分类:
2012-09-03 15:08:41
一、单点登录的概念
单点登录(SSO)英文全称Single Sign On,单点登录。SSO是在多个应用系统中,只需要登录一次就可以访问所有相互信任的应用系统。它包括可以将这次主要的登录映射到其他应用中用于同一 个的登录的机制。它是目前比较流行的企业业务整合的解决方案之一。
简单的 SSO 的体系中,会有下面三种角色: 1 、 User (多个) 2 、 Web 应用(多个) 3 、 SSO 中心(1 个)
虽然 SSO 实现模式千奇百怪,但万变不离其宗:
1) Web 应用不处理 User 的登录,否则就是多点登陆了,所有的登录都在 SSO 认证中心进行。
2) SSO 认证中心通过一些方法来告诉 Web 应用当前访问用户究竟是谁。
3) SSO 认证中心和所有的Web 应用建立一种信任关系,SSO 认证中心对用户身份正确性的判断会通过某种方法告之Web 应用,而且判断结果必须被Web 应用信任。
二、单点登录原理
当用户第一次访问应用系统1的时候,因为还没有登录,会被引导到认证系统中进行登录;根据用户提供的登录信息,认证系统进行身份效验,如果通过效验,应该 返回给用户一个认证的凭据--ticket;用户再访问别的应用的时候,就会将这个ticket带上,作为自己认证的凭据,应用系统接受到请求之后会把 ticket送到认证系统进行效验,检查ticket的合法性。如果通过效验,用户就可以在不用再次登录的情况下访问应用系统2和应用系统3了。
CAS单点登录原理图:
三、CAS 单点登录
1.SSL配置
先在CAS官方上下载cas server,解压后找到在modules文件夹中找到cas-server-webapp-3.4.11.war,将文件名更改为cas.war后置于tomcat应用目录下。
因为CAS的验证需要通过SSL来完成,所以SSL对于CAS来说是必须的,SSL的配置不是本文的重点,我们只是做简要的介绍。
我们执行路径为{JAVA_HOME}/jre/bin(这样的目的是避免{JAVA_HOME}路径的不一致造成干扰),比如到:\Program Files\Java\jdk1.5.0_12\jre\bin目录下,我们假定{TOMCAT_HOME}为D:\apache-tomcat- 6.0.16。
1) 生成名称为tomcat的服务器端密钥并保存到密钥库文件server.keystore中
keytool -genkey -alias tomcat -keypass huateng -keyalg RSA -keystore D:\apache-tomcat-6.0.16\server.keystore -storepass huateng
参数说明如下:
ü keystore: 密钥库文件,如果没有指定位置的情况下,keystore文件会存在用户的系统默认目录,如:对于Windows XP系统,会生成在系统的C:\Documents and Settings\UserName\目录下,文件名为".keystore"
ü alias:自定义名称,此处取tomcat;
ü genkey:生成密钥
ü keyalg: 密钥算法,主要两种方式:RSA采用MD5加RSA算法加密密钥,DSA 采用SHA1加DSA算法加密密钥,此处采用RSA;
ü keypass:密钥密码
ü storepass:密钥库密码
注 意:当系统提示输入“您的名字与姓氏是什么”时,此时应输入本机的域名或者直接输入单点登录服务器的IP,如myhostname,最后就用来测试配置是 否成功。域名配置参见:C:\WINDOWS\system32\drivers\etc下的hosts文件(增加一个本地名描述 127.0.0.1 myhostname);如果不想如此麻烦,此处只要简单输入localhost即可。
2) 导出别名为tomcat的密钥的证书server.crt
keytool -export -alias tomcat -file server.crt -keystore D:\apache-tomcat-6.0.16\server.keystore
3) 导入证书server.crt到jvm的信任库(JVM的信任库为cacerts,位置在{JAVA_HOME}/jre/lib/security/cacerts,默认密码为changeit)
keytool -import -alias tomcat -file server.crt -keystore ../lib/security/cacerts
2.
在上述步骤中生成的证书库server.keystore已经存在{TOMCAT_HOME}目录下面。找到{TOMCAT_HOME}\conf\server.xml文件,解开SSL的注释。
port="8443" minSpareThreads="5" maxSpareThreads="75" enableLookups="true" disableUploadTimeout="true" acceptCount="100" maxThreads="200" scheme="https" secure="true" SSLEnabled="true" clientAuth="false" sslProtocol="TLS" keystoreFile="D:/apache-tomcat-6.0.16/server.keystore" storetype="JKS" keystorePass="huateng"/> 此处主要更改keystoreFile和keystorePass属性项,keystoreFile为步骤1)中所生成的文件。 完成后,启动Tomcat,如果能通过能访问系统,说明Tomcat SSL配置成功。