这段时间由于工作原因,一直在接触CAS的单点登录方案,从搭建CAS服务器,到最初的使用数据库进行验证,再到跟预控LDAP集成用域用户验证,最后到与AD域集成;从在Windows上面搭建,到在Linux上面搭建。并且加入了注销、自定义登陆界面等内容,有些理论上的备忘,这里记录下。
方案分为客户机,应用系统,CAS服务器,AD域四个部分。这四个部分分别需要做一些配置才可以保证SSO的稳定运行。
☆AD域
Kerbros验证:
如果CAS服务器为Linux,就需要在AD控制器生成Keytab文件,交给CAS服务器使用。
如果CAS服务器为Windows,则不需要Keytab文件。
域用户创建要求:
用户登录名,形如:HTTP/yourname.domain name 至少需要24位。
用户登录名(Windows 2000以前版本):至少需要5位。
LDAP验证:
不论CAS为何种系统,都需要在AD域上生成LDAP的安全证书,并交给CAS服务器使用。
☆CAS服务器
导入AD域控制器创建的Kerbros证书,LDAP证书。
生成SSL安全证书并交给应用系统安装使用。
☆应用系统
导入CAS服务器创建的SSL安全证书,加入WEB.xml中的过滤器,并加入相应的客户端jar包。
☆客户机
与AD域做集成时,要将CAS服务器的完整域名用https的方式加入到“本地Internet——站点——高级”里边。
与AD域做集成时,勾选中“Internet选项——高级”里边的集成验证(Windows)。
方案分为客户机,应用系统,CAS服务器,AD域四个部分。这四个部分分别需要做一些配置才可以保证SSO的稳定运行。
☆AD域
Kerbros验证:
如果CAS服务器为Linux,就需要在AD控制器生成Keytab文件,交给CAS服务器使用。
如果CAS服务器为Windows,则不需要Keytab文件。
域用户创建要求:
用户登录名,形如:HTTP/yourname.domain name 至少需要24位。
用户登录名(Windows 2000以前版本):至少需要5位。
LDAP验证:
不论CAS为何种系统,都需要在AD域上生成LDAP的安全证书,并交给CAS服务器使用。
☆CAS服务器
导入AD域控制器创建的Kerbros证书,LDAP证书。
生成SSL安全证书并交给应用系统安装使用。
☆应用系统
导入CAS服务器创建的SSL安全证书,加入WEB.xml中的过滤器,并加入相应的客户端jar包。
☆客户机
与AD域做集成时,要将CAS服务器的完整域名用https的方式加入到“本地Internet——站点——高级”里边。
与AD域做集成时,勾选中“Internet选项——高级”里边的集成验证(Windows)。