Cas Server 與Cas Client 的配置與部署

2019-11-10 20:24:33

字體：大中小

來源：轉載

供稿：網友

一、Tomcat 的 SSL的配置

1.生成server key

以命令方式換到目錄%TOMCAT_HOME%，在command命令行輸入如下命令：

Keytool -genkey -alias tomcat_key -keyalg RSA -storepass changeit -keystore server.keystore -validity 3600

用戶名輸入域名，如localhost(開發或測試用)或hostname.domainname(用戶擁有的域名),其它全部以Enter跳過，最后確認，此時會在%Tomcat_home%下生成server.keystore文件。

注：參數-validity指證書的有效期（天），缺省有效期很短，只有90天。

2.將證書導入的JDK的證書信任庫中

這步對于Tomcat的SSL配置不是必須，但對于CAS SSO是必須的，否則會出現如下錯誤：

Edu.yale.its.tp.cas.client.CASAuthenticationException: Unable to validate PRoxyTicketValidate.

導入過程分2步，第一步是導出證書，第二步是導入到證書信任庫，命令如下：

Keytool -export -trustcacerts -alias tomcat_key -file server.cer -keystore server.keystore -storepass changeit

Keytool -import -trustcacerts -alias tomcat_key -file server.cer -keystore C:/”Program Files”/java/jdk1.7.0_01/jre/lib/security/cacerts -storepass changeit

如果有提示，輸入Y就可以了。

其它有用keytool命令（列出信任證書庫中所有已有證書，刪除庫中某個證書）:

keytool -list -keystore %JAVA_HOME%/jre/lib/security/cacerts >t.txt

keytool -delete -trustcacerts -alias tomcat_key -keystore %JAVA_HOME%/jre/lib/security/cacerts -storepass changeit

3.配置Tomcat

在Tomcat的server.xml配置文件中加入：

<Connector protocol="org.apache.coyote.http11.Http11NioProtocol"

port="8443" minSpareThreads="5" maxSpareThreads="75"

enableLookups="true" disableUploadTimeout="true"

acceptCount="100" maxThreads="200"

scheme="https" secure="true" SSLEnabled="true"

clientAuth="false" sslProtocol="TLS"

keystoreFile="C:/Program Files/Apache Software Foundation/Tomcat 7.0/server.keystore"

truststoreFile="C:/Program Files/Java/jdk1.7.0_01/jre/lib/security/cacerts"

keystorePass="changeit"/>

二、部署CAS Server到Tomcat

本文使用的CAS Server版本是3.5.2，下載地址：https://www.apereo.org/cas/download。

部署CAS Server的步驟如下：

1. 到CAS網站下載CAS Server。

2. 解壓壓縮文件，在解壓后的文件夾內找到/modules/ cas-server-webapp-3.5.2.war，將cas-server-webapp-3.5.2.war復制到%Tomcat_Home%/webapps下并改名為cas.war.

3. 啟動Tomcat，測試https://localhost:8443/cas/login看是否訪問正常。

4. 修改配置文件deployerConfigContext.xml。（可選）

CAS Server默認登陸驗證方式是SimpleTestUsernamePasswordAuthenticationHandler，也就是用戶名和密碼一致都可以登陸；但我們通常需要從數據庫中取出用戶名和密碼進行驗證，所以我們需要修改deployerConfigContext.xml，配置我們自己的服務認證方式：

(1) 在deployerConfigContext.xml添加數據源dataSource和密碼加密器passWordEncoder配置。

<property name="driverClassName"><value>com.MySQL.jdbc.Driver</value></property>

<property name="url"><value>jdbc:mysql://192.168.0.210:3306/cas_demo</value></property>

</bean>

<constructor-arg index="0"><value>MD5</value></constructor-arg>

</bean>

(2) 注釋掉SimpleTestUsernamePasswordAuthenticationHandler，添加QueryDatabaseAuthenticationHandler：

</bean>

(3) 添加cas-server-support-jdbc-3.5.2.jar、mysql-connector-java-5.1.25.jar、 commons-pool-1.3.jar、commons-dbcp-1.2.2.jar等jar包到WEB-INF/lib。

(4) 啟動tomcat，測試https://localhost:8443/cas/login看是否訪問正常。

三、部署CAS Client到應用

本文使用的CAS Client版本為3.3.3，下載地址：http://downloads.jasig.org/cas-clients/ 。

部署CAS Client的步驟如下：

1. 如果是Maven項目的話添加cas client的依賴：

<groupId>org.jasig.cas.client</groupId>

<artifactId>cas-client-core</artifactId>

</dependency>

否則，下載cas-client-core-3.3.3.jar，并將其放入項目的WEB-INF/lib。

2. 配置web.xml

<?xml version="1.0" encoding="UTF-8"?>

<web-app xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"

xmlns="http://java.sun.com/xml/ns/javaee" xmlns:web="http://java.sun.com/xml/ns/javaee/web-app_2_5.xsd"

xsi:schemaLocation="http://java.sun.com/xml/ns/javaee http://java.sun.com/xml/ns/javaee/web-app_3_0.xsd"

id="WebApp_ID" version="3.0">

<display-name>CAS CLIENT DEMO</display-name>

<listener-class>

org.jasig.cas.client.session.SingleSignOutHttpSessionListener

</listener-class>

</listener>

<filter-name>CAS Single Sign Out Filter</filter-name>

<filter-class>org.jasig.cas.client.session.SingleSignOutFilter</filter-class>

</filter>

<filter-mapping>

<filter-name>CAS Single Sign Out Filter</filter-name>

<url-pattern>/*</url-pattern>

</filter-mapping>

<filter-name>CASFilter</filter-name>

<filter-class>org.jasig.cas.client.authentication.AuthenticationFilter</filter-class>

<init-param>

<param-name>casServerLoginUrl</param-name>

<param-value>https://localhost:8443/cas/login</param-value>

</init-param>

<init-param>

<param-name>serverName</param-name>

<param-value>http://localhost:8080</param-value>

</init-param>

</filter>

<filter-mapping>

<filter-name>CASFilter</filter-name>

<url-pattern>/*</url-pattern>

</filter-mapping>

<filter-name>CAS Validation Filter</filter-name>

<filter-class>

org.jasig.cas.client.validation.Cas20ProxyReceivingTicketValidationFilter

</filter-class>

<init-param>

<param-name>casServerUrlPrefix</param-name>

<param-value>https://localhost:8443/cas</param-value>

</init-param>

<init-param>

<param-name>serverName</param-name>

<param-value>http://localhost:8080</param-value>

</init-param>

</filter>

<filter-mapping>

<filter-name>CAS Validation Filter</filter-name>

<url-pattern>/*</url-pattern>

</filter-mapping>

<!-- 該過濾器負責實現HttpServletRequest請求的包裹，比如允許開發者通過

HttpServletRequest的getRemoteUser()方法獲得SSO登錄用戶的登錄名，可選配置。 -->

<filter-name>CAS HttpServletRequest Wrapper Filter</filter-name>

<filter-class>

org.jasig.cas.client.util.HttpServletRequestWrapperFilter

</filter-class>

</filter>

<filter-mapping>

<filter-name>CAS HttpServletRequest Wrapper Filter</filter-name>

<url-pattern>/*</url-pattern>

</filter-mapping>

<filter-name>CAS Assertion Thread Local Filter</filter-name>

<filter-class>org.jasig.cas.client.util.AssertionThreadLocalFilter</filter-class>

</filter>

<filter-mapping>

<filter-name>CAS Assertion Thread Local Filter</filter-name>

<url-pattern>/*</url-pattern>

</filter-mapping>

<welcome-file-list>

<welcome-file>index.jsp</welcome-file>

</welcome-file-list>

</web-app>