先說寫心情一下:
去年在第一家公司做的那個項目使用是CAS SSO單點登錄,但是由於不是我做的那塊,所以一直沒有太深入的研究,這段日子比較閒,從新學習一下CAS SSO單點登錄吧,門戶網站等大型網站都會用的到的,所以這的確是個不可缺少的技術。這兩天在配置CAS SSO的時候遇到了很多的問題,雖然有過無助,但堅持一下別放棄,最終總會弄成功的!
-------------------------------------------------------------------------------------------------------------------------------
列一列遇到問題的過程:
先是:Tomcat配置完https後,啓動報錯。
然後就是:正常啓動,但是無法跳轉到CAS登錄頁面,也無法以https訪問。
再就是:可以正常跳轉到CAS的登錄頁面,但點擊登錄後,跳轉到成功頁面的時候報500錯誤,說沒有導入證書。
-------------------------------------------------------------------------------------------------------------------------------
網上找了好多的資料,但是幾乎都配置不成功,不是缺這個就是少那個。這裏我就寫寫我的筆記,絕對保證你能夠配置成功!好了,心情就說到這吧,總之成功的那一刻心情是很爽的。
轉載請註明出處:http://liangjian103.iteye.com/blog/1129056
需要介質
1、 客戶端介質cas-client-2.0.11.zip
2、 服務端介質cas-server-3.4.8-release.zip
3、 Tomcat6.0
4、 jdk1.5.0_12
下載地址:
http://downloads.jasig.org/cas-clients/
http://downloads.jasig.org/cas/
將cas-server-3.4.8-release.zip\cas-server-3.4.8\modules下的cas-server-webapp-3.4.8.war拷貝到Tomcat的webapp目錄下,重命名爲cas.war
一、服務端配置(以下配置我已經寫了批處理。):
修改Tomcat的密碼爲:changeit,因爲下面統一都用的這個密碼。
tomcat-users.xml <user username="admin" password="changeit" roles="admin,manager"/>
由於CAS只能識別域名,所以只能修改C:\WINDOWS\system32\drivers\etc\hosts,加入:127.0.0.1 sso.tomcat.com
由於以下我使用批處理實現,也就不需要一步步的回車設置證書的信息了:
服務端憑證要配置域名 例如:CN=sso.tomcat.com 此處爲hosts中配置的。這個名字要與下面配置客戶端的web.xml中的過濾器裏寫到的一致,下面會再做解釋。
set JAVA_HOME=C:\Program Files\Java\jdk1.5.0_12 set TOMCAT_HOME=D:\Program Files\Apache Software Foundation\Tomcat 6.0 set SERVER_DN="CN=sso.tomcat.com, OU=share, O=share, L=sz, S=gd, C=CN" set KS_PASS=-storepass changeit keytool -delete -alias tomcat -file client.cert %KS_PASS% -keystore server.keystore keytool -delete -alias tomcat1 -trustcacerts -file client.cert %KS_PASS% -keystore "%JAVA_HOME%/jre/lib/security/cacerts" -keypass changeit keytool -genkey -alias tomcat -keyalg RSA -keystore server.keystore -dname %SERVER_DN% %KS_PASS% -keypass changeit keytool -export -alias tomcat -file client.cert %KS_PASS% -keystore server.keystore keytool -import -alias tomcat1 -trustcacerts -file client.cert %KS_PASS% -keystore "%JAVA_HOME%/jre/lib/security/cacerts" -keypass changeit -noprompt mkdir "%TOMCAT_HOME%\keystore\" copy server.keystore "%TOMCAT_HOME%\keystore\" @echo off echo "-----------------------------------------------------------" echo 請配置%TOMCAT_HOME%\conf\server.xml文件。 echo "<Connector protocol=org.apache.coyote.http11.Http11NioProtocol" echo "port=8443 minSpareThreads=5 maxSpareThreads=75" echo "enableLookups=true disableUploadTimeout=true" echo "acceptCount=100 maxThreads=200" echo "scheme=https secure=true SSLEnabled=true" echo "clientAuth=false sslProtocol=TLS" echo "keystoreFile=keystore/server.keystore keystorePass=changeit" echo "/>" echo 當前JAVA_HOME=C:\Program Files\Java\jdk1.5.0_12 echo 當前TOMCAT_HOME=D:\Program Files\Apache Software Foundation\Tomcat 6.0 echo 證書位置:%TOMCAT_HOME%\keystore\server.keystore echo 以上爲CAS服務端的配置。接下來配置SSO客戶端。 echo "-----------------------------------------------------------" color 3 echo. && pause
保存爲:生成證書配置.bat,雙擊執行。
修改Tomcat 6.0\conf\server.xml文件:
<Connector protocol="org.apache.coyote.http11.Http11NioProtocol" port="8443" minSpareThreads="5" maxSpareThreads="75" enableLookups="true" disableUploadTimeout="true" acceptCount="100" maxThreads="200" scheme="https" secure="true" SSLEnabled="true" clientAuth="false" sslProtocol="TLS" keystoreFile="keystore/server.keystore" keystorePass="changeit" />
這個配置也是困擾我好長時間,但最終測試通過了的。
這裏需要注意,這個分別爲證書的路徑和密碼,keystore/server.keystore這個目錄和文件會在上面的批處理中創建,密碼默認爲:"changeit"
keystoreFile="keystore/server.keystore" keystorePass="changeit"
二、客戶端配置:
在你的應用中,修改web.xml文件,加入SSO過濾器
<!-- SSO-Start --> <filter> <filter-name>CAS Filter</filter-name> <filter-class>edu.yale.its.tp.cas.client.filter.CASFilter</filter-class> <init-param> <param-name>edu.yale.its.tp.cas.client.filter.loginUrl</param-name> <param-value>https://sso.tomcat.com:8443/cas/login</param-value> </init-param> <init-param> <param-name>edu.yale.its.tp.cas.client.filter.validateUrl</param-name> <param-value>https://sso.tomcat.com:8443/cas/proxyValidate</param-value> </init-param> <init-param> <param-name>edu.yale.its.tp.cas.client.filter.serverName</param-name> <param-value>192.168.9.203:8080</param-value> </init-param> </filter> <filter-mapping> <filter-name>CAS Filter</filter-name> <url-pattern>*.html</url-pattern> </filter-mapping> <filter-mapping> <filter-name>CAS Filter</filter-name> <url-pattern>*.htm</url-pattern> </filter-mapping> <filter-mapping> <filter-name>CAS Filter</filter-name> <url-pattern>*.action</url-pattern> </filter-mapping> <!-- SSO-END -->
啓動Tomcat服務,訪問一下你SSO過濾的頁面便可以跳轉到CAS的登錄頁面。登錄成功後,會自動跳轉到目標頁面。如果A應用和B應用都加入了SSO過濾器,這樣,他們就都會跳轉到CAS認證服務器去登錄,當其中一個應用在CAS上登錄後,另一個應用則會自動登錄。