Chinaunix首页 | 论坛 | 博客
  • 博客访问: 1424824
  • 博文数量: 269
  • 博客积分: 3602
  • 博客等级: 中校
  • 技术积分: 4536
  • 用 户 组: 普通用户
  • 注册时间: 2012-04-17 21:13
文章分类

全部博文(269)

文章存档

2014年(8)

2013年(139)

2012年(122)

分类:

2012-09-03 15:08:41

一、单点登录的概念

      单点登录(SSO)英文全称Single Sign On,单点登录。SSO是在多个应用系统中,只需要登录一次就可以访问所有相互信任的应用系统。它包括可以将这次主要的登录映射到其他应用中用于同一 个的登录的机制。它是目前比较流行的企业业务整合的解决方案之一。

     简单的 SSO 的体系中,会有下面三种角色:    1 、 User (多个)    2 、 Web 应用(多个)    3 、 SSO 中心(1 个)

     虽然 SSO 实现模式千奇百怪,但万变不离其宗:

1) Web 应用不处理 User 的登录,否则就是多点登陆了,所有的登录都在 SSO 认证中心进行。

2) SSO 认证中心通过一些方法来告诉 Web 应用当前访问用户究竟是谁。

3) SSO 认证中心和所有的Web 应用建立一种信任关系,SSO 认证中心对用户身份正确性的判断会通过某种方法告之Web 应用,而且判断结果必须被Web 应用信任。

二、单点登录原理

       当用户第一次访问应用系统1的时候,因为还没有登录,会被引导到认证系统中进行登录;根据用户提供的登录信息,认证系统进行身份效验,如果通过效验,应该 返回给用户一个认证的凭据--ticket;用户再访问别的应用的时候,就会将这个ticket带上,作为自己认证的凭据,应用系统接受到请求之后会把 ticket送到认证系统进行效验,检查ticket的合法性。如果通过效验,用户就可以在不用再次登录的情况下访问应用系统2和应用系统3了。

      CAS单点登录原理图:

       

 

三、CAS  单点登录

        1.SSL配置

        先在CAS官方上下载cas server,解压后找到在modules文件夹中找到cas-server-webapp-3.4.11.war,将文件名更改为cas.war后置于tomcat应用目录下。

        因为CAS的验证需要通过SSL来完成,所以SSL对于CAS来说是必须的,SSL的配置不是本文的重点,我们只是做简要的介绍。

        我们执行路径为{JAVA_HOME}/jre/bin(这样的目的是避免{JAVA_HOME}路径的不一致造成干扰),比如到:\Program Files\Java\jdk1.5.0_12\jre\bin目录下,我们假定{TOMCAT_HOME}为D:\apache-tomcat- 6.0.16。

1)   生成名称为tomcat的服务器端密钥并保存到密钥库文件server.keystore中

keytool -genkey -alias tomcat -keypass huateng -keyalg RSA -keystore D:\apache-tomcat-6.0.16\server.keystore -storepass      huateng

              参数说明如下:

ü  keystore: 密钥库文件,如果没有指定位置的情况下,keystore文件会存在用户的系统默认目录,如:对于Windows XP系统,会生成在系统的C:\Documents and Settings\UserName\目录下,文件名为".keystore" 

ü  alias:自定义名称,此处取tomcat;

ü  genkey:生成密钥

ü  keyalg: 密钥算法,主要两种方式:RSA采用MD5加RSA算法加密密钥,DSA 采用SHA1加DSA算法加密密钥,此处采用RSA;

ü  keypass:密钥密码

ü  storepass:密钥库密码

    注 意:当系统提示输入“您的名字与姓氏是什么”时,此时应输入本机的域名或者直接输入单点登录服务器的IP,如myhostname,最后就用来测试配置是 否成功。域名配置参见:C:\WINDOWS\system32\drivers\etc下的hosts文件(增加一个本地名描述 127.0.0.1  myhostname);如果不想如此麻烦,此处只要简单输入localhost即可。

2)   导出别名为tomcat的密钥的证书server.crt

             keytool -export -alias tomcat -file server.crt -keystore D:\apache-tomcat-6.0.16\server.keystore

3)   导入证书server.crt到jvm的信任库(JVM的信任库为cacerts,位置在{JAVA_HOME}/jre/lib/security/cacerts,默认密码为changeit)

             keytool -import -alias tomcat -file server.crt -keystore ../lib/security/cacerts

     2.   

            在上述步骤中生成的证书库server.keystore已经存在{TOMCAT_HOME}目录下面。找到{TOMCAT_HOME}\conf\server.xml文件,解开SSL的注释。

    

           port="8443" minSpareThreads="5" maxSpareThreads="75"   

           enableLookups="true" disableUploadTimeout="true"     

           acceptCount="100"  maxThreads="200"   

           scheme="https" secure="true" SSLEnabled="true"   

           clientAuth="false" sslProtocol="TLS"   

           keystoreFile="D:/apache-tomcat-6.0.16/server.keystore" storetype="JKS"       keystorePass="huateng"/>

此处主要更改keystoreFile和keystorePass属性项,keystoreFile为步骤1)中所生成的文件。

    完成后,启动Tomcat,如果能通过能访问系统,说明Tomcat SSL配置成功。

注意:这一步骤的目的使得应用服务器支持SSL,仅仅是单向认证。有些Tomcat版本不识别带空格的路径,因此在配置时请注意 keystoreFile的路径。
阅读(975) | 评论(0) | 转发(0) |
给主人留下些什么吧!~~