[Liferay] Liferay 实现单点登录

Liferay 的单点登录绝对是个难啃的骨头，更何况网上能搜到的基本都是些滥竽充数的文章，很不负责任。

于是在自己搭通单点登录一条线之后，决定整理下思路并写出来，希望各位能别重蹈覆辙。

本文不介绍概念。仅仅注重实现

软件版本号：

Liferay : 6.1.1 CE GA2
OpenLdap for Windows ：openldap-2.4.38-x86
Apache Directory Studio : Apache Directory Studio 2.0.0-M3
CAS : cas-server-3.5.2
Windows ： 7 x64

第一篇 OpenLDAP

不再讲述 LDAP 概念，仅仅需知道 OpenLDAP 是 LDAP 协议的几个主流实现之中的一个，重点是介绍怎样在 windows 平台上安装和配置 OpenLDAP。

下载

openLDAP官方站点：http://www.openldap.org/
openLDAP官网仅仅提供了linux平台的相关安装文件，windows平台的安装包能够到下面一些站点下载：
http://www.userbooster.de/download/openldap-for-windows.aspx
http://sourceforge.jp/projects/openldapwin32/releases/
http://sourceforge.net/projects/openldapwindows/files/

http://sourceforge.net/projects/openldapwindows/（本文所用的版本号）

以上四个地址中第一个安装完毕之后 LDAP server 启动总是异常，并没有详细分析原因，直接卸载安装最后一个链接中的版本号，好使。

安装

一路点击 next 就可以，注意默认的 backend engine 为 BDB，意思也就是 LDAP 使用 BDB 存储数据，能够依据需求自行配置如 SQL Server 等。
安装完毕之后找到安装路径下的E:OpenLDAPetcopenldap。打开slapd.conf，替换整个内容为

include   ../etc/openldap/schema/core.schema
include   ../etc/openldap/schema/cosine.schema
include   ../etc/openldap/schema/inetorgperson.schema

pidfile ../var/run/slapd.pid

loglevel  -1

moduleload back_bdb.la

database bdb
suffix "dc=example, dc=com"

rootdn "cn=jimbob, dc=example, dc=com"
rootpw dirtysecret

directory       ../var/openldap-data

# Indices to maintain for this directory
# unique id so equality match only
index uid eq
# allows general searching on commonname, givenname and email
index cn,gn,mail eq,sub
# allows multiple variants on surname searching
index sn eq,sub
# sub above includes subintial,subany,subfinal
# optimise department searches
index ou eq
# if searches will include objectClass uncomment following
# index objectClass eq
# shows use of default index parameter
index default eq,sub
# indices missing - uses default eq,sub
index telephonenumber

# other database parameters
# read more in slapd.conf reference section
cachesize 10000
checkpoint 128 15

当中

suffix "dc=example, dc=com"

能够理解为整个 LDAP 的跟文件夹地址。能够自行配置
rootdn "cn=jimbob, dc=example, dc=com" rootpw dirtysecret

管理员用户的 DN 以及password，能够自行配置
directory       ../var/openldap-data

LDAP 数据库文件夹

至于其它參数我临时也不关心是什么意思。

启动 LDAP server

这个安装版本号中。不须要通过命令行启动，開始菜单里找到 OpenLDAP。并启动

看到例如以下内容就算是启动成功了

一般教程到这里都会提示须要新建个 .ldif 文件，用来加入用户或者组织，事实上刚開始大可不必纠结于这个文件以及里面的语法。由于全然能够使用 LDAP 可视化工具完毕相同的工作。

但毕竟写文档。这部分还是得写。

LDIF 文件

DIT 结构 – 例如以下图，能够理解为LDAP 的结构文件夹，就比方 Java Web应用的文件夹。

在E:OpenLDAP 文件夹创建demo.ldif 文件。粘贴下面的 内容，用来创建 DIT 结构。并加入用户

dn: dc=example,dc=com
dc: example
description: text whatever you want for description
objectClass: dcObject
objectClass: organization
o: Example, Inc.

dn: ou=people, dc=example,dc=com
ou: people
description: All people in organisation
objectclass: organizationalunit

dn: cn=Robert Smith,ou=people,dc=example,dc=com
objectclass: inetOrgPerson
cn: Robert Smith
sn: smith
uid: rjsmith
userpassword: rJsmitH
mail: rsmith@example.com
description: swell guy
ou: Human Resources

在E:OpenLDAPin文件夹下输入下面指令用来导入 LDIF 文件。为什么要到这个文件夹。由于这个文件夹底下有ldapadd.exe，不然使用 ldapadd 指令会提示提示：’ldapadd’ 不是内部或外部命令。也不是可执行的程序或批处理文件

ldapadd -x -D "cn=jimbob,dc=example,dc=com" -f ./mydemo.ldif -w dirtysecret

接下来通过下面search 指令确认是否导入成功

ldapsearch -x -b "dc=example,dc=com" "(objectclass=*)"

LDAP client Apache Directory Studio

LDAP 有多种client，本文使用的是Apache Directory Studio，没什么特别原因，就是认为 Apache 相对照较亲切一点。
下载地址 ：http://directory.apache.org/studio/downloads.html
下载最新版的就可以。

安装以及配置步骤能够參考官方文档https://directory.apache.org/studio/users-guide/ldap_browser/gettingstarted_download_install.html
左下 Connection 区域点击右键加入 Connection。

注意 OpenLdap 的 Port 为 389。

Bind DN or User ：slapd.conf 文件内的rootdn
Bind password ： slapd.conf 文件内的rootpw
点解 Check Authentication 确认验证成功

之后点击 Finish，配置成功。能够在左側 LDAPBrowser 里看到整个 DIT 结构。

Liferay 配置 LDAP

在 Liferay 的 Crontrol Panel 找到 LDAP 配置界面，点击加入 LDAP Server。
Server Name – 没什么可说的
Default Values – 仅仅有当你想切换 LDAP 工具时。依据详细的 LDAP 实现工具来重置底下全部属性
Connection ： 配置用来连接 LDAP server

Users

User Mapping – 用来映射 LDAP 内 user 属性与 Liferay 内user属性

Groups – 相应于  LDAP 里的 group

Export – 这个必须配置，不然无法将 Liferay 用户到处到 LDAP server，导致配置完毕之后， Liferay 用户反而不能成功登录

保存，回到LDAP主界面，确认选择 Enabled 与 Required， Liferay 官方对这两个属性解释例如以下：
ldap.auth.enabled=true
Set ldap.auth.enabled = true to enable LDAP Authentication

ldap.auth.required=true
Setting required = true means that you must successfully bind with the record in the LDAP server before Liferay will allow the user to log in

确认选择 Import / Export

Liferay 官方解释例如以下：
ldap.import.enabled=true
If set to true, then Liferay will do a mass import of users on the specified interval

ldap.import.on.startup=true
If set to true, Liferay will do a mass import of all LDAP users according to the import method (that match the user specified search filter) on startup


ldap.export.enabled=true
If set to true, Liferay will export the user to LDAP. Liferay uses a listener to track any changes made to the User object and will push these changes out to the LDAP server whenever the User object is updated. Note that on every login, fields such as "LastLoginDate" are updated and so if export is enabled, logging in with a user will export the user to LDAP.

上述步骤仅仅是单点登录的准备工作而已。仅仅要能在 Liferay 配置 LDAP 界面 Test 成功就算是配置正确。