CAS3.4 关于PAM模块SSL的详细配置
在要配置PAM_CAS的SSL时,才发现原来之前使用的证书都得重新换掉了。
采用OpenSSL和KeyTool签发自签名证书来替换之前配置的Tomcat SSL
redHat自带Openssl工具,因为我并没有在redhat系统中安装JDK,所以我下载了Openssl并安装在了CAS服务器所在的Windows系统中。
?
keytool -import -v -trustcacerts -alias c:\ca\cas-server -file cas-server-cer.pem -keystore cas-store.keystore
?
?
执行完以上命令后,在c:\ca目录下,应有文件如下:
1:ca-privkey.pem
2:ca-req.csr
3:ca-root.pem
4:cas-store.keystore
5:cas-server.csr
6:cas-server-cer.pem
?
替换方案:
1:将cas-store.keystore替换掉CAS服务器Tomcat中所使用的证书库
2:编辑redhat主机中,pam_cas模块所使用的pam_cas.conf文件,修改文件中的ssl设为on,trusted_ca参数所指定的证书文件为ca-root.pem,端口为8443
?
?
?
????? 在配置PAM的SSL时,多说两句,pam_cas.conf配置文件中的trustca值,应该为一个BASE64编码的证书文件,注释中提到,此证书应该为一个CA根书,可见这个SSL连接是单向连接。
???? 至此,PAM_CAS的SSL算是配置成功
?????
????? 下次的研究目标是:基于kerberos协议,通过spnego机制实现CAS与AD间的单点登录(凡是登录域的用户,在访问CAS业务系统时则不需要认证)
?
