windows下进行单点登录配置操作手册.docx

windows下进行单点登录配置操作手册.docx

《windows下进行单点登录配置操作手册.docx》由会员分享，可在线阅读，更多相关《windows下进行单点登录配置操作手册.docx（20页珍藏版）》请在冰豆网上搜索。

windows下进行单点登录配置操作手册

一、单点登录（SSOSingleSignon）实现方式

SSL+CAS+LdAP实现单点登录；

二、技术介绍

SSL（SecureSocketLayer）安全套接层;

CAS是加拿大标准协会（CanadianStandardsAssociation）,是加拿大首家专为制定工业标准的非盈利机构，也是世界最著名的安全认证机构之一。

Ldap是轻量目录访问协议，（LightweightDirectoryAccessProtocol）.

三、相关软件

IDE：

myeclipse相关版本

JDK:

JDK相关版本

Web服务器：

tomcat相关版本

cas-server-3.4.10-release.zip和cas-client-java-2.1.1.zip

http:

//www.ja-sig.org/downloads/cas-clients/cas-client-java-2.1.1.zip

http:

//www.ja-sig.org/downloads/cas/cas-server-3.3.1-release.zip 到该网站可找到最先版本进行下载。

LDAP服务器

可以到apache下载最新的apacheds-1.5.7-setup.exe地址

http:

//directory.apache.org/ ，apacheds-1.5.7-setup.exe可以作为LDAP服务器。

下载安装ApacheDirectoryStudio-win32-1.5.2.v20091211.exehttp:

//directory.apache.org/，可以使用该软件LDAP连接的配置，及其目录条目，LDAP的操作。

可以下载openLdap进行命令行下的LDAP操作。

四、tomcat配置SSL，CAS

1.解压cas-server-3.4.10-release.zip和cas-client-java-2.1.1.zip

2.将下载的JDK安装到本机，例如这里安装目录为D:

\Java\jdk1.6.0_20，注意：

这里不要安装到D:

\ProgramFiles\java\jdk下，这里目录中包含空格，在我们配置SSL生成证书时可能报错。

配置JDK环境变量。

3.安装tomcat或者使用非安装版都可以，本次测试中使用两个tomcat，一个作为服务器端（D:

\tomcat），另一个作为客户端（E:

\tomcatClient）。

4.配置SSL，通过JDK中的keytool工具生成服务器端和客户端的证书文件。

Ø配置host文件。

在C:

\WINDOWS\system32\drivers\etc找到hosts文件，添加

127.0.0.1localhost表示是本机ip，在实际中一般已经存在。

10.1.0.160这里我使用的是来表示服务器名称，这个是10.1.0.160是本机的ip号，在实际配置中如果是两台机器，应该是服务器端的ip号。

注:

Ip与服务器名称之间用tab键隔开。

服务器端和客户端均需要修改hosts配置文件。

10.1.0.160这条配置，如果服务器端和客户端不是同一计算机，那么这里需要在服务器端计算机和客户端计算机的hosts文件中都加入该条命令，也就是服务器ip的配置。

10.1.0.160该ip必须为服务器在局域网中的ip地址。

Ø服务器端证书生成

a.打开cmd，cd到%JAVA_HOME%\jre\lib\security,这里我的jdk目录为

D:

\Java\jdk1.6.0_20\jre\lib\security，如下图:

b.使用keytool工具，删除、生成和导入证书文件

使用keytool工具可以删除已经存在的证书。

Keytool–delete–aliastomcatsso–keystorecacerts–storepasschangeit删除已经存在的cacerts，

Keytool–delete–aliastomcatsso–storepasschangeit,删除证书，这里使用别名tomcatsso。

Keytool–list–keystorecacerts–storepasschangit,列出已经存在的导入的证书。

●制作密钥库

Keytool–genkey–keyalgRSA-dname“cn=”–aliasserver–keypasspassword-keystoreserver.jks–storepasspassword

注：

这里的cn需要改为你的服务器端域名，这里我使用的是本机在hosts配置为.这里也可以是计算机名称。

Password部分可根据需要进行自己的修改。

server.jks,这里的文件后缀名，可根据自身的需要进行修改。

●将密钥库导出为证书文件

Keytool–export–trustcacerts–aliasserver–fileserver.cer–keystoreserver.jks–storepasspassword

●把证书导入到java中

Keytool–import–trustcacerts–aliasserver–fileserver.cer–keystore

“%JAVA_HOME%/jre/lib/security/cacerts”–storepasspassword

注:

这里使用%JAVA_HOME%,的话需要在环境变量中进行配置。

Ø客户端证书制作

●制作密钥库

Keytool–genkey–keyalgRSA–dname“cn=”–aliasclient–keypasspassword–keystoreclient.jks–storepasspassword

●把密钥库导出为证书文件

Keytool–export–trustcacerts–aliasclient–fileclient.cer–keystoreclient.jks–storepasspassword

●把证书导入到java

Keytool–import–trustcacerts–aliasclient–fileclient.cer–keystore

“%JAVA_HOME%/jre/lib/security/cacerts”–storepasspassword

Ø证书位置配置

●生成的server.cer,server.jks,client.cer,client.jks在”%JAVA_HOME%/bin”中可以找到。

●在服务器端，将生成的server.jks文件拷贝至服务器端的tomcat目录下的conf目录下，本例为D:

\tomcat\conf目录

●在客户端，将生成的client.jks文件拷贝至客户端tomcat目录下的conf中，本例为E:

\tomcatClient\conf下。

●将生成的client.jks和client.jks拷贝至客户端的”%JAVA_HOME%/bin”中。

这里我们服务端和客户端为同一台机器所以不需要在进行拷贝。

Ø服务器端tomcat进行配置

解压cas-server-3.4.10-release.zip，在modules下找到

cas-server-uber-webapp-3.4.10.war放到tomcat下的webapps下，重命名为cas。

打开tomcat下server.xml,这里为D:

\tomcat\conf\server.xml,添加SSL协议配置，在server.xml中，将

将server.xml中包含redirectPort="8443"的改为redirectPort="443"。

服务器端配置完成后，启动服务器端tomcat，检查log是否存在错误，无误后在浏览器输入:

443/cas出现如下画面：

点击继续浏览此网站进入cas登陆界面，输入用户名和密码，在cas默认情况下输入的用户名和密码只要相同即可，输入完成登陆进去。

这说明cas服务端配置成功了。

Ø客户端tomcat配置

客户端和服务端的SSL配置一致，只是需要修改server.jks为client.jks,

因为我的客户端和服务端tomcat在同一台机器上，为了避免启动时出现端口占用情况，所以在客户端的tomcat的server.xml进行端口修改。

修改为

connectionTimeout="20000"

redirectPort="8443"/>修改为

修改为

Ø编写客户端代码进行测试

在myeclipse下创建web工程SSO_Pro1,新建类HelloWorldExample

解压cas-client-java-2.1.1.zip后在dist目录下找到casclient.jar将其拷贝到

SSO_Pro1下WEB-INF下的lib下。

在web.xml添加CASFilter与servlet映射

xmlversion="1.0"encoding="UTF-8"?

>

xmlns="

xmlns:

xsi="http:

//www.w3.org/2001/XMLSchema-instance"

xsi:

schemaLocation="

CASFilter

edu.yale.its.tp.cas.client.filter.CASFilter

edu.yale.its.tp.cas.client.filter.loginUrl

:

443/cas/login

--CAS服务器地址-->

edu.yale.its.tp.cas.client.filter.validateUrl

--CAS服务器地址-->

:

443/cas/serviceValidate

edu.yale.its.tp.cas.client.filter.serverName

10.1.0.38:

9090

CASFilter

/*

HelloWorldExample

servlet.HelloWorldExample

HelloWorldExample

/servlet/helloWorldExample

WelcomePage

servlet.WelcomePage

WelcomePage

/servlet/welcomePage

index.jsp

同样，在myeclipse创建web工程SSO_Pro2,将SSO_Pro1下的HelloWroldExample和web.xml拷贝到SSO_Pro2下。

同样把casclient.jar将其拷贝到SSO_Pro1下WEB-INF下的lib下。

注:

这里为客户端机器的ip地址和端口号

Ø测试实例，启动客户端和服务器端的tomcat，检查log查看是否出现问题，如果正确，在浏览器输入

:

9090/SSO_Pro1/servlet/helloWorldExample

出现认证界面，点击进去输入用户名密码，则提示登陆成功。

同样测试SSO_Pro2不需要登陆就可以进入工程界面。

继续浏览登录，输入用户名密码。

测试。

在未配置ldap之前，使用的用户名和密码是相同的。

五、CAS配置LDAP实现定制的用户名，密码登陆。

Ø安装apacheds-1.5.7-setup.exe和

ApacheDirectoryStudio-win32-1.5.2.v20091211.exe，安装完成后在windows服务中启动

启动完成后在开始—程序中打开ApacheDirectoryServer。

Ø创建ApacheDirectoryServer与ApacheDriectoryServer之间的链接。

这里我们已经建立了一个连接。

点击

建立新的连接。

这里按照上面填写，因为我们已经建立了localhost这里我们命名为localhost1

可点击

进行测试，成功后点击next按钮。

输入完成后，密码为secret点击

进行验证。

通过后点击next进行设置，如无设置，点击Finish。

完成后，打开连接。

这里我们以localhost为例进行说明。

如下如所示:

这里有uid=pt01和uid=pt02这个是之前建立的。

在system下创建pt03用户。

点击

，new-newContextEntery创建一个新的条目。

点击next，添加所要的schema

点击Next，添加uid=pt03.

点击next，添加cn，和sn属性的值。

同时添加pt03用户的密码这里为echo。

点击

点击finish。

输入密码echo，选择加密类型为MD5.点击ok。

完成后如下所示

到处的ldif文件格式如下

在Spring官方网站找到spring-ldap-1.3.0.RELEASE-all.jar下载。

将其添加到服务器端tomcat下caslib目录下，这里为D:

\tomcat\webapps\cas\WEB-INF\lib。

在解压的cas-server-3.4.10下的modules下找到cas-server-support-ldap-3.4.10.jar

放置到tomcat下caslib目录下。

打开D:

\tomcat\webapps\cas\WEB-INF找到配置文件deployerConfigContext.xml

打开后添加contextSource。

将SimpleTestUsernamePasswordAuthenticationHandler注释掉，添加

FastBindLdapAuthenticationHandler

重启服务端tomcat，查看log没有错误。

在浏览器地址栏输入:

443/cas,用我们之前添加的用户测试，pt01/echo,pt02/echo，/pt03/echo测试。

关闭，重启服务器和客户端tomcat，查看启动日志确保没有出现异常，在地址栏输入:

9090/SSO_Pro1/servlet/helloWorldExample输入上面的用户名密码测试。

在访问:

9090/SSO_Pro2/servlet/helloWorldExample可以看到访问SSO_Pro2时不需要输入用户名密码。

那么我们的单点登录就成功了。

六学习资料

http:

//docs.moodle.org/20/en/admin/auth/ldap摩灯LDAP配置1

http:

//mediawiki.middlebury.edu/wiki/LIS/CASifying_Moodle摩灯LDAP配置2

http:

//static.springsource.org/spring-ldap/docs/1.3.x/reference/html/user-authentication.htmlspringldap认证

统一认证实现原理

http:

//mguessan.free.fr/nt/openldap_en.htmlopenLdap命令行简单测试

cas认证配置学习

cas配置说明

尚学堂简例，sql版认证扩展

cas认证扩展Oracle版

LdapPhp嵌入版

Apache配置HTTPS协议搭载SSl配置全过程

证书协议

ldap结合其他软件

http:

//www.openldap.org/doc/admin24/openLdapadmin指导

LdapV3