基于JASIG CAS的统一身份认证系统.pdfVIP

基于JASIG CAS的统一 身份认证系统 东北大学网络中心 黄晓磊 概述 • 统一认证与单点登录 • CAS • 东北大学统一认证服务 统一认证与单点登录 • 什么是统一认证与单点登录 – 网易通行证 – 微软的passport – Sohu 的通行证 – 腾讯QQ • 登录一次在相关站点不用重新进行登录认 证 统一认证与单点登录实现 • CAS • openID • cookies • PKI证书方式 • LDAP • …… 统一认证与单点登录的优势 • 不用重复注册 • 用户无需记住很多的用户名和密码 • 简化应用系统中用户管理模块 • 在多个站点间可以实现session共享 • Portal应用最为典型 统一认证与单点登录的区别 • 我的理解 • 认证和登录还是有区别的 • 登录只是验证用户名和密码 • 认证应该包括一些权限，角色等用户附加 信息 CAS是什么 • CAS是yale大学发起的一个开源的基于java servlet技术的SSO系统 • CAS 3.0以后，成为了JASIG组织的项目 为什么选择CAS • 基于Spring Framework开发,结构清晰，二 次开发比较容易 • 拥有丰富的client客户端和第三方软件的支 持，现有系统集成方便 • 支持多种数据源 • CAS3.0实现了SAML 为什么选择CAS （续） • 文档丰富 • 使用tomcat、jetty 等Servlet 容器，而不必 使用JEE的应用服务器 • 部署、管理简便 • 被广泛使用，经受考验 • 免费 CAS结构体系 • CAS server • CAS client • User CAS原理 CAS能做什么 • 实现校园通行证 • 可以将现有系统中的用户资源共享给其它 系统，而不用暴露用户密码（相对于ldap的 优势） • 可以跨域统一认证（相对于cookies的优 势） CAS缺点 • 不是基于web 的应用很难集成 – 比如blog系统无法使用xmlrpc 的live writer • 退出同步问题 东北大学现状 • 目前东北大学的统一认证服务 – Xen虚拟机CentOS5.1 – Apache Tomcat 5.5 – Apache Httpd 2.2 的ajp proxy – mysql和ldap两处数据源 – 集成邮件账户和上网账号用户，总用户量大概 在12000左右 – 目前blog、办公系统、网管系统等在使用 一些使用经验 • 使用客户端的一些经验 – 使用java ，.net客户端的时候，通常会出现证书 不信任的问题 • 在使用JDBCAuthenticationHandler时，配 置的连接池不要用默认的 – 推荐使用c3p0连接池 • phpCAS需要用到php-domxml这个软件包 东北大学 未来规划 • 增加身份（角色）部分 – 教师 – 学生 – 行政人员 谢谢！