Liferay7.0与cas单点登陆配置

一、简介

    Liferay7.0支持多种登陆方式，包括：常规的、opensso、cas、ntlm、ldap、openid、Facebook、Google等。

其中，

(1) 常规：则是默认Liferay的用户名密码登陆，可是用户能够选择“邮箱、屏幕名、用户帐号”来做为登陆名，如图：

注意，这里的用户帐号是用户的建立是的id。

 

(2)openSSO: 曾经Sun的一款开源产品，从不多的那一点点中文资料上来看，这个能实现我须要的那种SSO模式。从SUN被Oracle收购以后，Oracle便关闭了OpenSSO这个项目，如今在网上下不到OpenSSO的安装文件。并且之前的那些在SUN发布的不少相关的帮助文档，大多数连接都失效了，全都指向了Oracle的同一个页面，找不到文档中对应的安装文件。

(3) cas: 是 Yale 大学发起的一个开源项目，据统计，大概每 10 个采用开源构建 Web SSO 的 Java 项目，就有 8 个使用 CAS 。这些统计可能言过其实，但有一点能够确定的是， CAS 是最简单实效，并且足够安全的 SSO 选择，旨在为 Web 应用系统提供一种可靠的单点登陆方法，CAS 在 2004 年 12 月正式成为 JA-SIG 的一个项目。 CAS具备如下特色： 

a. 开源的企业级单点登陆解决方案。

b. CAS Server 为须要独立部署的 Web 应用。

c. CAS Client 支持很是多的客户端(这里指单点登陆系统中的各个 Web 应用)，包括 Java, .Net, PHP, Perl, Apache, uPortal, Ruby 等。

(4) ntlm: 早期SMB协议在网络上传输明文口令。后来出现 LAN Manager Challenge/Response 验证机制，简称LM，它是如此简单以致很容易就被破解。微软提出了WindowsNT挑战/响应验证机制，称之为NTLM。如今已经有了更新的NTLMv2以及Kerberos验证体系。NTLM是windows早期安全协议，因向后兼容性而保留下来。NTLM是NT LAN Manager的缩写，即NT LAN管理器。

(5)ldap: LDAP是轻量目录访问协议，英文全称是Lightweight Directory Access Protocol，通常都简称为LDAP。它是基于X.500标准的，可是简单多了而且能够根据须要定制。与X.500不一样，LDAP支持TCP/IP，这对访问Internet是必须的。LDAP的核心规范在RFC中都有定义，全部与LDAP相关的RFC均可以在LDAPman RFC网页中找到。

(6)openid : OpenID 是一个以用户为中心的数字身份识别框架，它具备开放、分散性。OpenID 的建立基于这样一个概念：咱们能够经过 URI （又叫 URL 或网站地址）来认证一个网站的惟一身份，同理，咱们也能够经过这种方式来做为用户的身份认证。

二、cas单点登陆的配置

    配置步骤以下：

（1）使用管理员帐号登陆Liferay

（2）点击“控制面板”-》“配置”-》“实体设置（instance settings）”，打开Liferay的认证配置界面，以下图：

 

（3）点击“ cas”选项,配置相应的配置，以下图：

 

 

（4）点击“测试cas配置”按钮，若是各项测试都经过，则表示配置成功，以下图：

 

 

（5）因为cas须要依托用户，能够配置从ldap中导入，勾选“从ldap中导入”，以下图：

 

（6）配置ldap，切换“ldap”选项，勾选“已启用、必需的”选项，以下图：

 

（7）点击“添加”按钮，建立ldap服务器的配置，以下图：

 

 

（8）配置ldap服务器的链接，点击“测试ldap链接”，查看是否链接成功，以下图：

 

（9）配置用户属性，这里须要注意认证过滤器，图中的loginName为ldap中用户的登陆名，@screen_name@为Liferay中的登陆名，这里也可使用“邮箱、公司编码、用户id等”进行自行配置，以下图：

 

具体用户的属性配置以下：

 

 

 

（10）点击“测试ldap用户”按钮，查看配置结果是否每一个属性都对应正确，以下图：

 

 

（11）用户组配置以下：

 

 

（12）点击“测试ldap群组”，查看配置是否正确，以下图：

 

 

（13）导出配置，用户在Liferay中修改了对应的用户或用户组时，导出到ldap服务器中（ 前提是启用了导出功能），以下图：

 

 

（14）启用导入功能，以下图：

 

 

（15） 注意：须要值得注意的是，因为在启用了ldap的导入和认证，且在配置用户认证过滤器，本例中使用了“屏幕名”登陆，以下图：

 

，

因此须要在“常规的”认证中选取对应的认证方式，这里我选择了“经过屏幕名称”，以下图：

 

 

 

到这里，整个单点登陆配置完成，能够尝试登陆了。