CAS3.4 关于PAM模块SSL的详细配置

最新推荐文章于 2022-10-11 22:27:44 发布
最新推荐文章于 2022-10-11 22:27:44 发布
阅读量289 收藏
点赞数
分类专栏: cas 文章标签: C# C C++ RedHat Tomcat

在要配置PAM_CAS的SSL时,才发现原来之前使用的证书都得重新换掉了。

采用OpenSSL和KeyTool签发自签名证书来替换之前配置的Tomcat SSL

redHat自带Openssl工具,因为我并没有在redhat系统中安装JDK,所以我下载了Openssl并安装在了CAS服务器所在的Windows系统中。

 

 

OpenSSL10.9.7c   http://gnuwin32.sourceforge.net/downlinks/openssl-bin.php

请自行安装该相关软件并配置好环境变量

 

一:创建Openssl配置文件

 [ req ]
 default_bits           = 1024
 default_keyfile        = ca-privkey.pem
 distinguished_name     = req_distinguished_name
 attributes             = req_attributes
 prompt                 = no
 output_password        = 111111

 [ req_distinguished_name ]
 C                      = CN
 ST                     = Beijing
 L                      = Haidian
 O                      = www.ncs-cyber.com.cn
 OU                     = ncs-cyber.com.cn
 CN                     = RainTime
 emailAddress      = zz@ncs-cyber.com.cn

 [ req_attributes ]
 challengePassword              = 111111

 openssl.conf可参考:http://www.openssl.org/docs/apps/req.html#EXAMPLES

将openssl.conf文件拷贝到openssl的安装目录下的bin目录中

 

二:创建数字证书

     1:为方便,在C盘创建用于存放数字证书的文件夹"ca",路径为:"c:\ca"

     2:运行命令提示符"CMD"

     3:执行Openssl命令

          1)生成私钥

               

openssl genrsa -out c:\ca\ca-privkey.pem 1024

 

          2)生成待签名证书

Openssl req –new –out c:\ca\ca-req.csr -key c:\ca\ca-privkey.pem -config 
openssl.conf

 

         3)用CA私钥匙进行自签名

openssl x509 -req -in c:\ca\ca-req.csr -out c:\ca\ca-root.pem -signkey 
c:\ca\ca-privkey.pem -days 365

 

    4:执行KeyTool命令

         1)创建KeyPari

keytool -genkey -alias cas-server -keyalg RSA -keystore c:ca\cas-store.keystore 
-validity 365

 

              注意:CN应为CAS服务器的域名或机器名

        2)生成待签名证书

        

keytool -certreq -alias cas-server -sigalg MD5withRSA -file c:\ca\cas-server.csr 
-keystore cas-store.keystore

 

    5:执行Openssl命令,使用私钥对服务器请求证书文件进行签名

openssl x509 -req -in c:\ca\cas-server.csr -out c:\ca\cas-server-cer.pem -CA 
c:\ca\ca-root.pem -CAkey  c:\ca\ca-privkey.pem -days 365 -set_serial 1

  

    6:执行KeyTool命令,导入根证书到信任证书库

keytool -import -v -trustcacerts -alias cas-root -file c:\ca\ca-root.pem 
-keystore %JAVA_HOME%\jre\lib\security\cacerts

   

     7:执行KeyTool命令,导入服务器证书到证书库

keytool -import -v -trustcacerts -alias c:\ca\cas-server -file cas-server-cer.pem 
-keystore cas-store.keystore

 

 

执行完以上命令后,在c:\ca目录下,应有文件如下:

1:ca-privkey.pem

2:ca-req.csr

3:ca-root.pem

4:cas-store.keystore

5:cas-server.csr

6:cas-server-cer.pem

 

替换方案:

1:将cas-store.keystore替换掉CAS服务器Tomcat中所使用的证书库

2:编辑redhat主机中,pam_cas模块所使用的pam_cas.conf文件,修改文件中的ssl设为on,trusted_ca参数所指定的证书文件为ca-root.pem,端口为8443

 

 

 

      在配置PAM的SSL时,多说两句,pam_cas.conf配置文件中的trustca值,应该为一个BASE64编码的证书文件,注释中提到,此证书应该为一个CA根书,可见这个SSL连接是单向连接。

     至此,PAM_CAS的SSL算是配置成功

     

      下次的研究目标是:基于kerberos协议,通过spnego机制实现CAS与AD间的单点登录(凡是登录域的用户,在访问CAS业务系统时则不需要认证)

 

Jcbay
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
pam_chroot.zip_linux pam _pam模块
09-14
每个服务都有一个对应的配置文件,其中包含了需要加载的PAM模块及其参数。这些模块按照特定的顺序执行,完成认证、授权、账户管理和会话管理等任务。 **pam_chroot的作用:** 1. **安全隔离**:`pam_chroot`主要...
PAMSSL认证了解
weixin_33924770的博客
11-14 205
PAM认证 PAM(Pluggable Authentication Modules)可插拔认证模块是由Sun互联网技术服务公司提出的一种用户密码认证机制。它通过一些动态链接库和一套统一的API,将系统提供的服务和该服务的认证方式分开。 PAM有四种模块类型: auth (认证管理):接受用户和密码,进而对该用户的密码进行认证。 account ...
特权与用户口令管理PAM的业务应用场景
ITSM/ITIL/网络安全/IT运维
07-08 369
结合企业自身组织架构和设备管理信息,提供在线+离线组合的账号扫描方案,找出风险点,让管理者做到心中有数,运筹帷幄;基于账号台账和动态大屏进行可视化展示,发现风险后可以一键随机改密,让风险账号无所遁形; 基于国密加密存储+设备专属密钥,实现动态授权+全程使用审计+安全监控全流程闭环,做数据金库最安全的大门; 人机+机机账号统一管理,消除“硬编码”,让机器和机器对话。 所以,关于密码打假的事情,还是交给奇安信PAM吧。......
cas系列-cas server demo搭建(二)
weixin_33712881的博客
11-15 142
一 部署简述   cas server官方推荐采用overlay方式进行部署,通过替换自定义文件,减少项目文件改动,以简化开发和部署,这个有点类似于项目上直接替换java的class文件,由于和git的搭配使用,降低了版本不一致的问题; 二 部署 clone项目:   git clone --depth=1 --single-branch --branch=5.3 http...
CAS比较并替换
最新发布
weixin_46046768的博客
10-11 272
CAS操作单个共享变量的时候可以保证原子的操作,多个变量就不行了,JDK 5之后 AtomicReference可以用来保证对象之间的原子性,就可以把多个对象放入CAS中操作。使用CAS以后,读取数据的时候用一个标志位记录原来的数据,操作完写回去时需要需要对比标志位数是都和内存最新值是否相同相同则写回,不相同则失效,需要重新读取。并发环境下,假设初始条件是A,去修改数据时,发现是A就会执行修改。不再使用标志位,而是使用版本号,每次对比版本号,对比修改成功后版本号+1。能发生了A变B,B又变回A的情况。
yale cas 配置
02-06 5307
配置YALE 的CAS里面,走了不少弯路,到最后,终于搞好了.因此写了一个教程.希望再次配置的人能少走弯路.TOMCAT :tomcat-5.5.15版~~~忘记了,反正是当前最新的版本JDK:1.5.06环境变量要设好.第一次发帖~~~~1.        启用TOMCAT的SSL把.keystore文件复制到TOMCAT的CONF目录下面。在TOMCAT的主目录的CONF目录下面,修改ser
基于PAM4调制的400G光模块
02-19
未来,4x100G PAM4方案可能会成为400G光模块的标准配置,以降低制造成本并提高效率。 随着技术的进步,光模块的电口可能逐步演进到4x100G PAM4,从而省去Gearbox芯片,进一步节省功耗和降低成本。此外,为了满足...
详细的Linux-pam配置
04-28
系统管理员通过 PAM 配置文件来制定认证策略,应用程序开发者通过在服务程序中使用 PAM API 而实现对认证方法的调用,而 PAM 服务模块的开发者则利用 PAM SPI(Service Module API)来编写认证模块,将不同的认证...
pam_smbsync:PAM模块与UNIX密码更改同步更新Samba密码
02-13
模块没有自己的配置选项,但是接受那些修改pam_get_authtok (3)行为的选项。 在指定PAM_MODULE_DIR同时进行PAM_MODULE_DIR 。 在password pam_unix.so ...之后,安装并添加您的PAM配置password pam_u
WiFI PA详解
06-21
主要是关于2.4G WiFi PA理论相关介绍,
PAM调制误码率仿真
01-29
调制放式为4-pam,信道为加性高斯白噪声信道,对不同信道比下的误码率进行仿真,matlab代码
PAM介绍(一)
weixin_33682790的博客
06-08 218
PAM介绍[root@station203 ~]# uname -aLinux station203.example.com 2.6.18-53.el5 #1 SMP Wed Oct 10 16:34:02 EDT 2007 i686 i686 i386 GNU/Linux这里针对的RHEL5系统。PAM(Pluggable A...
pam详解
Aiface
10-20 277
https://www.cnblogs.com/hgzero/p/13541910.html
linux高级安全PAM使用
weixin_33910759的博客
09-12 387
大家好,关于PAM的使用,有的接触不到,他们配置的地方也不是经常出现,这是我的学习笔记,想分享给大家,有些地方逻辑性很强需要多看我基本上都有注释。PAM 身份验证 及插即用 验证 模块[root@xu /]# ldd /usr/sbin/sshd --------查看一个程序在运行的时调用那些库文件[root@xu /]# ldd `which sshd`...
PAM的原理与应用
张林林|深蓝(Linlin Zhang,shenlan211314) 的专栏
06-27 3259
一、PAM简介PAM(Pluggable Authentication Modules,可插拔认证模块)是一种高效而且灵活便利的用户级别的认证方式。起初它是由美国Sun公司为Solaris操作系统开发的,后来,很多操作系统都实现了对它的支持,它是当前Linux服务器普遍使用的认证方式。1.1 PAM的必要性我们知道,Linux系统中的身份认证方式是多种多样的。一般来说,可以分为服务程序
PAM认证机制
心之所向,不负初衷
09-18 8502
AM简介 1. Sun公司于1995 年开发的一种与认证相关的通用框架机制 2. PAM 是关注如何为服务验证用户的API,通过提供一些动态链接库和一套统一的API,将系统提供的服务和该服务的认证方式分,使得系统管理员可以灵活地根据需要给不同的服务配置不同的认证方式而无需更改服务程序,同时,PAM是一种认证框架,自身不做认证 3. PAM(Pluggable Authentication Mo
PAM模块,Linux 的一些小操作
qq_40033947的博客
11-24 318
Ubuntu16.04 pam模块/lib/x86_64-linux-gnu/security pwd:查看路径 创建用户: 倒数第三行打错,为/home/ppp 最后一行7元组描述: 上面这种无法通过图形界面登陆 自动创建:adduser 删除:deluserppp; userdel ppp;看自己是哪种 本地比较:用户在/etc/p...
Unity 【Content Size Fitter】- 聊天气泡自动适配Text文本框大小
当代野生程序猿
02-25 5469
通常在展示人物对话的时候文本的长度是不定的,因此会需要动态的调整对话内容文本框的背景图片的大小,这里以如下这种气泡框的对话为例: 实现该需求涉及到的内容包括Content Size Fitter组件的使用、2D Sprite工具包的使用。 Content Size Fitter组件用于Text文本框,如图所示,我们将Horzontal Fit设为Preferred Size,当我们调整Text文本框中的内容时,其大小会自动进行调整。 注意Rect Transform中Pivot轴心点的设置
Linux操作系统PAM模块详解与实例
PAM库根据应用层传递的服务名和服务参数,读取相应的配置文件,并调用底层的服务模块来执行具体的验证任务,如检查密码或用户信息。 在文件系统中,PAM的相关组件分布在不同的目录下:库文件位于Lib,配置文件位于/...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值