CAS安装使用手册-V1.21

CAS使用手册北京先进数通信息技术有限公司 版本：V1.0 -PAGE3-CAS使用手册北京先进数通信息技术有限公司EAIS编写说明标题：CAS使用手册类别：文档存放位置：编辑软件：MicrosoftWordXP中文版版本历史：版本作者日期备注V1.0皇甫2012-2-7初稿V1.1梅光弦2012-10-17补充V1.2梅光弦2013-1-28增加IE证书安装部分编写目的：本文供CAS的新手学习基本的简单概念，及学习在CAS框架下的CAS服务器配置部署和CAS客户端的配置方法。本文档由EAIS维护，供各学习人员或项目组使用。

目录编写说明 2目录 31.前言 41.1.本文目的 41.2.阅读建议 42.基本概念 42.1.YaleCAS简介 42.2.CAS原理和协议 43.CAS服务端安装 53.1.准备工作 63.2.数据库配置 63.2.1.创建数据库 63.2.2.初始化数据 63.2.3.配置数据库连接 63.2.4.配置加密方式 63.3.HTTPS验证配置 73.3.1.服务器端证书制作 73.3.2.将证书导入的JDK的证书信任库中 83.4.CASServer部署 83.4.1.应用服务器配置 83.4.2.应用部署 94.CAS客户端安装 114.1.添加Jar包 114.2.导入服务端生成证书 114.3.配置客户web.xml文件 114.4.IE安装证书 134.4.1.IE6安装证书向导 134.4.2.IE7及以上版本安装证书向导 184.5.CASClient端的获取用户信息 234.6.系统登录 234.7.系统签退 244.7.1.当sessionid的Cookie不进行设置时 244.7.2.当sessionid的Cookie进行设置时 24

前言本文目的本文是开发CAS应用的入门手册，主要学习在CAS框架下的CAS服务器配置部署和CAS客户端应用的配置方法。阅读建议本文假定读者是一个J2EE的开发人员，有一定的应用编程经验，熟悉RDBMS下的应用开发。如果您掌握Spring，可以自己继续深入学习CAS服务器内容。基本概念YaleCAS简介CAS是Yale（耶鲁）大学发起的一个开源项目，旨在为Web应用系统提供一种可靠的单点登录方法，CAS在2004年12月正式成为JA-SIG的一个项目。CAS具有以下特点：•开源的企业级单点登录解决方案。•CASServer为需要独立部署的Web应用。•CASClient支持非常多的客户端(这里指单点登录系统中的各个Web应用)，包括Java,.Net,PHP,Perl,Apache,uPortal,Ruby等。CAS原理和协议从结构上看，CAS包含两个部分：CASServer和CASClient。CASServer需要独立部署，主要负责对用户的认证工作；CASClient负责处理对客户端受保护资源的访问请求，需要登录时，重定向到CASServer。图1是CAS最基本的协议过程：图1.CAS基础协议CASClient与受保护的客户端应用部署在一起，以Filter方式保护受保护的资源。对于访问受保护资源的每个Web请求，CASClient会分析该请求的Http请求中是否包含ServiceTicket，如果没有，则说明当前用户尚未登录，于是将请求重定向到指定好的CASServer登录地址，并传递Service（也就是要访问的目的资源地址），以便登录成功过后转回该地址。用户在第3步中输入认证信息，如果登录成功，CASServer随机产生一个相当长度、唯一、不可伪造的ServiceTicket，并缓存以待将来验证，之后系统自动重定向到Service所在地址，并为客户端浏览器设置一个TicketGrantedCookie（TGC），CASClient在拿到Service和新产生的Ticket过后，在第5，6步中与CASServer进行身份合适，以确保ServiceTicket的合法性。在该协议中，所有与CAS的交互均采用SSL协议，确保，ST和TGC的安全性。协议工作过程中会有2次重定向的过程，但是CASClient与CASServer之间进行Ticket验证的过程对于用户是透明的。CAS服务端安装以Tomcat为例。准备工作安装JDK1.6。安装apache-tomcat-6.0.29。安装mysql-5.0。数据库配置创建数据库createdatabasecas;createtablet_user(idintnotnullauto_increment,usernamevarchar(50)notnull,passwordvarchar(50)notnull,primarykeyPK_position(id));初始化数据insertintot_user(username,password)values(‘111111’,‘111111’)；配置数据库连接WebRoot/WEB-INF/perties文件配置加密方式WebRoot/WEB-INF/deployerConfigContext.xml文件HTTPS验证配置服务器端证书制作生成serverkey，进入cmd（Win7用系统管理员身份进入），转到C:\store下输入：keytool-genkey-aliascasserver-keyalgRSA-keypasschangeit-storepasschangeit-keystoreserver.keystore-validity3600注：参数-validity指证书的有效期(天)，缺省有效期很短，只有90天。生成证书时,您的名字与姓氏是什么，必须添域名或casserver机器名，否则SSL将不能取得TGC信息。（证书至关重要，直接影响CAS是否能正常工作）生成server.keystore文件成功.将证书导入的JDK的证书信任库中第一步是导出证书，命令如下：keytool-export-trustcacerts-aliascasserver-fileserver.cer-keystoreserver.keystore-storepasschangeit第二步是导入到证书信任库，命令如下：keytool-import-trustcacerts-aliascasserver-fileserver.cer-keystoreD:\ProgramFiles\Java\jdk1.6.0_22\jre\lib\security\cacerts-storepasschangeit注：根据不同的JDK版本证书需要导入jdk/jre中。列出所导入证书keytool-list-v-keystoreD:\Java\jre1.6.0_02\lib\security\cacerts删除存在的证书Keytool-delete-trustcacerts-aliascasserver

-keystore

D:\Java\jre1.6.0_02\lib\security\cacerts-storepasschangeitCASServer部署应用服务器配置修改%TOMCAT_HOME%\conf\server.xml,添加如下配置<Connectorprotocol="org.apache.coyote.http11.Http11NioProtocol"port="8443"minSpareThreads="5"maxSpareThreads="75"enableLookups="true"disableUploadTimeout="true"acceptCount="100"maxThreads="200"scheme="https"secure="true"SSLEnabled="true"clientAuth="false"sslProtocol="TLS"keystoreFile="C:/store/server.keystore"keystorePass="changeit"/>keystoreFile为已经生成的服务器证书的地址keystorePass为自定义的服务器证书的密码应用部署把CAS软件包拷贝到%TOMCAT_HOME%\webapps目录下。启动Tomcat,检查CAS应用是否正常启动。在地址栏输入：:8443/cas/login如浏览器显示:柜员号、密码依次输入111111,点击‘登录’出现如下界面:表明CAS服务器安装成功。CAS客户端安装以Tomcat为例。添加Jar包将cas-client-3.2.1\modules\cas-client-core-3.2.1.jar拷贝到项目的lib目录下。导入服务端生成证书复制cas服务端生成证书server.cer到客户端，将证书导入JDK中keytool-import-trustcacerts-aliascasserver-fileserver.cer-keystoreD:\Java\jre1.6.0_02\lib\security\cacerts-storepasschangeit配置客户web.xml文件在客户端web.xml文件中加载如下代码<!--loginout--><listener> <listener-class>org.jasig.cas.client.session.SingleSignOutHttpSessionListener</listener-class></listener><filter> <filter-name>CASSingleSignOutFilter</filter-name> <filter-class>org.jasig.cas.client.session.SingleSignOutFilter</filter-class></filter><filter-mapping> <filter-name>CASSingleSignOutFilter</filter-name> <url-pattern>/*</url-pattern></filter-mapping><!--foruserauth--><filter> <filter-name>CASFilter</filter-name> <filter-class>org.jasig.cas.client.authentication.AuthenticationFilter</filter-class> <init-param> <param-name>casServerLoginUrl</param-name> <param-value>https://Henry:8443/cas/login</param-value> </init-param> <init-param> <param-name>serverName</param-name> <param-value>localhost:8180</param-value> </init-param></filter><filter-mapping> <filter-name>CASFilter</filter-name> <url-pattern>/*</url-pattern></filter-mapping><!--forTicketcheck--><filter> <filter-name>CASValidationFilter</filter-name> <filter-class> org.jasig.cas.client.validation.Cas20ProxyReceivingTicketValidationFilter</filter-class> <init-param> <param-name>casServerUrlPrefix</param-name> <param-value>https://Henry:8443/cas</param-value> </init-param> <init-param> <param-name>serverName</param-name> <param-value>localhost:8180</param-value> </init-param></filter><filter-mapping> <filter-name>CASValidationFilter</filter-name> <url-pattern>/*</url-pattern></filter-mapping><filter> <filter-name>CASHttpServletRequestWrapperFilter</filter-name> <filter-class> org.jasig.cas.client.util.HttpServletRequestWrapperFilter</filter-class></filter><filter-mapping> <filter-name>CASHttpServletRequestWrapperFilter</filter-name> <url-pattern>/*</url-pattern></filter-mapping><filter> <filter-name>CASAssertionThreadLocalFilter</filter-name> <filter-class>org.jasig.cas.client.util.AssertionThreadLocalFilter</filter-class></filter><filter-mapping> <filter-name>CASAssertionThreadLocalFilter</filter-name> <url-pattern>/*</url-pattern></filter-mapping>IE安装证书由于客户端IE没有安装CAS服务器端证书，首次访问CAS服务器时浏览器会提示安全警告。下面是IE6及IE7以上(含IE7)两个版本的安装向导：IE6安装证书向导首次访问CAS服务器端，会出现安全警告，如图1-1。1-1点击‘查看证书’按钮,如图1-2。1-2点击‘安装证书’按钮，如图1-3。1-3按照证书导入向导，点击‘下一步’，如图1-4。1-4选择‘将所有的证书放入下列存储区’,点击‘浏览’，如图1-5。选择‘受信任的根证书颁发机构’,点击‘确定’,如图1-6。1-6点击‘完成’按钮，如图1-7。1-7点击‘是’，提示证书导入成功，如图1-8。1-8至此，IE安装证书完毕。另外，我们可以去IE证书库上查看CAS证书是否安装成功。步骤如下：点击IE的‘工具’菜单-》Internet选项-》内容，如图1-9。1-9点击‘证书’-》受信任的根证书颁发机构,如图1-10。1-10如图1-10所示，CAS证书已成功安装。重启IE,重新请求访问CAS服务器。不再出现安全警告。IE7及以上版本安装证书向导IE7及以上版本安装证书步骤跟IE6类似，如下列图所示:2-12-22-32-42-52-62-72-82-92-10CASClient端的获取用户信息在Java中通过Session获取登录用户信息：AttributePrincipalprincipal=(AttributePrincipal)getRequest().getUserPrincipal();在JSTL中获取用户名的方法：1、方法一<%=request.getRemoteUser()%>2、方法二？？？<c:out

value="${sessionScope[CAS:'edu.