yale cas 配置

在配置YALE 的CAS里面,走了不少弯路,到最后,终于搞好了.因此写了一个教程.希望再次配置的人能少走弯路.
TOMCAT :tomcat-5.5.15版~~~忘记了,反正是当前最新的版本
JDK:1.5.06
环境变量要设好.
第一次发帖~~~~

1.??????? 启用TOMCAT的SSL
把.keystore文件复制到TOMCAT的CONF目录下面。
在TOMCAT的主目录的CONF目录下面，修改server.xml文件，加上以下代码
<Connector port="8443" maxHttpHeaderSize="8192"
?????????????? maxThreads="150" minSpareThreads="25" maxSpareThreads="75"
?????????????? enableLookups="false" disableUploadTimeout="true"
?????????????? acceptCount="100" scheme="https" secure="true"
?????????????? clientAuth="false" sslProtocol="TLS"
?????????????? keystoreFile="conf/.keystore"
?????????????? keystorePass="changeit"
?????????????? />
其中的keystoreFile是证书库文件，keystorePass是访问此证书库文件的密码。
注：keystore文件可以用以下方法生成。
Keytool genkey alias hostname keyalg RSA(在接下来的第一项是名称，记住最好是和hostname同一名称)执行此操作会在用户的当前目录（user.home）下产生一个名为.keystore的文件。如果已经有了，将自动把新产生的KEY放进文件里面(此次的hostname是运行CAS服务器的名字.不要搞错,否则会在以后验证出错的.如果你是在本地测试,则用localhost就OK了)
2.??????? 导入证书文件到各个应用的JRE的JVM里面
首先产生一个证书文件，用以下方法:
Keytool export alias hostname file filename.cer
这样就在用户当前产生了一个名为filename.cer的文件
接下来就把此文件导入到各应用的的JVM里面
Keytool import alias hostname file filename keystore {java_home}\jre\lib\security\cacerts
注：如果你的JAVA_HOME里面有空格，请用引号括住。
3.??????? 把cas.war包复制到TOMCAT的WEBAPPS下面，然后用http://localhost:8080/cas/login就可以访问登陆了

改写验证方法。CAS的默认方验证方法是用户名和密码相同，如果想改为自己的验证方式，如何做呢？你只需复制以下代码，然后在适当的地方插入你的验证代码就OK了。

package org.jasig.cas.authentication.handler.support;

import org.jasig.cas.authentication.principal.UsernamePasswordCredentials;
import org.springframework.util.StringUtils;

public final class classname extends
??? AbstractUsernamePasswordAuthenticationHandler {

??? public boolean authenticateUsernamePasswordInternal(
??????? final UsernamePasswordCredentials credentials) {
??????? final String username = credentials.getUsername();
??????? final String password = credentials.getPassword();

??????? if (在此插入你的验证代码) {
??????????? getLog().debug(
??????????????? "User [" + username + "] was successfully authenticated.");
??????????? return true;
??????? }

??????? getLog().debug("User [" + username + "] failed authentication");

??????? return false;
??? }

??? protected void afterPropertiesSetInternal() throws Exception {
??????? super.afterPropertiesSetInternal();
??????? getLog()
??????????? .warn(
??????????????? this.getClass().getName()
??????????????????? + " is only to be used in a testing environment.? NEVER enable this in a production environment.");
??? }
}

然后，修改deployerConfigContext.xml（在CAS的WEB-INF目录下面）
找到
<bean??????????????????????? />
把class改为你自己写的验证的类就OK了。
到此，服务器端的配置就完成了。
接下来是各个应用的配置：

4.（以JAVA的配置为例子）把casclient.jar包复制到应用的lib目录下面，如果没有就创建它。然后再在应用的部署描述文件里面（web.xml）加上filter。如下:
<filter>
??? <filter-name>CAS Filter</filter-name>
??? <filter-class>edu.yale.its.tp.cas.client.filter.CASFilter</filter-class>
??? <init-param>
????? <param-name>edu.yale.its.tp.cas.client.filter.loginUrl</param-name>
????? <param-value>https://casServerhost:8443/cas/login</param-value>
??? </init-param>
??? <init-param>
????? <param-name>edu.yale.its.tp.cas.client.filter.validateUrl</param-name>
????? <param-value>https:// casServerhost:8443/cas/proxyValidate</param-value>
??? </init-param>
??? <init-param>
????? <param-name>edu.yale.its.tp.cas.client.filter.serverName</param-name>
????? <param-value>localhost:8080</param-value>
??? </init-param>
? </filter>
<filter-mapping>
? <filter-name>CAS Filter</filter-name>
? <url-pattern>/servlet/*</url-pattern>
</filter-mapping>Localhost是指各个应用的服务器的名字
casServerHost是指cas服务器的名字
其中的filter-mapping就是配置哪些资源是需要通过CAS验证的。可以配置多个。

4.??????? 配置语言包
在cas里面的WEB-INF\classes下面添加不同的语言包，然后再在\WEB-INF\view\jsp\default\ui\includes的top.jsp文件顶部加入<%@ page contentType="text/html; charset=gbk" language="java" %>便可以了。

一些错误信息：
1.??????? keytool 认证未输入别名 <mykey> 已经存在
这是因为你已经导入了一信任证书。在进行keytool import的时候，如果没有指定别名，则系统默任导入的证书的名字为mykey，所以，可以先删除此证书keytool delete alias mykey keystore {java_home}\jre\lib\security\cacerts
然后再从新导入，或者指定别名导入keytool import alias name keystore {java_home}\jre\lib\security\cacerts

2.??????? java.io.IOException: Keystore was tampered with, or password was incorrect
这个很可能你的keystore文件已经被修改了，密码已经更改，直接删除这个文件，再从新生成就可以了
3.??????? javax.servlet.ServletException: sun.security.validator.ValidatorException: PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target
这是因为你没有在应用端导入证书。在应用端执行keytool import alias name file filename.cer便可以。其中的name.cer是在前面的用keytool export导出的cer文件

本文来自CSDN博客，转载请标明出处：http://blog.csdn.net/HuDon/archive/2007/02/06/1503234.aspx