SO系统Single Sign On （单点登录）配置1 关于 SSO实现一个易用的、能跨不同Web应用的单点登录认证中心。实现统一的用户身份和密钥管理，减少多套密码系统造成的管理成本和安全 漏洞。降低认证模块在IT系统设计中的耦合度，提供更好的SOA设计和更弹性的安全策略。2 关于 CASCAS 是目前能够找到的最好的开源单点登录产品。CAS 采用 Cookie 机制。CAS 单点登录系统最早由耶鲁大学开发。莒煙录iIL权机制LDAP*单点廊碑Web应用j3 配置环境到 CAS 官方网站下载 CAS Server 和 Client， 我用的版本是：http:/www.ja-sig.org/dow nl oads/cas/cas-server-3.1.1-release.ziphttp:/www.ja-sig.org/dow nl oads/cas-clie nts/cas-clie nt-java-2.1.1.zipWEB 服务器：apache-tomcat-7.0.10JDK ： jdk1.6.0_144 配置过程4.1 配置默认的认证服务器下 载 cas-server-3.1.1-release.zip ， 解 压 后 ， 将 modulescas-server-webapp-3.1.1.war 改 名 为 cas.war ， 并 拷 贝 cas.war 到D:Javaapache-tomcat-6.0.14webapps 目 录 下 。 启 动 Tomcat， 访 问 网 址http:/localhost:8080/cas/i ndex.jsp,出现以下画面。输入用户名和密码，只要相同就可登录。且进入如下界面。至此，默认配置的服务器配置成功。4.2 扩展服务器端接口（后继工作内容）4.2.1 JDBC 方式422 LDAP方式各个银行都是用这种方式。423XML 方式?（还有 MAP 方式）4.3 个性化页面（后继工作内容）CAS提供了 2套默认的页面，分别为“defaul t”和“simple”，分别在目 录“ cas/WEB-INF/view/jsp/default” 和cas/WEBTNF/view/jsp/simple” ” 下。其中default是一个稍微复杂一些的页面，使用CSS,而simple则是能 让 CAS 正常工作的最简化的页面。在部署 CAS 之前，需要定制一套新的 CASServer 页面，添加一些适合 SO 的内容。 最简单的方法就是拷贝一份 default 或 simple 文件到“ cas/WEB-INF/view/jsp ”目录下，比如命名为 newUI ，接下来是实现和修改 必要的页面。如下 4 个页面是必须的修改的casConfirmView.jsp:当用户选择了 “warn时会看到的确认界面 casGenericSuccess.jsp: 在用户成功通过认证而没有目的 Service 时会看 到的界面casLoginView.jsp: 当需要用户提供认证信息时会出现的界面 casLogoutView.jsp: 当用户结束 CAS 单点登录系统会话时出现的界面4.4 配置 SSL注释：指定使用RSA算法，生成别名为tomcatsso的证书，存贮口令为changeit, 证书的DN为cn=localhost，这个DN必须同当前主机完整名称一致哦，切记！ ！ ！） keytool -genkey -keyalg RSA -alias tomcatsso -dname cn=localhost -storepass cha ngeit注释： 从keystore中导出别名为tomcatsso的证书，生成文件tomcatsso.crt keytool -export -alias tomcatsso -file D:/so/jdk1.6.0_14/jre/lib/security/tomcatsso.crt -storepass cha ngeit注释：将tomcatsso.crt导入jre的可信任证书仓库。注意，安装JDK是有两个jre 目录，一个在jdk底下，一个是独立的jre,这里的目录必须同Tomcat使用的jre 目录一致，否则后面Tomcat的HTTPS通讯就找不到证书了keytool-import-aliastomcatsso-fileD:/so/jdk1.6.0_14/jre/lib/security/tomcatsso.crt-keystoreD:/so/jdk1.6.0_14/jre/lib/security/cacerts -storepass cha ngeit列出jre可信任证书仓库中证书名单，验证先前的导入是否成功，如果导入成功， 应该在列表中能找到tomcatsso这个别名keytool -list -keystore D:/so/jdk1.6.0_14/jre/lib/security/cacerts -storepass cha ngeit 在tomcat目录/conf/server.xml中加入如下语句vConn ector protocol=org.apache.coyote.http11.Http11Protoc olport=8443 min SpareThreads=5 maxSpareThreads=75en ableLookups=true disableUploadTimeout=true acceptCou nt=100 maxThreads=200 scheme=https secure=true SSLE nabled=true keystoreFile=D:/UserData/che nqian kai/.keystore keystorePass=cha ngeittruststoreFile=D:/so/jdk1.6.0_14/jre/lib/security/cacertsclie ntAuth=false sslProtocol=TLS/4.5配置客户端（examples为例）对于 web 应用而言，使用 CAS 集成统一认证是相对简单的事，只要为需要认证的 URL 配置 edu.yale.its.tp.cas.client.filter.CASFilter认证过滤器4.5.1 客户端环境拷贝文件 casclient.jar 到目录examplesWEB-INFlib 下。还要拷贝 commons-logging-1.0.4.jar 到该目录下。4.5.2配置 WEB.XML加入如下内容vfilter-n ameCAS Filterv/filter-n amevfilter-classedu.yale.its.tp.cas.clie nt.filter.CASFilterv/filter-classvini t-paramvparam-n ameedu.yale.its.tp.cas.clie nt.filter .login Urlv/param-n ame vparam-valuehttps:/localhost:8443/cas/log inv /param-valuev/i ni t-paramvini t-paramvparam-n ameedu.yale.its.tp.cas.clie nt.filter.validateUrlv/param-n amevparam-valuehttps:/localhost:8443/cas/serviceValidatev/param-value4.5.3 验证输入 http:/localhost:8080/examples/servlets/servlet/HelloWorldExample自动会跳转到如下界面：输入用户名和密码：local, local,将显示如下界面:此时的 URL 不再是： http:/linly:8080/examples/servlets/servlet/HelloWorldExample， URL 的尾端带上了一个 ticket 参数： http:/localhost:8080/examples/servlets/servlet/HelloWorldExample? ti cket=ST-1-dFGcMFrDND5HC5JfYaoS至此，客户端配置成功。5 后继开发1) SO 取消登录部分，且配置成为 client。2) CAS 页面 SO 定置。3)CAS 服务器接口扩展为 LDAP 方式。