您好,欢迎访问三七文档
当前位置:首页 > 商业/管理/HR > 信息化管理 > SSO 单点登录配置方案
SO系统SingleSignOn(单点登录)配置1关于SSO实现一个易用的、能跨不同Web应用的单点登录认证中心。实现统一的用户身份和密钥管理,减少多套密码系统造成的管理成本和安全漏洞。降低认证模块在IT系统设计中的耦合度,提供更好的SOA设计和更弹性的安全策略。2关于CASCAS是目前能够找到的最好的开源单点登录产品。CAS采用Cookie机制。CAS单点登录系统最早由耶鲁大学开发。3配置环境到CAS官方网站下载CASServer和Client,我用的版本是:://服务器:apache-tomcat-7.0.10JDK:jdk1.6.0_144配置过程4.1配置默认的认证服务器下载cas-server-3.1.1-release.zip,解压后,将\modules\cas-server-webapp-3.1.1.war改名为cas.war,并拷贝cas.war到D:\Java\apache-tomcat-6.0.14\webapps目录下。启动Tomcat,访问网址出现以下画面。输入用户名和密码,只要相同就可登录。且进入如下界面。至此,默认配置的服务器配置成功。4.2扩展服务器端接口(后继工作内容)4.2.1JDBC方式4.2.2LDAP方式各个银行都是用这种方式。4.2.3XML方式?(还有MAP方式)4.3个性化页面(后继工作内容)CAS提供了2套默认的页面,分别为“default”和“simple”,分别在目录“cas/WEB-INF/view/jsp/default”和“cas/WEB-INF/view/jsp/simple””下。其中default是一个稍微复杂一些的页面,使用CSS,而simple则是能让CAS正常工作的最简化的页面。在部署CAS之前,需要定制一套新的CASServer页面,添加一些适合SO的内容。最简单的方法就是拷贝一份default或simple文件到“cas/WEB-INF/view/jsp”目录下,比如命名为newUI,接下来是实现和修改必要的页面。如下4个页面是必须的修改的casConfirmView.jsp:当用户选择了“warn”时会看到的确认界面casGenericSuccess.jsp:在用户成功通过认证而没有目的Service时会看到的界面casLoginView.jsp:当需要用户提供认证信息时会出现的界面casLogoutView.jsp:当用户结束CAS单点登录系统会话时出现的界面4.4配置SSL注释:指定使用RSA算法,生成别名为tomcatsso的证书,存贮口令为changeit,证书的DN为cn=localhost,这个DN必须同当前主机完整名称一致哦,切记!!!)keytool-genkey-keyalgRSA-aliastomcatsso-dnamecn=localhost-storepasschangeit注释:从keystore中导出别名为tomcatsso的证书,生成文件tomcatsso.crtkeytool-export-aliastomcatsso-fileD:/so/jdk1.6.0_14/jre/lib/security/tomcatsso.crt-storepasschangeit注释:将tomcatsso.crt导入jre的可信任证书仓库。注意,安装JDK是有两个jre目录,一个在jdk底下,一个是独立的jre,这里的目录必须同Tomcat使用的jre目录一致,否则后面Tomcat的HTTPS通讯就找不到证书了keytool-import-aliastomcatsso-fileD:/so/jdk1.6.0_14/jre/lib/security/tomcatsso.crt-keystoreD:/so/jdk1.6.0_14/jre/lib/security/cacerts-storepasschangeit列出jre可信任证书仓库中证书名单,验证先前的导入是否成功,如果导入成功,应该在列表中能找到tomcatsso这个别名keytool-list-keystoreD:/so/jdk1.6.0_14//jre/lib/security/cacerts-storepasschangeit在tomcat目录/conf/server.xml中加入如下语句Connectorprotocol=org.apache.coyote.http11.Http11Protocolport=8443minSpareThreads=5maxSpareThreads=75enableLookups=truedisableUploadTimeout=trueacceptCount=100maxThreads=200scheme=httpssecure=trueSSLEnabled=truekeystoreFile=D:/UserData/chenqiankai/.keystorekeystorePass=changeittruststoreFile=D:/so/jdk1.6.0_14/jre/lib/security/cacertsclientAuth=falsesslProtocol=TLS/4.5配置客户端(examples为例)对于web应用而言,使用CAS集成统一认证是相对简单的事,只要为需要认证的URL配置edu.yale.its.tp.cas.client.filter.CASFilter认证过滤器4.5.1客户端环境拷贝文件casclient.jar到目录\examples\WEB-INF\lib下。还要拷贝commons-logging-1.0.4.jar到该目录下。4.5.2配置WEB.XML加入如下内容filterfilter-nameCASFilter/filter-namefilter-classedu.yale.its.tp.cas.client.filter.CASFilter/filter-classinit-paramparam-nameedu.yale.its.tp.cas.client.filter.loginUrl/param-nameparam-value://localhost:8443/cas/serviceValidate/param-value/init-paraminit-paramparam-nameedu.yale.its.tp.cas.client.filter.serverName/param-nameparam-valuelocalhost:8080/param-value/init-param/filterfilter-mappingfilter-nameCASFilter/filter-nameurl-pattern/servlets/servlet/HelloWorldExample/url-pattern/filter-mapping4.5.3验证输入自动会跳转到如下界面:输入用户名和密码:local,local,将显示如下界面:此时的URL不再是:,URL的尾端带上了一个ticket参数:=ST-1-dFGcMFrDND5HC5JfYaoS至此,客户端配置成功。5后继开发1)SO取消登录部分,且配置成为client。2)CAS页面SO定置。3)CAS服务器接口扩展为LDAP方式。
本文标题:SSO 单点登录配置方案
链接地址:https://www.777doc.com/doc-4497610 .html