ZCS与CAS（Central Authentication Service）单点登陆系统的集成

原文转自：http://opengeek.cn/forum-viewthread-tid-151-fromuid-23.html

 

CAS（ Central Authentication Service）是由JA-SIG开发的一套开源的单点登陆系统，在教育行业有着很是普遍的应用，有很多企业也在使用它。CAS的特色是安全性很是高，可维护性高。下面详细描述一下如何实现ZCS与CAS的集成。

1.配置ZCS的CACert keystore

在zimbra用户下执行如下脚本，将CAS的服务器证书（证书或证书链）导入到ZCS的CACert keystore中：

1. /opt/zimbra/java/bin/keytool -import -file casserver.cert -alias cascert -trustcacerts -keystore /opt/zimbra/java/jre/lib/security/cacerts -storepass changeit
   
2. /opt/zimbra/java/bin/keytool -import -file casserver.chain -alias caschain -trustcacerts -keystore /opt/zimbra/java/jre/lib/security/cacerts -storepass changeit

复制代码

2.部署CAS客户端

[li]从 http://www.ja-sig.org/downloads/cas-clients/下载客户端软件包。3.1.x版本的客户端能够与ZCS 6.0.x、CAS服务器. 3.3.x一块儿工做。[/li][li]复制cas-client-core-3.1.x.jar文件到/opt/zimbra/jetty/common/lib目录。
[/li]

3.修改ZCS的配置文件

3.1  zimbra应用

将下列代码加入到/opt/zimbra/jetty/etc/zimbra.web.xml文件中，插入位置应在<servlet>前（约230行），而后替换cas.url.com:port和 zimbra.url.com:port。
默认的端口：CAS为8443，ZCS为443或80。

1. <filter>
   
2.     <filter-name>CasSingleSignOutFilter</filter-name>
   
3.     <filter-class>org.jasig.cas.client.session.SingleSignOutFilter</filter-class>
   
4. </filter>
   
5. 
   
6. <filter-mapping>
   
7.     <filter-name>CasSingleSignOutFilter</filter-name>
   
8.     <url-pattern>/*</url-pattern>
   
9. </filter-mapping>
   
10. 
    
11. <listener>
    
12.     <listener-class>org.jasig.cas.client.session.SingleSignOutHttpSessionListener</listener-class>
    
13. </listener>
    
14. 
    
15. <filter>
    
16.     <filter-name>CasAuthenticationFilter</filter-name>
    
17.     <filter-class>org.jasig.cas.client.authentication.AuthenticationFilter</filter-class>
    
18.     <init-param>
    
19.         <param-name>casServerLoginUrl</param-name>
    
20.         <param-value>https://cas.url.com:port/cas/login</param-value>
    
21.     </init-param>
    
22.     <init-param>
    
23.         <param-name>serverName</param-name>
    
24.         <param-value>https://zimbra.url.com:port</param-value>
    
25.     </init-param>
    
26. </filter>
    
27. 
    
28. <filter-mapping>
    
29.     <filter-name>CasAuthenticationFilter</filter-name>
    
30.     <url-pattern>/public/preauth.jsp</url-pattern>
    
31. </filter-mapping>
    
32. 
    
33. <filter>
    
34.     <filter-name>CasValidationFilter</filter-name>
    
35.     <filter-class>org.jasig.cas.client.validation.Cas20ProxyReceivingTicketValidationFilter</filter-class>
    
36.     <init-param>
    
37.         <param-name>casServerUrlPrefix</param-name>
    
38.         <param-value>https://cas.url.com:port/cas</param-value>
    
39.     </init-param>
    
40.     <init-param>
    
41.         <param-name>serverName</param-name>
    
42.         <param-value>https://zimbra.url.com:port</param-value>
    
43.     </init-param>
    
44.     <init-param>
    
45.         <param-name>redirectAfterValidation</param-name>
    
46.         <param-value>true</param-value>
    
47.     </init-param>
    
48. </filter>
    
49. 
    
50. <filter-mapping>
    
51.     <filter-name>CasValidationFilter</filter-name>
    
52.     <url-pattern>/*</url-pattern>
    
53. </filter-mapping>
    
54. 
    
55. <filter>
    
56.     <filter-name>CasHttpServletRequestWrapperFilter</filter-name>
    
57.     <filter-class>org.jasig.cas.client.util.HttpServletRequestWrapperFilter</filter-class>
    
58. </filter>
    
59. 
    
60. <filter-mapping>
    
61.     <filter-name>CasHttpServletRequestWrapperFilter</filter-name>
    
62.     <url-pattern>/*</url-pattern>
    
63. </filter-mapping>

复制代码

3.2  zimbraAdmin应用

针对/opt/zimbra/jetty/etc/zimbraAdmin.web.xml文件进行同上一步的操做（插入内容、替换关键字）。
ZCS管理控制台的默认端口是7071。

4.创建PreAuth键

在zimbra用户身份下执行如下脚本：
[pre]

1. zmprov gdpak yourdomain.com

复制代码

[/pre]将会获得这样的PreAuth键值： "359d722926fc3daebd0fee5d8b9dad9bbe1646e68041afa8ab662c6a9152e6b9"。

5.创建preauth.jsp文件

5.1  zimbra应用

[li]将附件（附件为ZIP压缩文件，请将扩展名由GIF改成ZIP后打开）中的preauth.jsp-zimbra复制为： /opt/zimbra/jetty/webapps/zimbra/public/preauth.jsp[/li][li]用上一步提到的 PreAuth键值替换其中的DOMAIN_KEY[/li][li]替换第90处的domainname.com[/li]

5.2  zimbraAdmin应用

[li]将 preauth.jsp-zimbraadmin复制为： /opt/zimbra/jetty/webapps/zimbraAdmin/public/preauth.jsp[/li][li]用上一步提到的 PreAuth键值替换其中的DOMAIN_KEY[/li][li]替换第92处的domainname.com[/li]

6.替换登陆和注销URL

以zimbra用户身份执行如下脚本，替换ZCS默认的登陆和注销URL：
[pre]

1. zmprov md yourdomain.com zimbraWebClientLoginURL https://zimbra.url.com:port/zimbra/public/preauth.jsp
   
2. zmprov md yourdomain.com zimbraWebClientLogoutURL https://cas.url.com:port/cas/logout
   
3. zmprov md yourdomain.com zimbraAdminConsoleLoginURL https://zimbra.url.com:port/zimbraAdmin/public/preauth.jsp
   
4. zmprov md yourdomain.com zimbraAdminConsoleLogoutURL https://cas.url.com:port/cas/logout

复制代码

默认端口同前。
[/pre]
7.重启ZCS 以zimbra身份运行zmcontrol restart命令重启ZCS服务。