Opensso安装说明网络版Word文档格式.docx

1、# cd GlassFish-install-dir/binGlassFish-install-dir是GlassFish的安装目录, 如: /usr/local/glassfish2） 启动要安装OpenSSO的domain, 如: domain1./asadmin start-domain GlassFish-domain3） 配置GlassFish, 更改如下JVM选项:a. 把 -client 改为 -serverb. 把 -Xmx512m 改为 -Xmx1024mI. 以下是使用命令行方式: # ./asadmin delete-jvm-options -port GlassFish

2、-admin-port -user admin -client # ./asadmin create-jvm-options -port GlassFish-admin-port -user admin -server-Xmx512m-Xmx1G（注: GlassFish-admin-port 是GlassFish 控制台端口, 默认为4848 如果使用参数 或 报错的话,把 改为, 如: -client）II. 控制台方式: 打开GlassFish控制台 （ 如: http:/localhost:4848/ ）,登录 点击Application Server 菜单 然后选择 JVM Sett

3、ing - JVM Options修改-Xmx512M 和 -client, 如果没有这两个选项,选择添加4） 重新启动 GlassFish # ./asadmin stop-domain GlassFish-domain # ./asadmin start-domain GlassFish-domain OpenSSO 部署与配置1. 部署由于OpenSSO必须用域名方式访问,不可以用IP或localhost,所以本例中假定域名为:本例使用的是GlassFish V2.1, 以后如果使用GlassFish V3 Prelude, 在登录OpenSSO如果出现登录不了,或是死循环的话,在Gla

4、ssFish的jvm options里再添加一项: -Dcom.iplanet.am.cookie.c66Encode=true把OpenSSO部署到GlassFish有三种方式,1） 自动部署把 OpenSSO-staging-dir/opensso/deployable-war/opensso.war 文件放到 GlassFish-install-dir/domains/GlassFish-domain/autodeploy 目录即可,GlassFish会自动解包部署, 解包后的目录生成在 GlassFish-install-dir/domains/GlassFish-domain/app

5、lications/j2ee-modules 目录下,如: /usr/local/glassfish/domains/domain1/applications/j2ee-modules/opensso2） 命令行方式 # ./asadmin deploy -user admin -passwordfile /tmp/pwdfile -port GlassFish-admin-port -context-root opensso -name opensso OpenSSO-staging-dir/opensso/deployable-war/opensso.war OpenSSO-staging

6、-dir/opensso/deployable-war/opensso.war 为opensso.war文件地址/tmp/pwdfile 是admin用户的登录密码文件, 内容为: AS_ADMIN_PASSWORD=password, 把password 改为登录密码即可）3） 控制台方式a. 打开部署了OpenSSO的domain, 如: :4848/b. 登录后台, GlassFish的默认用户名/密码为: admin/adminadminc. 在控制台左侧的菜单中展开 Applications 菜单,然后选择 Web Applicationsd. 在右侧的页面中选择 Deploy 来部

7、署OpenSSOe. 在部署页面,选择opensso.war文件部署e. 点击OK开始部署,查看是否部署成功请打开:8080/opensso 浏览页面2. 配置1. 在浏览器中打开opensso页面,如:8080/opensso, 这时会出现opensso的配置页面2. 选择右边的 自定义配置 - 创建新配置3. 输入默认管理员用户 amadmin 的密码4. 服务器设置,默认即可6. 存储库配置,使用默认选项即可7. 用户数据存储库配置,这里要选择OpenSSO 用户数据存储库8. 站点配置选择否9. 输入agenturl密码10. 配置摘要页,如果配置没有问题,点击创建配置11. 配置完成

8、后,出现配置成功页面,到此,opensso安装配置完成.Agent 配置1. 服务器端Agent配置Agent的做用是拦截访问被保护资源的请求并进行用户验证,agent与opensso服务器端交互共同完成访问控制.1） 打开浏览器,访问OpenSSO控制台并登录,如:/opensso.example.Com:8080/opensso, 默认管理用户为:amadmin,密码是在安装时填写的密码.2） 点击访问控制,再选顶层领域3） 选择代理 - J2EE , 在代理下选择新建4） 填写新Agent相应信息a） 名称: agent的名称,在客户端安装agent时要使用此名称b） 密码: 访问age

9、nt的密码c） 配置:本地 是使用agent客户端的配置文件;集中是使用服务器端的配置文件.这里要选择,以方便在服务器端配置agent的访问规则.d） 服务器URL: OpenSSO所在的服务器地址, 如:8080/opensso. （注: 要使用域名访问,端口号要加上）e） 代理URL: 安装代理的客户端地址.如:8080/agentapp, （注:一个tomcat只能安装一个agent, 这个agent会作用于所以此tomcat下的工程.）5） 点击创建,完成新建代理.6） 在J2EE选项卡中,点击刚才新建的Agent, 如本例中是myagent7） 在全局选项卡下点击常规8） 中的代理过

10、滤模式的默认值是ALL, 在这里我们要选择SSO_ONLY. 首先选中,点击删除按钮,然后增加新值.在映射关键字输入框中留空,什么也不填写（这样过滤器就可以做用于所以访问请求,如果填写具体值,如:/myapp/test.jsp的话,那么此过滤器就只做用于具体页面.）,在对应的映射值输入框中填写SSO_ONLY,点击添加,并点击页面右上角的保存.（一定要记得保存,否则设置不生效）.9） 由于此选项不是热交换,所以要使他生效必须重新启动GlassFish服务器.至此,Agent服务器端的基本配置已经完成,待把Agent客户端配置完成后,我们再回来配置访问规则.2. 客户端Agent配置客户端Age

11、nt是运行在项目所在服务器（tomcat）下的一个守护进程,他负责根据安全策略拦截访问请求,并进行验证,认证通过放行,不通过则不允许访问受保护资源.本例中假设tomcat目录为/usr/local/demo/tomcat-6.0.18, 下载的agent（如:tomcat_v6_agent_3.zip）解压在了/usr/local/demo/tomcat_v6_agent 目录下注:1. 如果在Linux中安装Agent的话,确保你所使用的用户有tomcat目录文件的写权限.2. 安装Agent时要关闭tomcat.1） 进入目录: /usr/local/demo/tomcat_v6_agen

12、t/bin如果在Linux下安装, 也许agentadmin文件没有执行权限,执行以下命令添加执行权限.# chmod 755 agentadmin2） 执行安装命令# ./agentadmin -install或# ./agentadmin -custom-install （注: custom安装指示要回答的问题比普通安装多一些,一般用普遍安装-install即可）Windows 下使用agentadmin.bat命令agentadmin.bat -installagentadmin.bat -custom-install3） 根据安装提示进行安装-样例Tomcat Server Confi

13、g Directory : /usr/local/demo/tomcat-6.0.18/conf$CATALINA_HOME environment variable : /usr/local/demo/tomcat-6.0.18OpenSSO server URL :/opensso-:8080/openssoAgent URL :/agent-:8090/agentappEncryption Key : oyFk4DYaNB2kc6MeJ2xnK4hbWtFhabsZAgent Profile name : myagentAgent Profile Password file name :

14、 /usr/local/demo/tomcat_v6_agent/tomcat6agentpwdAgent Profile will be created right now by agent installer : trueAgent Administrator : amadminAgent Administrators password file name : /usr/local/demo/tomcat_v6_agent/amadminpwdAsdfasdfasdfa. License ,直接输入nb. 是否同意Licensec. Tomcat/conf目录地址d. OpenSSO服务器

15、地址e. Tomcat根目录地址f. 是否更改conf/Web.xml文件,选择是,这里修改了就不用在每个工程下再修改相应的XML文件了g. Agent Url 部署agent的地址h. Agent名称, 这里填写的是我们之前在opensso服务器上建立的名称i. Agent password 文件地址,这个文件是个纯文本文件,内容是myagent的密码.j. 访问是否安装k. 完成安装附录跳转循环解决办法1. 设置SSO_ONLY访问控制 - 顶层领域 - 代理 - J2EE - 代理例的名字 - 全局 - 常规 在代理过滤器模式里添加SSO_ONLY点击添加, 最后别忘了保存,然后重启Gl

16、assFish使服务生效.2. 设置对cookie 值加密登录OpenSSO后台,依次点击 配置 - 服务器和站点 - 服务器名称进入服务器设置页面后再点 安全 - 继承设置把对cookie值编码上的勾去掉点击保存,然后点击返回至服务器配置文件然后点击cookie把对cookie值编码的勾选上最后点击保存,重启 GlassFish 和 tomcat使设置生效.博客分类： sso 1，下载Policy Agenthttp:/www.forgerock.org/downloads/openam/j2eeagents/stable/3.0.2/tomcat_v6_agent_302.zip2，配置t

17、omcat，不要和openam用同一个端口。我用的是两个tomcat，分别监听两个端口。 tomcat1，端口8080，作为application服务器，agent指向这里。 tomcat2，端口9080，作为openam服务器。 PS : 系统环境变量中的CATALINA_HOME指向的是tomcat1。3，保证JAVA_HOME已经在环境变量中配置。4，建立一个密码文件。建立一个pswd.txt，里面的内容写着realsmyagent。名字内容随便起。5，在OpenAM中，配置一个Agent Profile。 访问控制 顶层领域 代理 J2EE，然后在代理中选择新建。配置如下：名称，随便，

18、后面会用到。密码，和刚才设置的pswd.txt中的一致，这里都为，realsmyagent。服务器url，:9080/openam代理url，:8080/agentapp6，设置c66Encode属性。 配置 服务器和站点 点击列表中的服务器新建一对属性，com.iplanet.am.cookie.c66Encode，值为true。7，开始安装policy agent。 在控制台进入目录：D:temptomcat_v6_agentbin 执行命令：agentamin.bat install，然后按照提示进行设置。1）一顿回车，同意lisence。2）yes3）D:Apachetomcat-6.0.32conf4）:5）D:Apachetomcat-6.0.326）true7）:8）realsmyagent9）temppswd.txt10）18，安装完成。9，把D:temptomcat_v6_agentsampleappdist下的agentsample.war拷贝到tomcat1下的webapp中。10，启动tomcat1。11，测试SSO。访问:8080/agentsample成功的话，应该自动转向openam的登录画面，输入用户名密码登录后，又自动跳转到:8080/agentsample中。