关于CAS单点登录方案的一点备忘（随时补充）

        这段时间由于工作原因，一直在接触CAS的单点登录方案，从搭建CAS服务器，到最初的使用数据库进行验证，再到跟预控LDAP集成用域用户验证，最后到与AD域集成；从在Windows上面搭建，到在Linux上面搭建。并且加入了注销、自定义登陆界面等内容，有些理论上的备忘，这里记录下。
  
        方案分为客户机，应用系统，CAS服务器，AD域四个部分。这四个部分分别需要做一些配置才可以保证SSO的稳定运行。

        ☆AD域

        Kerbros验证：
        如果CAS服务器为Linux，就需要在AD控制器生成Keytab文件，交给CAS服务器使用。
        如果CAS服务器为Windows，则不需要Keytab文件。

        域用户创建要求：
        用户登录名，形如：HTTP/yourname.domain name 至少需要24位。
        用户登录名（Windows 2000以前版本）：至少需要5位。

        LDAP验证：
        不论CAS为何种系统，都需要在AD域上生成LDAP的安全证书，并交给CAS服务器使用。

        ☆CAS服务器

        导入AD域控制器创建的Kerbros证书，LDAP证书。

        生成SSL安全证书并交给应用系统安装使用。

        ☆应用系统

        导入CAS服务器创建的SSL安全证书，加入WEB.xml中的过滤器，并加入相应的客户端jar包。

        ☆客户机

        与AD域做集成时，要将CAS服务器的完整域名用https的方式加入到“本地Internet——站点——高级”里边。
        与AD域做集成时，勾选中“Internet选项——高级”里边的集成验证（Windows）。