2008-02-26

JA-SIG(CAS)学习笔记1

关键字: ja-sig cas sso https 单点登录 统一认证
实验背景:
系统环境: Windows XP | SUN JDK1.6U4 | Tomcat6.0.14 | CAS Server 3.1.1 + CAS Client 2.1.1
主机完整名称: Linly
浏览器: FireFox V2.0.0.11

实验步骤:
STEP 1,搭建Java Web服务器环境
安装 JDK + Tomcat 6.0.14 , HTTP端口8080 , HTTPS端口8443
JAVA_HOME = D:\Java\jdk1.6.0_04
CATALINA_HOME = D:\Java\apache-tomcat-6.0.14
安装完毕,启动Tomcat ,在浏览器上 测试 http://Linly:8080/

出现上述界面,表明系统STEP1成功搭建。

STEP 2,使用Java Keytool工具为系统生成HTTPS证书,并为系统注册
(Java Keytool相关资料可参阅:Java keytool 安全证书学习笔记), 在DOS窗体运行以下指令(建议编写一个BAT批处理文件执行)
[quote]
cls
rem please set the env JAVA_HOME before run this bat file
rem delete alia tomcat if it is existed
keytool -delete -alias tomcatsso -keystore %JAVA_HOME%/jre/lib/security/cacerts -storepass changeit
keytool -delete -alias tomcatsso -storepass changeit
(注释: 清除系统中可能存在的名字为tomcatsso 的同名证书)
rem list all alias in the cacerts
keytool -list -keystore %JAVA_HOME%/jre/lib/security/cacerts -storepass changeit
(注释: 列出系统证书仓库中存在证书名称列表)
rem generator a key
keytool -genkey -keyalg RSA -alias tomcatsso -dname "cn=linly" -storepass changeit
(注释:指定使用RSA算法,生成别名为tomcatsso的证书,存贮口令为changeit,证书的DN为"cn=linly" ,这个DN必须同当前主机完整名称一致哦,切记!!!)rem export the key
keytool -export -alias tomcatsso -file %java_home%/jre/lib/security/tomcatsso.crt -storepass changeit
(注释: 从keystore中导出别名为tomcatsso的证书,生成文件tomcatsso.crt)rem import into trust cacerts
keytool -import -alias tomcatsso -file %java_home%/jre/lib/security/tomcatsso.crt -keystore %java_home%/jre/lib/security/cacerts -storepass changeit
(注释:将tomcatsso.crt导入jre的可信任证书仓库。注意,安装JDK是有两个jre目录,一个在jdk底下,一个是独立的jre,这里的目录必须同Tomcat使用的jre目录一致,否则后面Tomcat的HTTPS通讯就找不到证书了)
rem list all alias in the cacerts
keytool -list -keystore %JAVA_HOME%/jre/lib/security/cacerts -storepass changeit
(注释:列出jre可信任证书仓库中证书名单,验证先前的导入是否成功,如果导入成功,应该在列表中能找到tomcatsso这个别名,如下图)[/quote]

同时,在D:\Java\jdk1.6.0_04\jre\lib\security目录下能找到“tomcatsso.crt”这个文件;在C:\Documents and Settings\Linly目录下能找到“.keystore”文件。
满足上述条件则STEP2部署完成。

STEP 3,配置Tomcat的HTTPS服务
编辑D:\Java\apache-tomcat-6.0.14\conf下的server.xml文件,在connector的配置位置添加以下的配置:
[quote]<Connector protocol="org.apache.coyote.http11.Http11Protocol"
port="8443" minSpareThreads="5" maxSpareThreads="75"
enableLookups="true" disableUploadTimeout="true"
acceptCount="100" maxThreads="200"
scheme="https" secure="true" SSLEnabled="true"
keystoreFile="C:/Documents and Settings/new/.keystore" keystorePass="changeit"
truststoreFile="D:/Java/jdk1.6.0_04/jre/lib/security/cacerts"
clientAuth="false" sslProtocol="TLS"/>[/quote]

启动Tomcat,访问https://linly:8443/,出现以下界面说明HTTPS配置生效:


STEP 4,为HelloWorldExample程序配置CAS过滤器
访问http://linly:8080/examples/servlets/servlet/HelloWorldExample,出现以下界面说明应用正常启动:

编辑D:\Java\apache-tomcat-6.0.14\webapps\examples\WEB-INF下的web.xml文件,添加如下信息:
[quote]<filter>
<filter-name>CAS Filter</filter-name>
<filter-class>edu.yale.its.tp.cas.client.filter.CASFilter</filter-class>
<init-param>
<param-name>edu.yale.its.tp.cas.client.filter.loginUrl</param-name>
<param-value>https://Linly:8443/cas/login</param-value>
</init-param>
<init-param>
<param-name>edu.yale.its.tp.cas.client.filter.validateUrl</param-name>
<param-value>https://Linly:8443/cas/serviceValidate</param-value>
</init-param>
<init-param>
<param-name>edu.yale.its.tp.cas.client.filter.serverName</param-name>
<param-value>Linly:8080</param-value>
</init-param>
</filter>
[/quote]

[quote]
<filter-mapping>
<filter-name>CAS Filter</filter-name>
<url-pattern>/servlets/servlet/HelloWorldExample</url-pattern>
</filter-mapping>
[/quote]

拷贝casclient.jar文件到目录D:\Java\apache-tomcat-6.0.14\webapps\examples\WEB-INF\lib下。
由于我们使用的是Tomcat6.0.14,因此,还要拷贝commons-logging-1.0.4.jar到该目录下。

STEP 5,部署JA-SIG(CAS)服务器
拷贝cas.war到D:\Java\apache-tomcat-6.0.14\webapps目录下。启动Tomcat,访问网址http://linly:8080/cas/index.jsp,出现以下画面:

输入用户名/密码 :linly/linly(任意两个相同的字窜),点击“登录”,出现以下画面:

表示CAS服务器配置运行成功。


STEP 6,测试JA-SIG(CAS)部署结果
启动Tomcat。
测试使用浏览器登陆以下网址:http://linly:8080/examples/servlets/servlet/HelloWorldExample,页面将弹出以下认证框,点击“确定”


页面将重定向到JA-SIG的SSO登录认证页面



输入用户名=密码,如:linly/linly,则通过验证,进入应用的入口界面,如下:


细心的用户将发现,此时的URL不再是:
http://linly:8080/examples/servlets/servlet/HelloWorldExample,
URL的尾端带上了一个ticket参数:
http://linly:8080/examples/servlets/servlet/HelloWorldExample?ticket=ST-2-qTcfDrdFb0bWndWgaqZD
到此,JA-SIG(CAS)服务器的初步SSO部署宣告成功。
评论
lsqlister 前天
javax.net.ssl.SSLHandshakeException: java.security.cert.CertificateException: No name matching localhost found
是什么原因啊?
lsqlister 前天
<filter>
<filter-name>CAS Filter</filter-name>
<filter-class>edu.yale.its.tp.cas.client.filter.CASFilter</filter-class>
<init-param>
<param-name>edu.yale.its.tp.cas.client.filter.loginUrl</param-name>
<param-value>https://Linly:8443/cas/login</param-value>
</init-param>
<init-param>
<param-name>edu.yale.its.tp.cas.client.filter.validateUrl</param-name>
<param-value>https://Linly:8443/cas/serviceValidate</param-value>
</init-param>
<init-param>
<param-name>edu.yale.its.tp.cas.client.filter.serverName</param-name>
<param-value>Linly:8080</param-value>
</init-param>
</filter>
里面的Linly变为localhost,出现404错误。

请问:<param-value>Linly:8080</param-value> 具体什么功能啊
liuho 2008-05-08
我觉着在%JAVA_HOME%/中包含空格是导致执行命令是出现路径错误的原因,建议jdk装在不包含空格的路径中或者在%JAVA_HOME%/绝对路径下执行命令
flymichael 2008-05-07
博主,如何在自己的AuthenticationHandler里获得session,也就是说怎么得到request对象?
flymichael 2008-04-25
主机部署casserver,客户端部署在另一台机器上,客户端导入了服务端证书和自己的证书,都部署了SSL,访问时,casserver验证通过,但是客户端页面抛出异常
flymichael 2008-04-25
博主,有个异常请教

javax.net.ssl.SSLHandshakeException:java.security.cert.CertificateException: No subject alternative names present
flymichael 2008-04-25
说明一下,执行的时候需要把%JAVA_HOME%替换成绝对路径
flymichael 2008-04-23
在C:\Program Files\Java\jdk1.6.0_03\jre\lib\security目录下操作可完成
flymichael 2008-04-23
反复手写过,错误依旧,博主是否自己手测过???
flymichael 2008-04-23
我发现凡是用到%JAVA_HOME%/jre/lib/security/cacerts这句都报错,不管是哪个指令下的
错误显示如下:
keytool错误:java.lang.RuntimeException:用法错误,Files\Java\jdk1.6.0_03/jre/lib/security/cacerts 不是合法的命令
带下划线部分是%JAVA_HOME%,dos窗口显示部分应属正常,前后斜杠不一致,测试一下错误依旧,郁闷中。。。
linliangyi2007 2008-04-21
楼上的兄弟是不是命令行没打全,或者一半的时候被折行了。
flymichael 2008-04-21
keytool -delete -alias tomcatsso -keystore %JAVA_HOME%/jre/lib/security/cacerts -storepass changeit
这句话报keytool错误,java.lang.RuntimeException运行期错误,
JAVA_HOME%/jre/lib/security/cacerts 不是合法命令
linliangyi2007 2008-03-06
楼上的兄弟看的真细,确实楼掉了过滤器的url配置,真不好意思!
补上了,多谢多谢!
猫尾摆摆 2008-03-06
第四步似乎有问题,按照你的配置,是不会出现网页受保护的提示的,而且也不是通过https连接。

应该加上
<filter-mapping>
<filter-name>CAS Filter</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>
猫尾摆摆 2008-03-06
第四步似乎有问题,按照你的配置,是不是出现网页受保护的提示的,而且也是通过https连接。

应该加上
<filter-mapping>
<filter-name>CAS Filter</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>
发表评论

您还没有登录,请登录后发表评论

linliangyi2007
搜索本博客
我的相册
A63b2e65-bc0e-30f0-9003-1a6debded161-thumb
2008五一南江滨 050S
共 117 张
存档
最新评论