有關CAS服務器配置以及作為cas服務器客戶端程序的配置方法介紹

? 由于CAS要求使用https和客戶端進行通信，所以需要配置Tomcat支持SSL，為了實現SSL，一個Web服務必須對每一個接受安全連接的外部接口或者IP地址有一個相關聯的證書，數字證書的獲取一般從像verisign或者Thawte這樣的著名證書頒發機構(Certificate Authority CA)購買證書，或者如果身份驗證并不很重要，比如管理員只是希望保證服務器發送和接收的數據是私有的并且不能被連接中的任何竊聽者探聽到，則可以只是使用自簽名的證書，從而省去獲取CA證書的時間和成本。此處使用自簽名證書作為客戶端與服務器端安全通信的憑證。

本節描述創建一個名為server.keystore的服務器keystore以及名為client.keystore的客戶端keystore。這兩個文件構成一個密鑰對。這些文件通常是在<TOMCAT_HOME>目錄中或者在應用程序目錄中創建的。

我們使用keytool工具創建keystore文件。可以在<JAVA_HOME>/bin目錄中找到keytool工具。

1.???? 生成密鑰對

keytool -genkey -alias tomcat-server -keyalg RSA -keypass changeit -storepass changeit -keystore server.keystore

2? 將服務器證書導出為證書文件：

keytool -export -alias tomcat-server -storepass changeit -file server.cer -keystore server.keystore
?輸入密碼(changeit)：

Keytool返回下列消息：

Certificate stored in file <server.cer>

?

3 用keytool在所選的keystore文件中創建客戶端證書：

keytool -genkey -alias tomcat-client -keyalg RSA -keypass changeit -storepass changeit -keystore client.keystore

4 將新客戶端證書從keystore導出到證書文件：

keytool -export -alias tomcat-client -storepass changeit -file client.cer -keystore client.keystore

輸入keystore密碼(changeit)。Keytool將返回該消息：

Certificate stored in file <client.cer>

5 將上述步驟所得到的tomcat根目錄下server.cer以及client.cer證書文件導入到cacerts 文件中，
cacerts文件默認生成在tomcat根目錄下

keytool -import -trustcacerts -alias server -file server.cer -keystore cacerts -storepass changeit

keytool -import -trustcacerts -alias client -file client.cer -keystore cacerts -storepass changeit

6在tomcat根目錄下找到cacerts文件，拷貝到<JAVA_HOME>\jre\lib\security文件下

從下載得cas-server3最新版本中找到target文件下面得cas.war，拷貝到<TOMCAT_HOME>/webapp目錄下
，修改<TOMCAT_HOME>/conf下面得server.xml文件，添加如下：

<Connector port="8443" maxHttpHeaderSize="8192"
?????????????? maxThreads="150" minSpareThreads="25" maxSpareThreads="75"
?????????????? enableLookups="false" disableUploadTimeout="true"
?????????????? acceptCount="100" scheme="https" secure="true"
?????????????? clientAuth="false" sslProtocol="TLS" keystoreFile="/server.keystore" keystorePass="changeit"/>
??
?
? 7? CAS默認設置為只要用戶名和密碼相同，即可進行登錄，這在現實使用中是不允許的。我們修改為使用MySQL的test數據庫中的app_user表作為用戶數據源。首先，我們在test庫中創建一個表：
CREATE TABLE `app_user` (
? `username` varchar(30) NOT NULL default '',
? `password` varchar(45) NOT NULL default '',
? PRIMARY KEY? (`username`)
) ENGINE=InnoDB DEFAULT CHARSET=utf8;
并添加如下用戶：
INSERT INTO `app_user` (`username`,`password`) VALUES
?('dianne','emu'),
?('marissa','koala'),
?('peter','opal'),
?('scott','wombat');
用編輯器打開%CATALINA_HOME%/webapps/cas/WEB-INF/deployerConfigContext.xml，找到
??? <bean class="org.jasig.cas.authentication.handler.support.SimpleTestUsernamePasswordAuthenticationHandler" />
注釋掉該行，在其下加入：
<bean class="org.jasig.cas.adaptors.jdbc.QueryDatabaseAuthenticationHandler">
??????????????????????????? <property name="sql" value="select password from app_user where username=?" />
??????????????????????????? <property name="dataSource" ref="dataSource" />
???????????????????? </bean>
并添加一個bean：
??? <bean id="dataSource" class="org.springframework.jdbc.datasource.DriverManagerDataSource" destroy-method="close">
?????? <property name="driverClassName"><value>com.mysql.jdbc.Driver</value></property>
?????? <property name="url"><value>jdbc:mysql://localhost:3306/test</value></property>
?????? <property name="username"><value>test</value></property>
?????? <property name="password"><value>test</value></property>
??? </bean>
拷貝cas-server-jdbc-3.0.5-rc2.jar和mysql-connector-java-3.1.12-bin.jar到%CATALINA_HOME%/webapps/cas/WEB-INF/lib下。

?

8啟動startup.bat，運行tomcat之后，新打開得瀏覽器中輸入： https://localhost:8443 即可看到安全連接對話框，選擇之后可以看到正常運行得tomcat！

－－－此時 ，cas服務器端配置已經完成，只要配置客戶端之后即可通過cas認證服務器來實現各個子系統之間得單點統一登陸！

?

客戶端配置如下：

1? 打開客戶端得web.xml文件，添加如下

<!-- CAS Filters -->
?<filter>
??<filter-name>CASFilter</filter-name>
??<filter-class>
???edu.yale.its.tp.cas.client.filter.CASFilter
??</filter-class>
??<init-param>
???<param-name>
????edu.yale.its.tp.cas.client.filter.loginUrl
???</param-name>
???<param-value>https://localhost:8443/cas/login</param-value>
??</init-param><!--這里的server是服務端的IP-->
??<init-param>
???<param-name>
????edu.yale.its.tp.cas.client.filter.validateUrl
???</param-name>
???<param-value>
???? https://localhost:8443/cas/proxyValidate
???</param-value>
??</init-param><!--這里的serName是服務端的主機名，而且必須是-->
??<init-param>
???<param-name>
????edu.yale.its.tp.cas.client.filter.serverName
???</param-name>
???<param-value>localhost:8443</param-value><!--client:port就是需要CAS需要攔截的地址和端口，一般就是這個TOMCAT所啟動的IP和port-->
??</init-param>
?</filter>

?<filter-mapping>
??<filter-name>CASFilter</filter-name>
??<url-pattern>/secure/*</url-pattern><!--這里的設置是針對servlets-examples的，針對jsp-examples設置為/*-->
?</filter-mapping>
?
?
?2? 然后拷貝從cas-server網站上下載到的casclient.jar文件到客戶端的lib下面即可；
?
?
?cas服務器以及客戶端全部部署完畢后，即可通過cas統一認證服務器來實現應用系統中的單點登陸，從而把登陸認證的部分邏輯從
?子系統中剝離出來交給cas認證服務器來做！

?

Trackback: http://tb.blog.csdn.net/TrackBack.aspx?PostId=1510481