CAS安裝使用手冊(cè)-V1.21

CAS使用手冊(cè)北京先進(jìn)數(shù)通信息技術(shù)有限公司 版本：V1.0 -PAGE3-CAS使用手冊(cè)北京先進(jìn)數(shù)通信息技術(shù)有限公司EAIS編寫說明標(biāo)題：CAS使用手冊(cè)類別：文檔存放位置：編輯軟件：MicrosoftWordXP中文版版本歷史：版本作者日期備注V1.0皇甫2012-2-7初稿V1.1梅光弦2012-10-17補(bǔ)充V1.2梅光弦2013-1-28增加IE證書安裝部分編寫目的：本文供CAS的新手學(xué)習(xí)基本的簡(jiǎn)單概念，及學(xué)習(xí)在CAS框架下的CAS服務(wù)器配置部署和CAS客戶端的配置方法。本文檔由EAIS維護(hù)，供各學(xué)習(xí)人員或項(xiàng)目組使用。

目錄編寫說明 2目錄 31.前言 41.1.本文目的 41.2.閱讀建議 42.基本概念 42.1.YaleCAS簡(jiǎn)介 42.2.CAS原理和協(xié)議 43.CAS服務(wù)端安裝 53.1.準(zhǔn)備工作 63.2.數(shù)據(jù)庫配置 63.2.1.創(chuàng)建數(shù)據(jù)庫 63.2.2.初始化數(shù)據(jù) 63.2.3.配置數(shù)據(jù)庫連接 63.2.4.配置加密方式 63.3.HTTPS驗(yàn)證配置 73.3.1.服務(wù)器端證書制作 73.3.2.將證書導(dǎo)入的JDK的證書信任庫中 83.4.CASServer部署 83.4.1.應(yīng)用服務(wù)器配置 83.4.2.應(yīng)用部署 94.CAS客戶端安裝 114.1.添加Jar包 114.2.導(dǎo)入服務(wù)端生成證書 114.3.配置客戶web.xml文件 114.4.IE安裝證書 134.4.1.IE6安裝證書向?qū)?134.4.2.IE7及以上版本安裝證書向?qū)?184.5.CASClient端的獲取用戶信息 234.6.系統(tǒng)登錄 234.7.系統(tǒng)簽退 244.7.1.當(dāng)sessionid的Cookie不進(jìn)行設(shè)置時(shí) 244.7.2.當(dāng)sessionid的Cookie進(jìn)行設(shè)置時(shí) 24

前言本文目的本文是開發(fā)CAS應(yīng)用的入門手冊(cè)，主要學(xué)習(xí)在CAS框架下的CAS服務(wù)器配置部署和CAS客戶端應(yīng)用的配置方法。閱讀建議本文假定讀者是一個(gè)J2EE的開發(fā)人員，有一定的應(yīng)用編程經(jīng)驗(yàn)，熟悉RDBMS下的應(yīng)用開發(fā)。如果您掌握Spring，可以自己繼續(xù)深入學(xué)習(xí)CAS服務(wù)器內(nèi)容?；靖拍頨aleCAS簡(jiǎn)介CAS是Yale（耶魯）大學(xué)發(fā)起的一個(gè)開源項(xiàng)目，旨在為Web應(yīng)用系統(tǒng)提供一種可靠的單點(diǎn)登錄方法，CAS在2004年12月正式成為JA-SIG的一個(gè)項(xiàng)目。CAS具有以下特點(diǎn)：?開源的企業(yè)級(jí)單點(diǎn)登錄解決方案。?CASServer為需要獨(dú)立部署的Web應(yīng)用。?CASClient支持非常多的客戶端(這里指單點(diǎn)登錄系統(tǒng)中的各個(gè)Web應(yīng)用)，包括Java,.Net,PHP,Perl,Apache,uPortal,Ruby等。CAS原理和協(xié)議從結(jié)構(gòu)上看，CAS包含兩個(gè)部分：CASServer和CASClient。CASServer需要獨(dú)立部署，主要負(fù)責(zé)對(duì)用戶的認(rèn)證工作；CASClient負(fù)責(zé)處理對(duì)客戶端受保護(hù)資源的訪問請(qǐng)求，需要登錄時(shí)，重定向到CASServer。圖1是CAS最基本的協(xié)議過程：圖1.CAS基礎(chǔ)協(xié)議CASClient與受保護(hù)的客戶端應(yīng)用部署在一起，以Filter方式保護(hù)受保護(hù)的資源。對(duì)于訪問受保護(hù)資源的每個(gè)Web請(qǐng)求，CASClient會(huì)分析該請(qǐng)求的Http請(qǐng)求中是否包含ServiceTicket，如果沒有，則說明當(dāng)前用戶尚未登錄，于是將請(qǐng)求重定向到指定好的CASServer登錄地址，并傳遞Service（也就是要訪問的目的資源地址），以便登錄成功過后轉(zhuǎn)回該地址。用戶在第3步中輸入認(rèn)證信息，如果登錄成功，CASServer隨機(jī)產(chǎn)生一個(gè)相當(dāng)長(zhǎng)度、唯一、不可偽造的ServiceTicket，并緩存以待將來驗(yàn)證，之后系統(tǒng)自動(dòng)重定向到Service所在地址，并為客戶端瀏覽器設(shè)置一個(gè)TicketGrantedCookie（TGC），CASClient在拿到Service和新產(chǎn)生的Ticket過后，在第5，6步中與CASServer進(jìn)行身份合適，以確保ServiceTicket的合法性。在該協(xié)議中，所有與CAS的交互均采用SSL協(xié)議，確保，ST和TGC的安全性。協(xié)議工作過程中會(huì)有2次重定向的過程，但是CASClient與CASServer之間進(jìn)行Ticket驗(yàn)證的過程對(duì)于用戶是透明的。CAS服務(wù)端安裝以Tomcat為例。準(zhǔn)備工作安裝JDK1.6。安裝apache-tomcat-6.0.29。安裝mysql-5.0。數(shù)據(jù)庫配置創(chuàng)建數(shù)據(jù)庫createdatabasecas;createtablet_user(idintnotnullauto_increment,usernamevarchar(50)notnull,passwordvarchar(50)notnull,primarykeyPK_position(id));初始化數(shù)據(jù)insertintot_user(username,password)values(‘111111’,‘111111’)；配置數(shù)據(jù)庫連接WebRoot/WEB-INF/perties文件配置加密方式WebRoot/WEB-INF/deployerConfigContext.xml文件HTTPS驗(yàn)證配置服務(wù)器端證書制作生成serverkey，進(jìn)入cmd（Win7用系統(tǒng)管理員身份進(jìn)入），轉(zhuǎn)到C:\store下輸入：keytool-genkey-aliascasserver-keyalgRSA-keypasschangeit-storepasschangeit-keystoreserver.keystore-validity3600注：參數(shù)-validity指證書的有效期(天)，缺省有效期很短，只有90天。生成證書時(shí),您的名字與姓氏是什么，必須添域名或casserver機(jī)器名，否則SSL將不能取得TGC信息。（證書至關(guān)重要，直接影響CAS是否能正常工作）生成server.keystore文件成功.將證書導(dǎo)入的JDK的證書信任庫中第一步是導(dǎo)出證書，命令如下：keytool-export-trustcacerts-aliascasserver-fileserver.cer-keystoreserver.keystore-storepasschangeit第二步是導(dǎo)入到證書信任庫，命令如下：keytool-import-trustcacerts-aliascasserver-fileserver.cer-keystoreD:\ProgramFiles\Java\jdk1.6.0_22\jre\lib\security\cacerts-storepasschangeit注：根據(jù)不同的JDK版本證書需要導(dǎo)入jdk/jre中。列出所導(dǎo)入證書keytool-list-v-keystoreD:\Java\jre1.6.0_02\lib\security\cacerts刪除存在的證書Keytool-delete-trustcacerts-aliascasserver

-keystore

D:\Java\jre1.6.0_02\lib\security\cacerts-storepasschangeitCASServer部署應(yīng)用服務(wù)器配置修改%TOMCAT_HOME%\conf\server.xml,添加如下配置<Connectorprotocol="org.apache.coyote.http11.Http11NioProtocol"port="8443"minSpareThreads="5"maxSpareThreads="75"enableLookups="true"disableUploadTimeout="true"acceptCount="100"maxThreads="200"scheme="https"secure="true"SSLEnabled="true"clientAuth="false"sslProtocol="TLS"keystoreFile="C:/store/server.keystore"keystorePass="changeit"/>keystoreFile為已經(jīng)生成的服務(wù)器證書的地址keystorePass為自定義的服務(wù)器證書的密碼應(yīng)用部署把CAS軟件包拷貝到%TOMCAT_HOME%\webapps目錄下。啟動(dòng)Tomcat,檢查CAS應(yīng)用是否正常啟動(dòng)。在地址欄輸入：:8443/cas/login如瀏覽器顯示:柜員號(hào)、密碼依次輸入111111,點(diǎn)擊‘登錄’出現(xiàn)如下界面:表明CAS服務(wù)器安裝成功。CAS客戶端安裝以Tomcat為例。添加Jar包將cas-client-3.2.1\modules\cas-client-core-3.2.1.jar拷貝到項(xiàng)目的lib目錄下。導(dǎo)入服務(wù)端生成證書復(fù)制cas服務(wù)端生成證書server.cer到客戶端，將證書導(dǎo)入JDK中keytool-import-trustcacerts-aliascasserver-fileserver.cer-keystoreD:\Java\jre1.6.0_02\lib\security\cacerts-storepasschangeit配置客戶web.xml文件在客戶端web.xml文件中加載如下代碼<!--loginout--><listener> <listener-class>org.jasig.cas.client.session.SingleSignOutHttpSessionListener</listener-class></listener><filter> <filter-name>CASSingleSignOutFilter</filter-name> <filter-class>org.jasig.cas.client.session.SingleSignOutFilter</filter-class></filter><filter-mapping> <filter-name>CASSingleSignOutFilter</filter-name> <url-pattern>/*</url-pattern></filter-mapping><!--foruserauth--><filter> <filter-name>CASFilter</filter-name> <filter-class>org.jasig.cas.client.authentication.AuthenticationFilter</filter-class> <init-param> <param-name>casServerLoginUrl</param-name> <param-value>https://Henry:8443/cas/login</param-value> </init-param> <init-param> <param-name>serverName</param-name> <param-value>localhost:8180</param-value> </init-param></filter><filter-mapping> <filter-name>CASFilter</filter-name> <url-pattern>/*</url-pattern></filter-mapping><!--forTicketcheck--><filter> <filter-name>CASValidationFilter</filter-name> <filter-class> org.jasig.cas.client.validation.Cas20ProxyReceivingTicketValidationFilter</filter-class> <init-param> <param-name>casServerUrlPrefix</param-name> <param-value>https://Henry:8443/cas</param-value> </init-param> <init-param> <param-name>serverName</param-name> <param-value>localhost:8180</param-value> </init-param></filter><filter-mapping> <filter-name>CASValidationFilter</filter-name> <url-pattern>/*</url-pattern></filter-mapping><filter> <filter-name>CASHttpServletRequestWrapperFilter</filter-name> <filter-class> org.jasig.cas.client.util.HttpServletRequestWrapperFilter</filter-class></filter><filter-mapping> <filter-name>CASHttpServletRequestWrapperFilter</filter-name> <url-pattern>/*</url-pattern></filter-mapping><filter> <filter-name>CASAssertionThreadLocalFilter</filter-name> <filter-class>org.jasig.cas.client.util.AssertionThreadLocalFilter</filter-class></filter><filter-mapping> <filter-name>CASAssertionThreadLocalFilter</filter-name> <url-pattern>/*</url-pattern></filter-mapping>IE安裝證書由于客戶端IE沒有安裝CAS服務(wù)器端證書，首次訪問CAS服務(wù)器時(shí)瀏覽器會(huì)提示安全警告。下面是IE6及IE7以上(含IE7)兩個(gè)版本的安裝向?qū)В篒E6安裝證書向?qū)状卧L問CAS服務(wù)器端，會(huì)出現(xiàn)安全警告，如圖1-1。1-1點(diǎn)擊‘查看證書’按鈕,如圖1-2。1-2點(diǎn)擊‘安裝證書’按鈕，如圖1-3。1-3按照證書導(dǎo)入向?qū)?，點(diǎn)擊‘下一步’，如圖1-4。1-4選擇‘將所有的證書放入下列存儲(chǔ)區(qū)’,點(diǎn)擊‘瀏覽’，如圖1-5。選擇‘受信任的根證書頒發(fā)機(jī)構(gòu)’,點(diǎn)擊‘確定’,如圖1-6。1-6點(diǎn)擊‘完成’按鈕，如圖1-7。1-7點(diǎn)擊‘是’，提示證書導(dǎo)入成功，如圖1-8。1-8至此，IE安裝證書完畢。另外，我們可以去IE證書庫上查看CAS證書是否安裝成功。步驟如下：點(diǎn)擊IE的‘工具’菜單-》Internet選項(xiàng)-》內(nèi)容，如圖1-9。1-9點(diǎn)擊‘證書’-》受信任的根證書頒發(fā)機(jī)構(gòu),如圖1-10。1-10如圖1-10所示，CAS證書已成功安裝。重啟IE,重新請(qǐng)求訪問CAS服務(wù)器。不再出現(xiàn)安全警告。IE7及以上版本安裝證書向?qū)E7及以上版本安裝證書步驟跟IE6類似，如下列圖所示:2-12-22-32-42-52-62-72-82-92-10CASClient端的獲取用戶信息在Java中通過Session獲取登錄用戶信息：AttributePrincipalprincipal=(AttributePrincipal)getRequest().getUserPrincipal();在JSTL中獲取用戶名的方法：1、方法一<%=request.getRemoteUser()%>2、方法二？？？<c:out

value="${sessionScope[CAS:'edu.