystore“ %JAVA_HOME%jrelibsecuritycacerts ” 。查看证书是否导入成功：确认证书导入成功之后，重新启动tomcat（记得去掉指定安全证书库的启动参数呦，不然是看不到效果的） ，访问地址 http:/:5090/c2 ，浏览器依然会自动跳转到登录页面， 输入完用户名和密码， 点击登录之后， 就会自动跳转到我们需要访问的地址，并显示正常的页面。至此，一个简单的 CAS测试环境就搭建好了，既可以通过HTTP端口访问，也可以通过 HTTPS 端口访问。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 21 页，共 21 页 - - - - - - - - -