1.概述

本文先配置了SPNEGO认证,就是如果用户操作系统如果登陆了公司的Windows域,用户浏览器访问应用服务即可免登录。
然后如果不在域里的员工,用LDAP认证方式,输账号密码登陆。
参考文档:
域控服务器用的Windows Server2008。
CAS用的3.6.0。
CAS Server部署在CentOS6上。
关于CAS的添加依赖及编译,参考  https://www.cnblogs.com/gracehans/p/6144763.html
本文只添加了LDAP依赖和 SPNEGO依赖,也没有用commons-pool。
 

2.配置SPNEGO

从编译后把war包放到tomcat开始说起。
把war包放到tomcat执行后,关闭tomcat。

2.1 创建keytab文件

在AD服务器(Windows Server2008)上,在目录下创建一个User用于查询:
密码要求永不过期
2008上不要勾选DES encryption
2003上可以勾选DES encryption,勾选玩重置一下密码
 
打开 命令行提示程序(管理员)。
输入以下命令:

2.1.1.注册spn

setspn -S HTTP/<wls-server-name>@<REALM-NAME> <account_name> 
其中: 
<wls-server-name> 是CASServer的主机,可以ping通的那种,比如 cas.abcd.com
<REALM-NAME> 是域的名字,比如 ABCD.com
<account_name>  是刚刚创建的用户名

2.1.2.生成keytab

ktpass.exe /out myspnaccount.keytab /princ HTTP/<wls-server-name>@<REALM-NAME>  /pass ***** /mapuser <account_name>@<REALM-NAME>  /ptype KRB5_NT_PRINCIPAL /crypto RC4-HMAC-NT 
按第一步说的替换一下,就会在当前目录下生成keytab文件。
把文件放到CAS Server上,CAS Server不能放在域控上。
生成果keytab ,账号信息就会变了:
这个图中的 HTTP/**********  就是我们要放到CAS配置中的参数

2.2 测试SPN账号

编辑文件/etc/krb5.conf
#######################################################
[logging]
 default = FILE:/var/log/krb5libs.log
 kdc = FILE:/var/log/krb5kdc.log
 admin_server = FILE:/var/log/kadmind.log
 
[libdefaults]
 ticket_lifetime = 24000
 default_realm = YOUR.REALM.HERE
 default_keytab_name = /home/cas/kerberos/myspnaccount.keytab
 dns_lookup_realm = false
 dns_lookup_kdc = false
 default_tkt_enctypes = rc4-hmac
 default_tgs_enctypes = rc4-hmac
[realms]
 YOUR.REALM.HERE = {
  kdc = your.kdc.your.realm.here:88
 }
 
[domain_realm]
 .your.realm.here = YOUR.REALM.HERE
 your.realm.here = YOUR.REALM.HERE
#######################################################
根据需求改一下配置
your.kdc.your.realm.here  这个是刚刚生成keytab的主机 浏览器和CAS 服务器都能ping通
YOUR.REALM.HERE  大写域名
your.realm.here 小写域名
 
测试命令有两种,挑一种:
kinit -V HTTP/your.server.name.here@YOUR.REALM.HERE -k -t /home/cas/kerberos/myspnaccount.keytab
这样就成功了:
 
#######################################################

[root@srmdev ~]# kinit -V HTTP/cas.abcd.com@ABCD.COM  -k -t /data/webapps/cas/myspnaccount.keytab

Using default cache: /tmp/krb5cc_0

Using principal: HTTP/WIN-BS98PMC2RI1.srmtest.local@SRMTEST.LOCAL

Using keytab: /data/webapps/cas/myspnaccount.keytab

Authenticated to Kerberos v5

[root@srmdev ~]#

#######################################################
 

2.3 修改CAS配置

这部分内容比较多,参考概述中说的 SPNEGO 官方文档的 “Set Up CAS”部分去配置吧
记得遇到 Collapse source这样的要点开看,里面是详细的修改对比:

挑几个容易出错的地方说一下:

2.3.1

注意标签添加的位置

2.3.2

authenticationHandlers属性中 先 只留一种处理方式

2.3.3

这是deployerConfigContext.xml的一段配置,拿出来做参考        
<bean name="jcifsConfig" class="org.jasig.cas.support.spnego.authentication.handler.support.JCIFSConfig">
          <property name="jcifsServicePrincipal" value="HTTP/cas.abcd.com@ABCD.COM" />
          <property name="kerberosDebug" value="true" />
          <property name="kerberosRealm" value="ABCD.COM" />
          <property name="kerberosKdc" value="192.168.0.2" />
          <property name="loginConf" value="/u01/cas//tomcat/webapps/cas/WEB-INF/login.conf" />
        </bean>
 

2.4 浏览器设置

用户浏览器需要做的配置:
IE:
   打开IE,选择 Internet选项。

选择高级,选择“启动Windows集成认证”。

选择“安全”—“本地Internet”—“站点”

然后输入cas服务的地址

保存后重启浏览器。保存“启动Windows集成认证”要重启电脑。
FireFox:

在地址栏输入:about:config

找到 network.negotiate-auth.trusted-uris,点击修改

输入CAS服务的地址加端口,默认80或443端口就不填

保存后重启浏览器。

Chrome用的IE的配置,IE能用理论上Chrome也能用。

2.5 测试

在已经登录到域的操作系统中测试
访问CAS服务:(不能用IP访问)
比如访问 https://cas.abcd.com:8443/cas
 

3.配置域认证失败跳转到项目的登陆页面

(没这需求的这部分可不看)
修改cas应用下 WEB-INF/view/jsp/default/ui/casLoginView.jsp 这个文件。
或者把原来的casLoginView.jsp重命名为casLoginView.jsp.bkp
把原来的casLoginView.jsp删掉,新建一个casLoginView.jsp
内容是:
#######################################################
<%@ page language="java" contentType="text/html; charset=UTF-8"
    pageEncoding="UTF-8"%>
<%@ page import="java.io.*,java.util.*" %>
<html>
<html>
<head>
<title>页面重定向</title>
</head>
<body>
<h1>页面重定向</h1>
<%
   String site = new String("https://app.abcd.com/login");
   response.setStatus(response.SC_MOVED_TEMPORARILY);
   response.setHeader("Location", site);
%>
</body>
</html>
 #######################################################
红色字体为修改的跳转地址。
保存,重启tomcat生效。
 

4.加入LDAP认证

(没这部分需求可以不看。)
需求希望域认证失败跳转到账号密码登陆。
打开deployerConfigContext.xml
在authenticationHandlers里,在<list></list>标签对中,在刚刚添加的SPNEGO认证下,添加:
#######################################################
<bean class="org.jasig.cas.adaptors.ldap.BindLdapAuthenticationHandler"
  p:filter="sAMAccountName=%u"
      p:searchBase="dc=abcd,dc=com"
      p:contextSource-ref="contextSource"
      p:ignorePartialResultException="true" />
#######################################################
改一下searchBase后面的参数
 
在deployerConfigContext.xml的末尾,</beans>之前,添加
#######################################################
        <bean id="contextSource" class="org.springframework.ldap.core.support.LdapContextSource">
        <property name="pooled" value="false"/>
    <property name="urls">
        <list>
                <value>ldap://192.168.0.2:389</value>
               <value>ldap://192.168.0.3:389</value>
        </list>
    </property>
    <property name="userDn" value="abcd\cas_sso"/>
    <property name="password" value="123456#"/>
    <property name="baseEnvironmentProperties">
        <map>
              <entry key="com.sun.jndi.ldap.connect.timeout" value="3000" />
              <entry key="com.sun.jndi.ldap.read.timeout" value="3000" />
              <entry key="java.naming.security.authentication" value="simple" />
        </map>
    </property>
    </bean>
#######################################################
改一下参数。
 
在authenticationManager标签内的最后一个 <property> </property>标签下添加一个property:
#######################################################
<property name="authenticationMetaDataPopulators">
   <list>
       <bean class="org.jasig.cas.authentication.SamlAuthenticationMetaDataPopulator" />
   </list>
 </property>
#######################################################
    
 
完。

No.2 CAS之SPNEGO+LDAP认证配置的更多相关文章

  1. centos下svn的ldap认证配置

    前提:完成svn的基本安装 一.安装sasl相关组件 #yum install -y cyrus-sasl cyrus-sasl-lib cyrus-sasl-plain 二.查看SASL版本和提供的 ...

  2. gitlab、openvpn配置ldap认证

    gitlab配置ldap认证: vim /etc/gitlab/gitlab.rb 添加以下内容: gitlab_rails['ldap_enabled'] = true gitlab_rails[' ...

  3. 本地docker搭建gitlab, 并配置ldap认证

    基于Docker在Mac OS X系统中的部署和设置GitLab的具体过程如下:   1. 安装Docker for Mac (参见https://docs.docker.com/docker-for ...

  4. cas单点登录-jdbc认证(三)

    前言 本节的内容为JDBC认证,查找数据库进行验证,其中包括: 密码加密策略(无密码,简单加密,加盐处理) 认证策略(jdbc) 一.业务需求 不同的公司,需求业务需求或者架构不一样导致我们实现验证的 ...

  5. Jenkins-配置LDAP认证

    Jenkins-配置LDAP认证 参考文档: LDAP添加用户详见我的博文  Linux分类 中的< LDAP2-创建OU和用户>博文. 1.LDAP配置 1.准备一个adminDN账号用 ...

  6. LDAP认证模式简介

    今天发现公共服务中有ldap数据库服务,先大概了解一下ldap,转载下面的文章.原文链接:https://www.jianshu.com/p/d3f8c8f5d661 另外记录一篇文章地址:https ...

  7. 自学Aruba5.3.3-Aruba安全认证-有PEFNG 许可证环境的认证配置Captive-Portal

    点击返回:自学Aruba之路 自学Aruba5.3.3-Aruba安全认证-有PEFNG 许可证环境的认证配置Captive-Portal 1. Captive-Portal认证配置前言 1.1 新建 ...

  8. 自学Aruba5.3.4-Aruba安全认证-有PEFNG 许可证环境的认证配置802.1x

    点击返回:自学Aruba之路 自学Aruba5.3.4-Aruba安全认证-有PEFNG 许可证环境的认证配置802.1x 1. 采用InterDB认证服务器完成802.1X认证 (Aruba650) ...

  9. 搭建harbor仓库、LDAP认证

    ldap: 192.168.199.177 c5game.com 宿主机:192.168.199.224 测试客户机:192.168.199.223 安装docker.docker-compose 访 ...

随机推荐

  1. 【翻译】configuration changes与handler.post

    原文地址 http://corner.squareup.com/2013/12/android-main-thread-2.html 在前一部分里面previous part ,我们深入挖掘了 loo ...

  2. python 学习2

    在1的基础上 settings.py blog/models.py: 打开一个cmd, net start mysql ,启动mysql服务 mysql -uroot -p 再在py_fir目录下打开 ...

  3. kaggle数据挖掘竞赛初步--Titanic<数据变换>

    完整代码: https://github.com/cindycindyhi/kaggle-Titanic 特征工程系列: Titanic系列之原始数据分析和数据处理 Titanic系列之数据变换 Ti ...

  4. 引用、引用和术语定义<abbr><acronym><address><bdo><blockquote><q><cite><dfn>

    <abbr>-缩写 <acronym>-首字母缩写  <address>-地址 <bdo>-文字方向 <blockquote>-长的引用 & ...

  5. border家族

    border-style:dotted solid double dashed(上边框是点状,右边框是实线,下边框是双线,左边框是虚线)边框样式;border-width(边框宽度);border-r ...

  6. PHP浮点数计算

    涉及到计算 和金额交易 使用bc系列函数 高精度计算 不会有0.57不精确的问题

  7. 《Linux内核设计与实现》课本第三章自学笔记——20135203齐岳

    <Linux内核设计与实现>课本第三章自学笔记 进程管理 By20135203齐岳 进程 进程:处于执行期的程序.包括代码段和打开的文件.挂起的信号.内核内部数据.处理器状态一个或多个具有 ...

  8. 1472. Martian Army

    http://acm.timus.ru/problem.aspx?space=1&num=1472 题目大意: 一颗树,根节点(1) 的值为 1.0,所有叶子节点的值为 0.0 ,其他节点值任 ...

  9. codeblocks个性化配置

    1.general setting设置默认字体大小设置控制台字体大小:"Settings -> Environment -> View -> Message logs' f ...

  10. Pycharm快捷键

    相比于eclipse,pycharm的确很方便,现就一些常用的快捷键记录一下: CTRL Q: 在参数列表位置,显示可以输入的所有参数.CTRL Q: 查看选中方法的文档字符串 阅读CTRL -: 折 ...