基于JASIG CAS的统一身份认证系统

基于JASIG CAS的统一身份认证系统

东北大学网络中心

黄晓磊

概述•统一认证与单点登录

•CAS

•东北大学统一认证服务

统一认证与单点登录

•什么是统一认证与单点登录

–网易通行证

–微软的passport

–Sohu的通行证

–腾讯QQ

•登录一次在相关站点不用重新进行登录认证

统一认证与单点登录实现•CAS

•openID

•cookies

•PKI证书方式

•LDAP

•……

统一认证与单点登录的优势

•不用重复注册

•用户无需记住很多的用户名和密码

•简化应用系统中用户管理模块

•在多个站点间可以实现session共享•Portal应用最为典型

统一认证与单点登录的区别

•我的理解

•认证和登录还是有区别的

•登录只是验证用户名和密码

•认证应该包括一些权限，角色等用户附加信息

CAS是什么

•CAS是yale大学发起的一个开源的基于java servlet技术的SSO系统

•CAS3.0以后，成为了JASIG组织的项目

为什么选择CAS

•基于Spring Framework开发,结构清晰，二次开发比较容易

•拥有丰富的client客户端和第三方软件的支持，现有系统集成方便

•支持多种数据源

•CAS3.0实现了SAML

为什么选择CAS（续）

•文档丰富

•使用tomcat、jetty等Servlet容器，而不必使用JEE的应用服务器

•部署、管理简便

•被广泛使用，经受考验

•免费

CAS结构体系•CAS server

•CAS client

•User

CAS原理

CAS能做什么

•实现校园通行证

•可以将现有系统中的用户资源共享给其它系统，而不用暴露用户密码（相对于ldap的优势）

•可以跨域统一认证（相对于cookies的优势）

CAS缺点

•不是基于web的应用很难集成

–比如blog系统无法使用xmlrpc的live writer •退出同步问题

东北大学现状

•目前东北大学的统一认证服务

–Xen虚拟机CentOS5.1

–Apache Tomcat 5.5

–Apache Httpd2.2 的ajp proxy

–mysql和ldap两处数据源

–集成邮件账户和上网账号用户，总用户量大概在12000左右

–目前blog、办公系统、网管系统等在使用

一些使用经验

•使用客户端的一些经验

–使用java，.net客户端的时候，通常会出现证书不信任的问题

•在使用JDBCAuthenticationHandler时，配置的连接池不要用默认的

–推荐使用c3p0连接池

•phpCAS需要用到php-domxml这个软件包

东北大学

未来规划

•增加身份（角色）部分–教师

–学生

–行政人员

谢谢！