- 技术人生
- yale cas 配置谈
在配置YALE 的CAS里面,走了不少弯路,到最后,终于搞好了.因此写了一个教程.希望再次配置的人能少走弯路.TOMCAT :tomcat-5.5.15版~~~忘记了,反正是当前最新的版本JDK:1.5.06环境变量要设好.第一次发帖~~~~1. 启用TOMCAT的SSL把.keystore文件复制到TOMCAT的CONF目录下面。在TOMCAT的主目录的CONF目录下面,修改server.xml文件,加上以下代码<Connector port="8443" maxHttpHeaderSize="8192" maxThreads="150" minSpareThreads="25" maxSpareThreads="75" enableLookups="false" disableUploadTimeout="true" acceptCount="100" scheme="https" secure="true" clientAuth="false" sslProtocol="TLS" keystoreFile="conf/.keystore" keystorePass="changeit" />其中的keystoreFile是证书库文件,keystorePass是访问此证书库文件的密码。注:keystore文件可以用以下方法生成。Keytool –genkey –alias hostname –keyalg RSA(在接下来的第一项是名称,记住最好是和hostname同一名称)执行此操作会在用户的当前目录(user.home)下产生一个名为.keystore的文件。如果已经有了,将自动把新产生的KEY放进文件里面(此次的hostname是运行CAS服务器的名字.不要搞错,否则会在以后验证出错的.如果你是在本地测试,则用localhost就OK了)2. 导入证书文件到各个应用的JRE的JVM里面首先产生一个证书文件,用以下方法:Keytool –export –alias hostname –file filename.cer这样就在用户当前产生了一个名为filename.cer的文件接下来就把此文件导入到各应用的的JVM里面Keytool –import –alias hostname –file filename –keystore {java_home}/jre/lib/security/cacerts注:如果你的JAVA_HOME里面有空格,请用引号括住。3. 把cas.war包复制到TOMCAT的WEBAPPS下面,然后用http://localhost:8080/cas/login就可以访问登陆了改写验证方法。CAS的默认方验证方法是用户名和密码相同,如果想改为自己的验证方式,如何做呢?你只需复制以下代码,然后在适当的地方插入你的验证代码就OK了。package org.jasig.cas.authentication.handler.support;import org.jasig.cas.authentication.principal.UsernamePasswordCredentials;import org.springframework.util.StringUtils;public final class classname extends AbstractUsernamePasswordAuthenticationHandler { public boolean authenticateUsernamePasswordInternal( final UsernamePasswordCredentials credentials) { final String username = credentials.getUsername(); final String password = credentials.getPassword(); if (在此插入你的验证代码) { getLog().debug( "User [" + username + "] was successfully authenticated."); return true; } getLog().debug("User [" + username + "] failed authentication"); return false; } protected void afterPropertiesSetInternal() throws Exception { super.afterPropertiesSetInternal(); getLog() .warn( this.getClass().getName() + " is only to be used in a testing environment. NEVER enable this in a production environment."); }}然后,修改deployerConfigContext.xml(在CAS的WEB-INF目录下面)找到<bean class="org.jasig.cas.authentication.handler.support.SimpleTestUsernamePasswordAuthenticationHandler" />把class改为你自己写的验证的类就OK了。到此,服务器端的配置就完成了。接下来是各个应用的配置:4.(以JAVA的配置为例子)把casclient.jar包复制到应用的lib目录下面,如果没有就创建它。然后再在应用的部署描述文件里面(web.xml)加上filter。如下:<filter> <filter-name>CAS Filter</filter-name> <filter-class>edu.yale.its.tp.cas.client.filter.CASFilter</filter-class> <init-param> <param-name>edu.yale.its.tp.cas.client.filter.loginUrl</param-name> <param-value>https://casServerhost:8443/cas/login</param-value> </init-param> <init-param> <param-name>edu.yale.its.tp.cas.client.filter.validateUrl</param-name> <param-value>https:// casServerhost:8443/cas/proxyValidate</param-value> </init-param> <init-param> <param-name>edu.yale.its.tp.cas.client.filter.serverName</param-name> <param-value>localhost:8080</param-value> </init-param> </filter><filter-mapping> <filter-name>CAS Filter</filter-name> <url-pattern>/servlet/*</url-pattern></filter-mapping>Localhost是指各个应用的服务器的名字casServerHost是指cas服务器的名字其中的filter-mapping就是配置哪些资源是需要通过CAS验证的。可以配置多个。4. 配置语言包在cas里面的WEB-INF/classes下面添加不同的语言包,然后再在/WEB-INF/view/jsp/default/ui/includes的top.jsp文件顶部加入<%@ page contentType="text/html; charset=gbk" language="java" %>便可以了。一些错误信息:1. keytool 认证未输入别名 <mykey> 已经存在这是因为你已经导入了一信任证书。在进行keytool –import的时候,如果没有指定别名,则系统默任导入的证书的名字为mykey,所以,可以先删除此证书keytool –delete –alias mykey –keystore {java_home}/jre/lib/security/cacerts然后再从新导入,或者指定别名导入keytool –import –alias name –keystore {java_home}/jre/lib/security/cacerts2. java.io.IOException: Keystore was tampered with, or password was incorrect这个很可能你的keystore文件已经被修改了,密码已经更改,直接删除这个文件,再从新生成就可以了3. javax.servlet.ServletException: sun.security.validator.ValidatorException: PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target这是因为你没有在应用端导入证书。在应用端执行keytool –import –alias name –file filename.cer便可以。其中的name.cer是在前面的用keytool –export导出的cer文件
