CAS中配置Spnego协议支持

Posted

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了CAS中配置Spnego协议支持相关的知识,希望对你有一定的参考价值。

写在前面的话

  公司原有的认证系统,是基于CAS4.1.8,并已经可以工作,此次的要求是实现支持Spnego,期间绕了很大的圈,主要原因还是对AD域的不熟悉。

  在开发时要有三台机器,分别是Windows Server(提供DNS服务和AD域服务),Client(即客户机),Web Application Server(部署CAS应用的服务器,一般为linux系统,这里我以windows系统为例)

环境:

  windows server 2012 r2,JDK1.8,win7(client和web application server) 

具体步骤:

1.Windows Server 创建DNS服务器

  具体参照:http://jingyan.baidu.com/article/e9fb46e17822727520f76652.html

2.Windows Server 创建AD域服务

  参照:http://www.cnblogs.com/wanggege/p/4605678.html,假设添加的域为:example.com

3.添加域用户

  这里假设客户机用户名为client,应用服务器用户名为server。

  开始->Active Directory 用户和计算机->Users->新建->用户,设置账户密码永不过期。

  添加用户后,要修改用户账户选项:选中要修改用户右键->属性->账户,在账户选项中,只勾选“该账户支持 Kerberos AES 256位加密”,重置用户密码。

4.将两台机器加入AD域中

  参照:http://jingyan.baidu.com/article/358570f67d81b2ce4724fcfe.html

5.创建SPN账户

  在windows server上,运行cmd.exe,输入命令 setspn -s HTTP/[email protected] server,添加spn账户,输入命令 setspn -l server,检查添加是否成功。

6.ktpass.exe导出keytab文件

  参照:https://technet.microsoft.com/en-us/library/cc753771.aspx,运行cmd.exe,输入命令举例:

  ktpass /princ HTTP/[email protected] /mapuser server /pass ****** /out server.keytab /crypto all /ptype KRB5_NT_PRINCIPAL /mapop set

  生成的keytab文件,在cmd进入目录下,复制server.keytab文件,粘贴到WEB Application server上,记住文件目录。

7.配置浏览器

  IE:Internet选项->高级,勾选“启用集成 Windows 验证”;Internet选项->安全->本地Intranet->站点->高级,添加 http://server.example.com,保存

  Firefox:在地址栏上输入“about:config”,进入配置页面,搜索“negotiate”,为“network.negotiate-auth.trusted-uris”为 http://server.example.com

8.Java密码扩展 

  Java发布的运行环境包中的加解密有一定的限制。比如默认不允许256位密钥的AES加解密,解决方法就是修改策略文件。官方网站提供了JCE无限制权限策略文件的下载:
  JDK7下载地址:http://www.oracle.com/technetwork/java/javase/downloads/jce-7-download-432124.html
  JDK8下载地址:http://www.oracle.com/technetwork/java/javase/downloads/jce8-download-2133166.html

  相关配置文档:http://www.javamex.com/tutorials/cryptography/unrestricted_policy_files.shtml

9.配置CAS组件

  可参照:https://apereo.github.io/cas/4.2.x/installation/SPNEGO-Authentication.html

  login-webflow.xml中, viewLoginForm state前,定义两个新的action state 

<action-state id="startAuthenticate">
  <evaluate expression="negociateSpnego" />
  <transition on="success" to="spnego" />
</action-state>
 
<action-state id="spnego">
  <evaluate expression="spnego" />
  <transition on="success" to="sendTicketGrantingTicket" />
  <transition on="error" to="viewLoginForm" />
</action-state>

  找到generateLoginTicket action,替换 viewLoginForm startAuthenticate

 

  定义两个 bean 在 cas-servlet.xml

<bean id="negociateSpnego" class="org.jasig.cas.support.spnego.web.flow.SpnegoNegociateCredentialsAction" />
 
<bean id="spnego" class="org.jasig.cas.support.spnego.web.flow.SpnegoCredentialsAction"
      p:centralAuthenticationService-ref="centralAuthenticationService" />

  

  用以下模板更新deployerConfigContext.xml 

  

<bean id="jcifsConfig"
      class="org.jasig.cas.support.spnego.authentication.handler.support.JCIFSConfig"
      p:jcifsServicePrincipal="HTTP/[email protected]"
      p:kerberosDebug="false"
      p:kerberosRealm="EXAMPLE.COM"
      p:kerberosKdc="172.10.1.10"
      p:loginConf="/login.conf" />

<bean id="spnegoAuthentication" class="jcifs.spnego.Authentication" />

<bean id="spnegoHandler"
      class="org.jasig.cas.support.spnego.authentication.handler.support.JCIFSSpnegoAuthenticationHandler"
      p:authentication-ref="spnegoAuthentication"
      p:principalWithDomainName="false"
      p:NTLMallowed="true" />

<bean id="spnegoPrincipalResolver"
      class="org.jasig.cas.support.spnego.authentication.principal.SpnegoPrincipalResolver" />

<bean id="authenticationManager"
      class="org.jasig.cas.authentication.PolicyBasedAuthenticationManager">
  <constructor-arg>
    <map>
      <entry key-ref="spnegoHandler" value-ref="spnegoPrincipalResolver"/>
    </map>
  </constructor-arg>
  <property name="authenticationMetaDataPopulators">
    <list>
      <bean class="org.jasig.cas.authentication.SuccessfulHandlerMetaDataPopulator" />
    </list>
  </property>
</bean>

  提供login.conf 文件,这里我把文件放到了类路径下

jcifs.spnego.initiate {
   com.sun.security.auth.module.Krb5LoginModule required storeKey=true useKeyTab=true keyTab="C:/Users/server/server.keytab";
};
jcifs.spnego.accept {
   com.sun.security.auth.module.Krb5LoginModule required storeKey=true useKeyTab=true keyTab="C:/Users/server/server.keytab";
};

10.修改客户机hosts文件

  添加 

172.10.1.10 server.example.com

11.若有需要,修改web.xml

  修改属性casServerLoginUrl和serverName,更改其中的ip为server.psso.com

 

 

 

 

 

 

以上是关于CAS中配置Spnego协议支持的主要内容,如果未能解决你的问题,请参考以下文章

认证模式之Spnego模式

markdown [Apereo CAS 3.5 CORE] Apereo CAS 3.5 #CAS的核心代码片段

使用CAS登录SSO协议的持久性

单点登录CAS使用记:前期准备以及为CAS-Server配置SSL协议

CAS单点登录的配置

轻松搭建CAS 5.x系列-在CAS Server上增加OAuth2.0协议