一、簡介
Liferay7.0支持多種登陸方式,包括:常規的、opensso、cas、ntlm、ldap、openid、Facebook、Google等。
其中,
(1) 常規:則是默認Liferay的用戶名密碼登陸,可是用戶能夠選擇「郵箱、屏幕名、用戶帳號」來做爲登陸名,如圖:

注意,這裏的用戶帳號是用戶的建立是的id。
(2)openSSO: 曾經Sun的一款開源產品,從不多的那一點點中文資料上來看,這個能實現我須要的那種SSO模式。從SUN被Oracle收購以後,Oracle便關閉了OpenSSO這個項目,如今在網上下不到OpenSSO的安裝文件。並且之前的那些在SUN發佈的不少相關的幫助文檔,大多數連接都失效了,全都指向了Oracle的同一個頁面,找不到文檔中對應的安裝文件。
(3) cas: 是 Yale 大學發起的一個開源項目,據統計,大概每 10 個採用開源構建 Web SSO 的 Java 項目,就有 8 個使用 CAS 。這些統計可能言過其實,但有一點能夠確定的是, CAS 是最簡單實效,並且足夠安全的 SSO 選擇,旨在爲 Web 應用系統提供一種可靠的單點登陸方法,CAS 在 2004 年 12 月正式成爲 JA-SIG 的一個項目。
CAS具備如下特色:
a. 開源的企業級單點登陸解決方案。
b. CAS Server 爲須要獨立部署的 Web 應用。
c. CAS Client 支持很是多的客戶端(這裏指單點登陸系統中的各個 Web 應用),包括
Java, .Net, PHP, Perl, Apache, uPortal, Ruby 等。
(4) ntlm: 早期SMB協議在網絡上傳輸明文口令。後來出現 LAN Manager Challenge/Response 驗證機制,簡稱LM,它是如此簡單以致很容易就被破解。微軟提出了WindowsNT挑戰/響應驗證機制,稱之爲NTLM。如今已經有了更新的NTLMv2以及Kerberos驗證體系。NTLM是windows早期安全協議,因向後兼容性而保留下來。NTLM是NT LAN Manager的縮寫,即NT LAN管理器。
(5)ldap: LDAP是輕量目錄訪問協議,英文全稱是Lightweight Directory Access Protocol,通常都簡稱爲LDAP。它是基於X.500標準的,可是簡單多了而且能夠根據須要定製。與X.500不一樣,LDAP支持TCP/IP,這對訪問Internet是必須的。LDAP的核心規範在RFC中都有定義,全部與LDAP相關的RFC均可以在LDAPman RFC網頁中找到。
(6)openid
: OpenID 是一個以用戶爲中心的數字身份識別框架,它具備開放、分散性。OpenID 的建立基於這樣一個概念:咱們能夠經過 URI (又叫 URL 或網站地址)來認證一個網站的惟一身份,同理,咱們也能夠經過這種方式來做爲用戶的身份認證。
二、cas單點登陸的配置
配置步驟以下:
(1)使用管理員帳號登陸Liferay
(2)點擊「控制面板」-》「配置」-》「實體設置(instance settings)」,打開Liferay的認證配置界面,以下圖:
(3)點擊「
cas」選項,配置相應的配置,以下圖:
(4)點擊「測試cas配置」按鈕,若是各項測試都經過,則表示配置成功,以下圖:
(5)因爲cas須要依託用戶,能夠配置從ldap中導入,勾選「從ldap中導入」,以下圖:
(6)配置ldap,切換「ldap」選項,勾選「已啓用、必需的」選項,以下圖:
(7)點擊「添加」按鈕,建立ldap服務器的配置,以下圖:
(8)配置ldap服務器的鏈接,點擊「測試ldap鏈接」,查看是否鏈接成功,以下圖:
(9)配置用戶屬性,這裏須要注意認證過濾器,圖中的loginName爲ldap中用戶的登陸名,@screen_name@爲Liferay中的登陸名,這裏也可使用「郵箱、公司編碼、用戶id等」進行自行配置,以下圖:
具體用戶的屬性配置以下:
(10)點擊「測試ldap用戶」按鈕,查看配置結果是否每一個屬性都對應正確,以下圖:
(11)用戶組配置以下:
(12)點擊「測試ldap羣組」,查看配置是否正確,以下圖:
(13)導出配置,用戶在Liferay中修改了對應的用戶或用戶組時,導出到ldap服務器中(
前提是啓用了導出功能),以下圖:
(14)啓用導入功能,以下圖:
(15)
注意:須要值得注意的是,因爲在啓用了ldap的導入和認證,且在配置用戶認證過濾器,本例中使用了「屏幕名」登陸,以下圖:
,
因此須要在「常規的」認證中選取對應的認證方式,這裏我選擇了「經過屏幕名稱」,以下圖:
到這裏,整個單點登陸配置完成,能夠嘗試登陸了。