資源描述:
《cas整合ldap實現(xiàn)單點登錄學習筆記》由會員上傳分享,免費在線閱讀��,更多相關內容在行業(yè)資料-天天文庫��。
1����、CAS整合LDAP實現(xiàn)單點登錄學習筆記SJTUCrushingBlow——CAS整合LDAP實現(xiàn)單點登錄學習筆記Solomonleosolomonleo@gmail.com8/15/2010Solomonleo2010年8月15日�����,七夕前一日����。憂來其如何��?凄愴摧心肝�。SJTUPage19of20CAS整合LDAP實現(xiàn)單點登錄學習筆記目錄Contents目錄11單點登錄22CAS32.1JA-SIG(CAS)的設計愿景32.2CAS1.0服務架構實現(xiàn)32.3CAS服務的具體實現(xiàn)42.4代理認證Prox
2、yAuthentication62.5CAS2.0代理認證流程62.6CAS2.0憑證73LDAP84CAS整合LDAP配置過程94.1說明94.1LDAP安裝(A)94.2配置服務器(A)104.3配置客戶端(B,業(yè)務服務器)154.4關于CASTestClient和cas的說明165參考目錄19Page19of20CAS整合LDAP實現(xiàn)單點登錄學習筆記1單點登錄什么是SSO(SingleSignOn)單點登錄�����?所謂單點登錄是指基于用戶/會話認證的一個過程��,用戶只需一次性提供憑證(僅一次登錄)�����,就
3��、可以訪問多個應用。目前單點登錄主要基于Web的多種應用程序����,即通過瀏覽器實現(xiàn)對多個B/S架構應用的統(tǒng)一賬戶認證。Page19of20CAS整合LDAP實現(xiàn)單點登錄學習筆記2CAS2.1JA-SIG(CAS)的設計愿景CAS(CentralAuthenticationService–中心認證服務)的目的就是使分布在一個企業(yè)內部各個異構系統(tǒng)的認證工作集中在一起�����,通過一個公用的認證系統(tǒng)統(tǒng)一管理和驗證用戶的身份��。在CAS上認證的用戶將獲得CAS頒發(fā)的一個證書��,使用這個證書�,用戶可以在承認CAS證書的各個系統(tǒng)
4���、上自由穿梭訪問����,不需要再次的登錄認證��。打個比方:對于加入歐盟的國家而言��,在他們國家中的公民可以憑借著自己的身份證�����,在整個歐洲旅行,不用簽證��。對于企業(yè)內部系統(tǒng)而言��,CAS就是這個頒發(fā)歐盟認證的系統(tǒng)�����,其它系統(tǒng)都是加入歐盟的國家���,它們要共同遵守和承認CAS的認證規(guī)則�。因此CAS的設計愿景就是:1���。實現(xiàn)一個易用的�、能跨不同Web應用的單點登錄認證中心��;2��。實現(xiàn)統(tǒng)一的用戶身份和密鑰管理����,減少多套密碼系統(tǒng)造成的管理成本和安全漏洞;3。降低認證模塊在IT系統(tǒng)設計中的耦合度����,提供更好的SOA設計和更彈性的安全策略2
5、.2CAS1.0服務架構實現(xiàn)我們以A公司的員工日志管理系統(tǒng)為例�,如下圖:?圖2.1傳統(tǒng)的用戶認證流程使用CAS后的用戶認證流程:Page19of20CAS整合LDAP實現(xiàn)單點登錄學習筆記圖2.2使用CAS后的用戶認證流程示意圖中,CAS相關部分被標示為藍色��。在這個流程中��,員工solomon向日志系統(tǒng)請求進入主頁面���,他的瀏覽器發(fā)出的HTTP請求被嵌入在日志系統(tǒng)中的CAS客戶端(HTTP過濾器)攔截,并判斷該請求是否帶有CAS的證書��;如果沒有����,員工solomon將被定位到CAS的統(tǒng)一用戶登錄界面進行登錄
6、認證�,成功后,CAS將自動引導AT返回日志系統(tǒng)的主頁面�。?2.3CAS服務的具體實現(xiàn)??環(huán)境假設:用戶User要訪問業(yè)務系統(tǒng)Woolong;Woolong系統(tǒng)部署在WoolongServer上���;CAS的系統(tǒng)搭建在服務器CASserver上��。Page19of20CAS整合LDAP實現(xiàn)單點登錄學習筆記圖2.3CAS服務的具體實現(xiàn)圖例說明:?Step1:用戶第一次訪問Woolong系統(tǒng)主頁http://Woolong/index.jsp;部署在Woolong系統(tǒng)上的CASFilter發(fā)現(xiàn)用戶尚未登錄��,將用
7���、戶重定向的CAS登錄界面:https://CASserver/cas/servlet/login?service=http://Woolong/index.jsp��,同時在重定向的URL上用service參數(shù)將用戶的目標地址傳給CAS服務器��。?Step2:用戶在CAS的登錄頁上輸入用戶名密碼登錄��,CAS服務器認證通過后�����,生成一個ticket��,并帶在目標地址的尾部返回客戶端的瀏覽器redirect:http://Woolong/index.jsp?ticket=casticket.?Step3:客戶端瀏
8�����、覽器獲得CAS服務器的認證應答����,取得憑證ticket后,使用重定向的鏈接http://Woolong/index.jsp?ticket=casticket訪問Woolong服務?Step4:WoolongServer上的CASFilter再次過濾訪問請求�,并獲得ticket憑證。Filter將使用該憑證通過URLhttps://CASserver/cas/servlet/validate?service=http://Woolong/index.jsp&ticket=
