CAS是中央认证系统,由于官网不提供二进制发布包,因此,需要自己下载进行编译,简要记录一下步骤。
最小化部署
只有4.0系列才能使用maven编译,之后的都转为gradle编译了。
1. 下载4.x系列的代码
点击下载4.0系列的源代码。
2. 编译打包与部署
将下载的源码包使用IDEA打开项目,并导入成maven项目。
进入到cas-server-webapp 项目下,执行命令:
mvn package
后会在本地的target目录下产生一个war包。
将war包放进tomcat的webapp下,启动tomcat后自动解压,并产生一个cas目录。
在浏览器中输入tomcat的访问地址,并访问上下文: /cas/,会自动跳转到CAS的 登录页面。
CAS默认登录页面
3. 配置登录用户名和密码
最基本的配置时,登录的用户名和密码是在webapps\cas\WEB-INF\deployerConfigContext.xml文件中进行设置的。要修改这个设置,可以在源代码中进行,然后重新打包部署,也可以直接在解压后的部署目录下进行。
修改内置登录的用户名和密码的位置:
内置用户名密码的修改
修熬过后直接重启tomcat即可。
配置mysql数据库连接
经过最小化配置后,要想进一步修改用户名密码等到数据库里,此时需要配置数据库的连接方式。主要有以下三步。
第一步:准备好数据库,用户信息表和用户记录
例如,我准备了一个数据库:mysql上的cas库,里面有一张表ms_user,有两个字段user_code和password分别代表用户名和密码。
第二步:修改deployerConfigContext.xml文件
设置数据源bean。注释掉原来的内置用户方式的bean并添加数据源的bean。
class="com.mchange.v2.c3p0.ComboPooledDataSource"
p:driverClass="com.mysql.jdbc.Driver"
p:jdbcUrl="jdbc:mysql://127.0.0.1:3306/cas"
p:user="root"
p:password="123456" />
需要注意的是,你可以选择数据库的密码加密方式的设置,如果加了加密bean。
c:encodingAlgorithm="MD5"
p:characterEncoding="UTF-8" />
为数据库处理的bean配置数据源认证处理bean。
class="org.jasig.cas.adaptors.jdbc.QueryDatabaseAuthenticationHandler"
p:dataSource-ref="dataSource"
p:sql="select password from ms_user where user_code=?" />
根据是否加密,选择不同的认证处理bean。
修改认证管理Bean:authenticationManager的entry,将其改为数据库认证处理bean的名字。如图:
修改认证管理bean的entry
第三步: 将解析和支撑该认证方式的lib包加入到cas项目的WEB-INF/lib目录下
涉及的包有下面几个:
依赖包
其中最上面的包需要自己从源码的对应项目去生成。
第四步: 重启与验证
此时可以直接在登录页面输入数据库中配置的用户名和密码,即可进行验证。
使用https连接CAS
要使用https连接才能够最终实现SSO的功能。因此,必须进行SSL的配置。配置分为以下几个步骤:
S1:使用keytool创建keystore并导出证书
keytool是JDK提供的整数生成工具,用于生成和管理自己签发的证书。
创建一个keystore,用于后面管理证书。
本地先要有一个默认的目录,专门用于存放证书和keystore等。跳转到这个目录下,执行下面的命令生成一个keystore文件。
keytool -genkey -alias sso -keypass 123456 -keyalg RSA -keysize 1024 -validity 3650 -keystore C:\Users\yubo_\keystore\cas.keystore -storepass 123456
-alias:生成的keystore别名;
-keypass:keystore的密码;
-keyalg :加密方式
-keysize :keystore文件的大小
-validity :keystore文件的有效期是多少天;
-keystore :本地存放目录,需要直接指定keystore文件的名字
-storepass :仓库的密码,一般设置和keypass一样
将keystore文件生成一个临时的整数过度文件,以从这个文件导出为证书
keytool -genkey -alias ssoclient -keypass 123456 -keyalg RSA -keysize 1024 -validity 3650 -storetype PKCS12 -keystore client.p12 -storepass 123456
将中间keystore导出为证书
keytool -export -alias client -keystore client.p12 -storetype PKCS12 -keypass 123456 -file client.cer
S2:配置tomcat,设置SSL连接允许
注释掉原来的Connector连接方式,修改为下面的这个:
maxThreads="150" SSLEnabled="true" scheme="https" secure="true"
keystoreFile="C:\Users\yubo_\keystore\cas.keystore" keystorePass="123456"
clientAuth="false" sslProtocol="TLS" />
说明:
(1)此处的protocol发生了改变,使用org.apache.coyote.http11.Http11Protocol进行连接。
(2)启用SSLEnabled 。
(3)指明keystore文件和访问的密码。
S3: 使用https访问测试
修改后的地址,需要使用https方式和对应端口进行修改,如我的地址成了https://localhost:28443/cas/login
此时页面打开后,就不会再出现之前页面上提示的不安全连接方式,不能实现SSO这样的警示信息了。
安全连接效果
---End