CAS 示例環(huán)境部署及配置一、 示例說(shuō)明在本示例中將使用cas-server-3.5.0和cas-client-3.2.1搭建一個(gè)SSO 測(cè)試環(huán)境，在同一臺(tái)機(jī)器上安裝3個(gè)tomcat ，分別部署一個(gè)c

CAS 示例環(huán)境部署及配置

一、 示例說(shuō)明

在本示例中將使用cas-server-3.5.0和cas-client-3.2.1搭建一個(gè)SSO 測(cè)試環(huán)境，在同一臺(tái)機(jī)器上安裝3個(gè)tomcat ，分別部署一個(gè)cas server和兩個(gè)cas client，這三個(gè)應(yīng)用使用不同的域名訪問(wèn)（通過(guò)配置hosts 文件實(shí)現(xiàn)多個(gè)域名）。配置完成之后，應(yīng)達(dá)到如下效果：

1、首先訪問(wèn)app1，此時(shí)需要跳轉(zhuǎn)到cas 登錄頁(yè)面，要求用戶進(jìn)行登錄；

2、輸入正確的用戶名和密碼，登錄成功之后自動(dòng)跳轉(zhuǎn)到app1，而且可以獲取到用戶的登錄信息；

3、在同一個(gè)瀏覽器中直接訪問(wèn)app2，此時(shí)不需要再次用戶登錄即可正常訪問(wèn)，而且可以獲取到登錄用戶的信息；

4、反復(fù)訪問(wèn)app1和app2，只要不關(guān)閉瀏覽器，就可以一直正常訪問(wèn)并且可以獲取到用戶信息；

5、在瀏覽器地址欄輸入CAS 登出的路徑（https://cas.demo.com:8443/cas/logout），系統(tǒng)提示成功注銷(xiāo)；

6、此時(shí)無(wú)論訪問(wèn)app1還是app2，都會(huì)跳轉(zhuǎn)到cas 登錄頁(yè)面，要求用戶重新登錄。

二、 部署文件清單

三、 準(zhǔn)備部署環(huán)境

本文演示過(guò)程在同一個(gè)機(jī)器上的（也可以在三臺(tái)實(shí)體機(jī)器或者三個(gè)的虛擬機(jī)上），根據(jù)演示需求，我們需要準(zhǔn)備三個(gè)不同的域名，分別對(duì)應(yīng)cas server和兩個(gè)cas 客戶端應(yīng)用，用修改hosts 文件的方法添加域名最簡(jiǎn)單方便（這個(gè)非常重要），在文件 c:windowssystem32driversetchosts 文件中添加三條

127.0.0.1 cas.demo.com

127.0.0.1 app1.demo.com

127.0.0.1 app2.demo.com

其中：cas.demo.com 對(duì)應(yīng)部署cas server的tomcat ，如果這個(gè)tomcat 使用https 協(xié)議，則這個(gè)虛擬域名還用于證書(shū)生成；另外兩個(gè)域名對(duì)應(yīng)兩個(gè)不同的客戶端應(yīng)用。

安裝JDK ，配置JAVA_HOME、PATH 環(huán)境變量；在D 盤(pán)根目錄復(fù)制三個(gè)TOMCAT 文件夾，分別命名為tomcat-for-cas 、tomcat-for-client-1、tomcat-for-client-2； 這個(gè)詳細(xì)過(guò)程就不再詳細(xì)描述。

四、 CAS SERVER部署及通用配置

3.1 CAS SERVER部署

cas-server-xxxx.war 的下載地址為http://www.jasig.org/cas/download，本文以cas-server-3.5.0.zip 為例，解壓提取cas-server-3.5.0/modules/cas-server–webapp -3.5.0.war 文件，把此文件復(fù)制到tomcat-for-caswebapps目錄并解壓到cas 文件夾（如果不準(zhǔn)備對(duì)CAS 的文件做修改，則可以直接將WAR 文件修改為cas.war 即可）。

啟動(dòng)tomcat （此tomcat 的默認(rèn)監(jiān)聽(tīng)端口為8090），在瀏覽器地址欄輸入：

在登錄窗口中，用戶名和密碼都輸入admin （實(shí)際上可以輸入任何值，只要用戶名和密碼一致，就可以成功登錄，這個(gè)是CAS 的默認(rèn)驗(yàn)證規(guī)則），然后點(diǎn)擊登錄，會(huì)出現(xiàn)如下界面：

至此，CAS SERVER的應(yīng)用已經(jīng)部署成功，接下來(lái)就是根據(jù)情況進(jìn)行配置。

3.2 CAS SERVER通用配置

1. 配置CAS SERVER節(jié)點(diǎn)名稱

在文件${CAS}/WEB-INF/cas.properties中host.name 的值，比如修改為cas01。

2. 去除登錄頁(yè)面的“Non-secure Connection”提示

如果部署CAS SERVER 的TOMCAT 沒(méi)有啟用HTTPS 或者沒(méi)有通過(guò)HTTPS

端口

訪問(wèn)，則會(huì)出現(xiàn)如下提示，想要去掉這個(gè)提示，只能修改登錄頁(yè)面。

五、 CAS 客戶端的部署及配置

4.1 客戶端應(yīng)用的部署

按照常規(guī)方式部署使用CAS 作為單點(diǎn)登錄服務(wù)器的應(yīng)用，并測(cè)試此應(yīng)用是否能正常訪問(wèn)，我們使用的是一個(gè)測(cè)試應(yīng)用，只有一個(gè)jsp 頁(yè)面，將這個(gè)應(yīng)用放到準(zhǔn)備好的tomcat-for-client-2/webapps下面即可，訪問(wèn)應(yīng)用的跟目錄http://app2.demo.com:5090/c2，如果顯示正常的頁(yè)面即表示應(yīng)用部署成功，我的測(cè)試應(yīng)用顯示如下信息：

4.2 復(fù)制CAS CLIENT需要的JAR 文件

復(fù)制CAS 核心文件和其所依賴的JAR ，不同版本的CAS 需要的JAR 文件可能稍微有所不同，本例使用的是cas-client-core-3.2.1，需要的JAR 文件如下所示：

4.3 配置web.xml 文件

有關(guān)cas-client 的web.xml 修改的詳細(xì)說(shuō)明見(jiàn)官網(wǎng)介紹：

我們這里只介紹將會(huì)用到的最簡(jiǎn)單的配置，將如下內(nèi)容復(fù)制到web.xml 中，需要注意的是SingleSignOutFilter 的映射一定要寫(xiě)在其他過(guò)濾器的最前面，至少是過(guò)濾器CAS Authentication Filter的前面，然后根據(jù)實(shí)際情況修改參數(shù)即可，如下所示突出顯示的部分：

4.4 部署結(jié)果測(cè)試

配置完成后，啟動(dòng)CAS SERVER所在的tomcat 和CAS 客戶端所在的tomcat ，然后打開(kāi)瀏覽器輸入網(wǎng)址http://app2.demo.com:5090/c2，此時(shí)瀏覽器會(huì)自動(dòng)進(jìn)

行跳轉(zhuǎn)到CAS 的登錄頁(yè)面，地址欄會(huì)顯示如下的地址：

在登錄窗口中，用戶名和密碼都輸入admin ，然后點(diǎn)擊登錄，系統(tǒng)會(huì)自動(dòng)跳轉(zhuǎn)到登錄之前我們要訪問(wèn)的地址，出現(xiàn)如下界面：

至此，一個(gè)簡(jiǎn)單的CAS 測(cè)試環(huán)境就搭建成功了。

六、 為CAS SERVER配置HTTPS

5.1 獲取安全證書(shū)

通?？梢詮囊恍┌踩珯C(jī)構(gòu)申請(qǐng)安全證書(shū)，但是要支付一定的費(fèi)用，在本試驗(yàn)

中，我們使用JDK 自帶的工具keytool 生成一個(gè)證書(shū)，生成證書(shū)的命令為：

在上面的命令行中，突出顯示的部分為需要修改的部分，其他參數(shù)可以默認(rèn)，也可以參照keytool 的參數(shù)說(shuō)明進(jìn)行修改；其中參數(shù)alias 指定了證書(shū)的別名，以后對(duì)證書(shū)的操作會(huì)用到此名稱，我們這里設(shè)置為cas ，keystore 指定了證書(shū)存在磁盤(pán)上的文件路徑，即我們需要將生成的證書(shū)存放在哪里。

創(chuàng)建證書(shū)的過(guò)程如下所示，需要注意的是途中畫(huà)紅方框的地方，這個(gè)值需要與訪問(wèn)cas 時(shí)的域名或者cas 所在的計(jì)算機(jī)名保持一致；最后一個(gè)密碼和keystore 的密碼保持一致即可，密碼是casserver 。

5.2 配置CAS SERVER使用的TOMCAT

默認(rèn)情況下，tomcat 是沒(méi)有開(kāi)

啟https 端口的，因此需要在TOMCAT/conf/server.xml中進(jìn)行手動(dòng)配置。

首先找到如下代碼的位置：

在配置文件中添加紅框中所示的代碼，其中keystoreFile 為我們生成的證書(shū)文件的存放路徑，keystorePass 為生成證書(shū)時(shí)輸入的密碼，本實(shí)驗(yàn)中我把證書(shū)文件復(fù)制到了server.xml 的目錄下。

5.3 通過(guò)HTTPS 訪問(wèn)CAS 應(yīng)用

在瀏覽器中輸入https://cas.demo.com:8443/cas，出現(xiàn)如下所示的界面：