CAS
cas官网可参考:https://www.apereo.org/projects/cas
cas是中央认证服务器,跨平台的客户端支持,包括JAVA,NET,PHP,Perl...并支持多种协议,是一个友好的开源的项目,为WEB系统提供了单点登陆的解决方法。
以下是截取自官司网的架构图,可参考。通过图中,可以看到,我们在自己的WEB应用中集成CAS Client,然后可以通过协议调用CAS Server端的应用,进行票据获取和认证,认证可以通过LDAP或数据据等处理获取。
Overlay是什么
Overlay参考:http://www.cassso-china.cn/apereo_github_cas_5.2/apereo.github.io/cas/5.2.x/installation/Maven-Overlay-Installation.html?tdsourcetag=s_pctim_aiomsg
Overlays是一种避免重复代码或重复资源的打包策略,它可以让你自行下载CAS预编译的应用后,自定义增加或者替换相应的配置和特性。在构建的时候,Maven/Gradle首先会自动下载更新安装,然后找到你的配置文件和设置,自动合并到你自动下载的目录结构中,来构建出一个完整的项目 (比如 cas.war)。重写或覆盖的文件包括资源文件、Java的classes文件、图像文件、CSS和JS文件。
为了合并过程的成功执行,本地重写或覆盖的文件的位置和名称,必须与之前下载的存档中的项目所提供的位置和名称完全一样。
虽然前面的方法可能稍微复杂,但这种方法有显著的优势:
不需要从源站下载源码编译。
在大多数情况下,通过简单地调整生成脚本,来下载更新的CAS版本,升级非常容易。
与部署整个软件源代码不同的是,作为部署器,您只保留自己的本地定制,这使得更改跟踪变得更加容易。
源代码修改的管理和跟踪非常轻量级,配置更改只要管理修改的部分(而不是整个软件),非常的简单。
KEY STORE生成
在介绍我的CAS集成之前,先来简单 了解下KeyStore生成时的参数说明,KeyStore生成有两种,一种是通过JAVA方式生成,别一种是通过Linux命令下的keytool生成,本文是通过Linux下的keyTool生成的。
DK中keytool常用命令:
-genkey 在用户主目录中创建一个默认文件”.keystore”,还会产生一个mykey的别名,mykey中包含用户的公钥、私钥和证书
(在没有指定生成位置的情况下,keystore会存在用户系统默认目录,如:对于window xp系统,会生成在系统的C:\Documents and Settings\UserName\文件名为“.keystore”)
-alias 产生别名
-keystore 指定密钥库的名称(产生的各类信息将不在.keystore文件中)
-keyalg 指定密钥的算法 (如 RSA DSA(如果不指定默认采用DSA))
-validity 指定创建的证书有效期多少天
-keysize 指定密钥长度
-storepass 指定密钥库的密码(获取keystore信息所需的密码)
-keypass 指定别名条目的密码(私钥的密码)
-dname 指定证书拥有者信息 例如: “CN=名字与姓氏,OU=组织单位名称,O=组织名称,L=城市或区域名称,ST=州或省份名称,C=单位的两字母国家代码”
-list 显示密钥库中的证书信息 keytool -list -v -keystore 指定keystore -storepass 密码
-v 显示密钥库中的证书详细信息
-export 将别名指定的证书导出到文件 keytool -export -alias 需要导出的别名 -keystore 指定keystore -file 指定导出的证书位置及证书名称 -storepass 密码
-file 参数指定导出到文件的文件名
-delete 删除密钥库中某条目 keytool -delete -alias 指定需删除的别 -keystore 指定keystore -storepass 密码
-printcert 查看导出的证书信息 keytool -printcert -file yushan.crt
-keypasswd 修改密钥库中指定条目口令 keytool -keypasswd -alias 需修改的别名 -keypass 旧密码 -new 新密码 -storepass keystore密码 -keystore sage
-storepasswd 修改keystore口令 keytool -storepasswd -keystore e:\yushan.keystore(需修改口令的keystore) -storepass 123456(原始密码) -new yushan(新密码)
-import 将已签名数字证书导入密钥库 keytool -import -alias 指定导入条目的别名 -keystore 指定keystore -file 需导入的证书
原文链接:
docker介绍
Docker 是一个开源的应用容器引擎,基于 Go 语言 并遵从Apache2.0协议开源。
Docker 可以让开发者打包他们的应用以及依赖包到一个轻量级、可移植的容器中,然后发布到任何流行的 Linux 机器上,也可以实现虚拟化。
容器是完全使用沙箱机制,相互之间不会有任何接口(类似 iPhone 的 app),更重要的是容器性能开销极低。
想学习docker可以去官网或菜鸟上简单学习:https://www.runoob.com/docker/centos-docker-install.html
docker安装
如果服务器可以连公网,则可以直接用docker pull的方式去下载Cas的image。由于我们服务器与外网隔离,所以无法使用公网获取镜像,本例中是通过已有服务器镜像获取。
- .配制docker的daemon.json,加入待下载镜像的服务器的配制信息:
vim /etc/docker/daemon.json ,在配制文件中加入一行:{“inseecure-registries”:["registry.dev.rnd.dept"]}
- 配制hosts文件,把上述的域名服务器地址映射IP
vim /etc/hosts :192.168.1.153 reginsty.dev.rnd.dept
- 重启docker后台进程 docker
systemctl restart docker如果systemctl没有生效,可以直接Kill掉dokcer的进程,然后重新启动 dockerd &
- 获取docker镜象
docker pull registry.dev.rnd.dept /its/docker:5.3.11
- 查看image
docker image
- 运行启动
docker run --name cas -p 80:8080 -p 443:8443 -d registry.dev.rnd.dept/its/cas
命令解读:docker run --name cas(自己给容器起的名字) -p 80:8080(这个端口是http的端口。暴露给宿主机的端口:容器的端口) -p 443:8443(这个是https端口,443宿主机端口:容器https端口)-d 后面是竟像的名称
- 启动了容器后,对容器进行检查
docker ps -a
- 查看运行日志
docker logs cas ,这个cas是上述运行命令时,给容器起的名字即--name 后的参数
- 本地生成keystore:
keytool -genkeypair -alias casKey -keyalg RSA -keypass supervison -storepass supervison -keystore ./caskeystore -dname "CN=cmss.test.ce.inc,OU=Example,OU=Org,C=AU" -ext SAN="dns:example.org,dns:localhost,ip:127.0.0.1"
- 把keyStore扔到容器里即从宿主机COPY到容器中
docker cp ./keyStore cas:/cas/etc/config
注:拷到容器上哪个路径,这个问题不大,最后需要在CAS的配制文件application.propertity中指定即可
- 那如何与容器交互呢
docker exec -it cas bash 或者 docker exec -it cas /bin/bash 或者docker exec -it cas /bin/sh
然后就进入到容器中,可以执行命令docker ls -a等 查看文件信息了,也可以docker vi pom.xml等 修改,
然后修改CAS的配制文件,修改其pom文件,别忘记把自己的私服地址加上,如果CAS所在服务器可以连公网就不用加了。因为CAS会去中央仓库下载资源包
- 修改POM.xml,CAS通过数据库查询去做认证权限,所以需要配制 cas server的JDBC及数据库驱努
<dependency>
<groupId>org.apereo.cas</groupId>
<artifactId>cas-server-support-jdbc</artifactId>
<version>${cas.version}</version>
</dependency>
<dependency>
<groupId>org.postgresql</groupId>
<artifactId>postgresql</artifactId>
<version>42.2.6</version>
</dependency>
- 修改配制文件application.properties
# context-path
server.context-path=/cas
server.port=8443
# ssl
server.ssl.keyStore=/etc/cas/casKeyStore
server.ssl.keyStorePassword=supervison
server.ssl.keyPassword=supervison
server.ssl.enabled=true
server.ssl.key-alias=casKey
#cas.authn.accept.users=admin::admin
cas.jdbc.showSql=true
cas.jdbc.genDdl=true
cas.authn.jdbc.query[0].user=superviosn
cas.authn.jdbc.query[0].password=123
cas.authn.jdbc.query[0].driverClass=org.postgresql.Driver
cas.authn.jdbc.query[0].url=jdbc:postgresql://192.168.1.84:5432/supervison_platform
cas.authn.jdbc.query[0].dialect=org.hibernate.dialect.PostgresPlusDialect
cas.authn.jdbc.query[0].sql=SELECT * FROM pho_account WHERE login_name=?
cas.authn.jdbc.query[0].fieldPassword=password
cas.authn.jdbc.query[0].fieldExpired=
cas.authn.jdbc.query[0].fieldDisabled=
cas.authn.jdbc.query[0].principalAttributeList=sn,cn:commonName,givenName
cas.authn.jdbc.query[0].passwordEncoder.type=DEFAULT
cas.authn.jdbc.query[0].passwordEncoder.characterEncoding=UTF-8
cas.authn.jdbc.query[0].passwordEncoder.encodingAlgorithm=MD5
#cas.authn.jdbc.query[0].passwordEncoder.secret=
#cas.authn.jdbc.query[0].passwordEncoder.strength=16
- cas.properties
cas.server.name: https://cas.zl.test:8443
cas.server.prefix: https://cas.zl.test:8443/cas
cas.adminPagesSecurity.ip=127\.0\.0\.1
logging.config: file:/etc/cas/config/log4j2.xml
重启CAS
docker stop cas
docker start cas
docker restart cas