ZCS與CAS（Central Authentication Service）單點登陸系統的集成

原文轉自：http://opengeek.cn/forum-viewthread-tid-151-fromuid-23.html

 

CAS（ Central Authentication Service）是由JA-SIG開發的一套開源的單點登陸系統，在教育行業有着很是普遍的應用，有很多企業也在使用它。CAS的特色是安全性很是高，可維護性高。下面詳細描述一下如何實現ZCS與CAS的集成。

1.配置ZCS的CACert keystore

在zimbra用戶下執行如下腳本，將CAS的服務器證書（證書或證書鏈）導入到ZCS的CACert keystore中：

1. /opt/zimbra/java/bin/keytool -import -file casserver.cert -alias cascert -trustcacerts -keystore /opt/zimbra/java/jre/lib/security/cacerts -storepass changeit
   
2. /opt/zimbra/java/bin/keytool -import -file casserver.chain -alias caschain -trustcacerts -keystore /opt/zimbra/java/jre/lib/security/cacerts -storepass changeit

複製代碼

2.部署CAS客戶端

[li]從 http://www.ja-sig.org/downloads/cas-clients/下載客戶端軟件包。3.1.x版本的客戶端能夠與ZCS 6.0.x、CAS服務器. 3.3.x一塊兒工做。[/li][li]複製cas-client-core-3.1.x.jar文件到/opt/zimbra/jetty/common/lib目錄。
[/li]

3.修改ZCS的配置文件

3.1  zimbra應用

將下列代碼加入到/opt/zimbra/jetty/etc/zimbra.web.xml文件中，插入位置應在<servlet>前（約230行），而後替換cas.url.com:port和 zimbra.url.com:port。
默認的端口：CAS爲8443，ZCS爲443或80。

1. <filter>
   
2.     <filter-name>CasSingleSignOutFilter</filter-name>
   
3.     <filter-class>org.jasig.cas.client.session.SingleSignOutFilter</filter-class>
   
4. </filter>
   
5. 
   
6. <filter-mapping>
   
7.     <filter-name>CasSingleSignOutFilter</filter-name>
   
8.     <url-pattern>/*</url-pattern>
   
9. </filter-mapping>
   
10. 
    
11. <listener>
    
12.     <listener-class>org.jasig.cas.client.session.SingleSignOutHttpSessionListener</listener-class>
    
13. </listener>
    
14. 
    
15. <filter>
    
16.     <filter-name>CasAuthenticationFilter</filter-name>
    
17.     <filter-class>org.jasig.cas.client.authentication.AuthenticationFilter</filter-class>
    
18.     <init-param>
    
19.         <param-name>casServerLoginUrl</param-name>
    
20.         <param-value>https://cas.url.com:port/cas/login</param-value>
    
21.     </init-param>
    
22.     <init-param>
    
23.         <param-name>serverName</param-name>
    
24.         <param-value>https://zimbra.url.com:port</param-value>
    
25.     </init-param>
    
26. </filter>
    
27. 
    
28. <filter-mapping>
    
29.     <filter-name>CasAuthenticationFilter</filter-name>
    
30.     <url-pattern>/public/preauth.jsp</url-pattern>
    
31. </filter-mapping>
    
32. 
    
33. <filter>
    
34.     <filter-name>CasValidationFilter</filter-name>
    
35.     <filter-class>org.jasig.cas.client.validation.Cas20ProxyReceivingTicketValidationFilter</filter-class>
    
36.     <init-param>
    
37.         <param-name>casServerUrlPrefix</param-name>
    
38.         <param-value>https://cas.url.com:port/cas</param-value>
    
39.     </init-param>
    
40.     <init-param>
    
41.         <param-name>serverName</param-name>
    
42.         <param-value>https://zimbra.url.com:port</param-value>
    
43.     </init-param>
    
44.     <init-param>
    
45.         <param-name>redirectAfterValidation</param-name>
    
46.         <param-value>true</param-value>
    
47.     </init-param>
    
48. </filter>
    
49. 
    
50. <filter-mapping>
    
51.     <filter-name>CasValidationFilter</filter-name>
    
52.     <url-pattern>/*</url-pattern>
    
53. </filter-mapping>
    
54. 
    
55. <filter>
    
56.     <filter-name>CasHttpServletRequestWrapperFilter</filter-name>
    
57.     <filter-class>org.jasig.cas.client.util.HttpServletRequestWrapperFilter</filter-class>
    
58. </filter>
    
59. 
    
60. <filter-mapping>
    
61.     <filter-name>CasHttpServletRequestWrapperFilter</filter-name>
    
62.     <url-pattern>/*</url-pattern>
    
63. </filter-mapping>

複製代碼

3.2  zimbraAdmin應用

針對/opt/zimbra/jetty/etc/zimbraAdmin.web.xml文件進行同上一步的操做（插入內容、替換關鍵字）。
ZCS管理控制檯的默認端口是7071。

4.創建PreAuth鍵

在zimbra用戶身份下執行如下腳本：
[pre]

1. zmprov gdpak yourdomain.com

複製代碼

[/pre]將會獲得這樣的PreAuth鍵值： "359d722926fc3daebd0fee5d8b9dad9bbe1646e68041afa8ab662c6a9152e6b9"。

5.創建preauth.jsp文件

5.1  zimbra應用

[li]將附件（附件爲ZIP壓縮文件，請將擴展名由GIF改成ZIP後打開）中的preauth.jsp-zimbra複製爲： /opt/zimbra/jetty/webapps/zimbra/public/preauth.jsp[/li][li]用上一步提到的 PreAuth鍵值替換其中的DOMAIN_KEY[/li][li]替換第90處的domainname.com[/li]

5.2  zimbraAdmin應用

[li]將 preauth.jsp-zimbraadmin複製爲： /opt/zimbra/jetty/webapps/zimbraAdmin/public/preauth.jsp[/li][li]用上一步提到的 PreAuth鍵值替換其中的DOMAIN_KEY[/li][li]替換第92處的domainname.com[/li]

6.替換登陸和註銷URL

以zimbra用戶身份執行如下腳本，替換ZCS默認的登陸和註銷URL：
[pre]

1. zmprov md yourdomain.com zimbraWebClientLoginURL https://zimbra.url.com:port/zimbra/public/preauth.jsp
   
2. zmprov md yourdomain.com zimbraWebClientLogoutURL https://cas.url.com:port/cas/logout
   
3. zmprov md yourdomain.com zimbraAdminConsoleLoginURL https://zimbra.url.com:port/zimbraAdmin/public/preauth.jsp
   
4. zmprov md yourdomain.com zimbraAdminConsoleLogoutURL https://cas.url.com:port/cas/logout

複製代碼

默認端口同前。
[/pre]
7.重啓ZCS 以zimbra身份運行zmcontrol restart命令重啓ZCS服務。