[一]、概述
本來主要詳細是介紹CAS和LDAP整合實現單點登錄的步驟。
[二]、詳細步驟
1、LDAP安裝配置
介紹openLDAP在windows上的安裝配置
安裝配置,添加部分測試數據如下:
2、CAS的基礎安裝配置:
3、CAS整合LDAP的配置
如果是Mave構建項目的,添加LDAP的相關依賴:
<dependency>
<groupId>org.jasig.cas</groupId>
<artifactId>cas-server-support-ldap</artifactId>
<version>${cas.version}</version>
</dependency>
<!--僅僅在使用到連接池時添加該依賴
<dependency>
<groupId>commons-pool</groupId>
<artifactId>commons-pool</artifactId>
<version>${apache.commons.pool.version}</version>
</dependency>
-->
如果不是maven項目,需要cas-server-support-ldap-3.4.11.jar(官網下載的發佈包cas-server-3.5.2-release.zip的 modules下) 和spring-ldap-core-1.3.1.RELEASE.jar
LDAP認證配置有兩種:
[第一種]、FastBindLdapAuthenticationHandler
這種認證處理器一般用於DN是由用戶名直接組成的,比如:uid=%u,ou=dev,dc=micmiu.com,dc=com ,其中 %u 就是CAS登錄的用戶名。
修改web的配置文件 WEB-INF\deployerConfigContext.xml:
首先在<beans>跟節點下增加bean:ContextSource 的配置:
<bean id="contextSource" class="org.springframework.ldap.core.support.LdapContextSource">
<property name="pooled" value="false"/>
<property name="url" value="ldap://127.0.0.1:389" />
<property name="userDn" value="cn=Manager"/>
<property name="password" value="secret"/>
<property name="baseEnvironmentProperties">
<map>
<entry key="com.sun.jndi.ldap.connect.timeout" value="3000" />
<entry key="com.sun.jndi.ldap.read.timeout" value="3000" />
<entry key="java.naming.security.authentication" value="simple" />
</map>
</property>
</bean>
ContextSource 的配置說明:
- 如果有多個LDAP服務器,可以通過參數urls 配置多個
- FastBindLdapAuthenticationHandler配置時,這裏的userDn 可以配置成 “cn=Manager,ou=dev,dc=micmiu,dc=com” 或 “cn=Manager,ou=dev” 或 “cn=Manager” 或 “Manager” 這四個都可以
- 如果LDAP服務器有SSL,注意url配置的前綴是ldaps:”ldaps://192.168.8.150:636″
在<bean id=”authenticationManager” />下找到SimpleTestUsernamePasswordAuthenticationHandler的配置,修改成如下:
<bean class="org.jasig.cas.adaptors.ldap.FastBindLdapAuthenticationHandler">
<property name="filter" value="uid=%u,ou=Developer,dc=micmiu,dc=com" />
<property name="contextSource" ref="contextSource" />
</bean>
配置好後分別啓動三個應用:tomcat-cas、tomcat-app1、tomcat-app2,進行認證測試:
- 輸入Michael/111111 可以成功登錄,
- 輸入Miumiu/111111 則登錄失敗。
[第二種]、BindLdapAuthenticationHandler
這種認證處理器一般用於需要驗證的用戶名是DN的其他的屬性比如email,而不是上面第一種處理器中的uid(當然uid屬性同樣適用,下面我們配置的示例是用mail)。
修改web的配置文件 WEB-INF\deployerConfigContext.xml:
同樣在<beans>跟節點下增加bean:ContextSource 的配置:
<bean id="contextSource" class="org.springframework.ldap.core.support.LdapContextSource">
<property name="anonymousReadOnly" value="false" />
<property name="password" value="secret" />
<property name="pooled" value="true" />
<property name="urls">
<list>
<value>ldap://127.0.0.1:389</value>
</list>
</property>
<property name="userDn" value="cn=Manager,dc=micmiu,dc=com" />
<property name="baseEnvironmentProperties">
<map>
<!-- LDAP SSL訪問配置
<entry key="java.naming.security.protocol" value="ssl" />
-->
<entry key="java.naming.security.authentication" value="simple" />
</map>
</property>
</bean>
在<bean id=”authenticationManager” />修改認證bean的配置,修改成如下:
<bean class="org.jasig.cas.adaptors.ldap.BindLdapAuthenticationHandler">
<property name="filter" value="mail=%u" />
<property name="searchBase" value="dc=micmiu,dc=com" />
<property name="contextSource" ref="contextSource" />
<!-- 允許多個賬號-->
<property name="allowMultipleAccounts" value="true" />
</bean>
配置好後分別啓動三個應用:tomcat-cas、tomcat-app1、tomcat-app2,進行認證測試:
- 輸入Michael/111111 可以成功登錄,
- 輸入Miumiu/111111 也可以成功登錄。
如果把參數:searchBase的值修改爲:”ou=Developer,dc=micmiu,dc=com”,重新啓動測試認證的結果如下:
- 輸入Michael/111111 可以成功登錄,
- 輸入Miumiu/111111 則登錄失敗。
此時的認證效果和第一種的認證效果是一樣的。
有關連接池的配置可以參見官網介紹:https://wiki.jasig.org/display/CASUM/LDAP