在WebLogic?8.1最新的 SP4版本中，最引人注目的要算是在安全方面，提供了用于和Microsoft Windows客戶端進行Single Sign-On的Single Pass Negotiate Identity Assertion Provider。通過該Provider可以輕松完成從前認為技術難度很高的和Windows客戶端的Single Sign-On。

　　這個簡單，低成本的SSO解決方案相信對大多數的企業應用來說更具吸引力：

用戶只需要開機時登錄Windows域，就可以以登錄用戶的身份訪問全部的基于WebLogic Server，IIS等的應用系統；

在后續的訪問中，用戶將不需要重新輸入口令，這樣使得口令不會以明文形式在內網傳遞，來自內網的安全威脅被降低了（企業的主要網絡安全威脅來自內網），如果在內網啟用SSL則成本太高；

只需要一次驗證，因此不論是AD還是其他的存儲用戶信息的關系數據庫，LDAP等，驗證的開銷降低了；

極大改善用戶體驗，提高了IT服務品質，也提高了用戶的工作效率

　　在成本方面，對比一些SSO產品，簡單的說：

不需要添置新的硬件，不需要購買新的軟件License，并且可以充分利用大多數企業中非常成熟的MS AD資源；

* 而一些SSO產品，不僅需要添加新硬件，購買License，而且成熟的部署往往涉及到Load Balance，Failover等，成本驟然升高

不需要專門的運營維護人員，不需要專門的技術支持人員對服務器進行管理，現有的IT團隊即可勝任，成本被進一步降低；

安裝配置簡單，不需要安裝獨立的軟件，操作人員不需要專門的知識背景；
* 對比一些SSO產品超厚的文檔手冊，以及一次又一次的培訓等

　　因此這使得大多數的SSO產品廠商面臨了更大的挑戰。在應用安全技術突飛猛進，SSO市場競爭激烈的今天，用戶將有越來越多的自由去選擇適合自己的SSO解決方案，用戶將最終獲益。所以我們要感謝那些為今天這些技術的發展做出貢獻的人們。

　　在我拿到WebLogic 8.1 SP4后，完成了WebLogic Web Server和Windows 的Single Sign-On的配置，最終效果比較理想，整個配置過程也比較簡單。但是其間也遇到了一些問題，加上Bea在網站上提供配置文檔（http://e-docs.bea.com/wls/docs81/secmanage/sso.html）很多地方說得并不清楚，甚至還有一些錯誤，所以希望通過本文更好的幫助大家完成SSO的配置。

1 準備
WebLogic Single Sign-On的主角是SPNEGO（Simple and Protected GSS-API Negotiation Mechanism）。所謂的Negotiate就是雙方通過一定的協商，確定最終使用的認證協議。因此通過SPNEGO，雙方可以使用Kerberos，也可以使用NTLM等安全協議來完成雙方的認證。所謂的GSS（http://www.ietf.org/rfc/rfc1508.txt ）就是Generic Security Service API，SPNEGO可以說是其表現形式，主要目的是提供通用的安全服務，保證應用在不同環境中的可移植性。

　　由于SPNEGO和Kerberos的緊密關系，因此我們更多情況下是看到SPNEGO/Kerberos這樣的組合。

　　WebLogic的SPNEGO Identity Assertor僅支持Kerberos Token。通過下圖我們可以明白，SPNEGO Token和Kerberos Token關系，以及SPNEGO Token對底層認證數據的封裝：

（from http://msdn.microsoft.com/library/default.asp?url=/library/en-us/dnsecure/html/http-sso-2.asp ）
IE將Kerberos Token（Service Ticket以及一些認證必須的信息），使用SPNEGO Token封裝，然后發送給WebLogic Web Server。Web Server通過SPNEGO Token中定義的協議類型確定使用的是Kerberos，然后從SPNEGO Token中解析中Kerberos Token進而完成后續的驗證。

　　SPNEGO Token使用二進制的ASN.1編碼（LDAP協議中的LDAP Message即使用ASN.1編碼），編碼后的二進制數據通過Base64編碼為可見字符后傳送。具體可以參考http://www.faqs.org/rfcs/rfc2478.html。

　　下面我們簡單了解一下SPNEGO/Kerberos的驗證過程：

用戶使用在AD中創建的用戶帳號和口令登錄Windows 2000 Domain；

用戶向一個Web Server發送請求訪問一個受限的資源；

如果用戶未認證，Web Server將返回HTTP Code 401 Unauthorized以及HTTP Header WWW-Authenticate: Negotiate要求客戶端提供認證信息；

IE根據配置的SPN（后面將介紹）獲得向KDC請求的Service Ticket或者其他一些憑證；

IE使用這些信息封裝成Negotiate Token發送給Web Server

Web Server使用事先準備好的keytab驗證IE提交的認證信息，或者將Kerberos Token中的信息提交到KDC驗證；

WebLogic Web Server驗證成功后裝配相應的Subject，然后為此用戶起一個Session，用戶登錄成功

　　實際的驗證過程是比較復雜的，讀者可以參考：http://www.microsoft.com/technet/prodtechnol/windows2000serv/maintain/security/kerberos.mspx

2 環境
接下來，我們將以一個具體的環境為例進行說明。我們假設有下面的部署邏輯：

服務器端：
* Windows 2000 Advance Server （Active Directory）
* 域：SSO.COM
* 機器域名：AD-SERVER.SSO.COM
* RedHat Linux 7.2
* 主機名：wls

　*?WebLogic Server?8.1 SP4 （一定要是SP4）

客戶端機：
* Windows 2000 Professional
* IE 6.0

注意：
* 瀏覽器IE6.0和5.0以及5.5等在配置上會有不同
* 檢查Windows 2000 Advance Server是否已經安裝了Setspn.exe，否則從該鏈接中獲取并安裝。
http://www.microsoft.com/windows2000/techinfo/reskit/tools/existing/setspn-o.asp
* 保證Windows 2000 Advance Server中存在Ktpass.exe，你可以在C:Program FilesSupport Tools下找到它，否則需要從Windows2000 AD Server安裝盤中獲取。
* Kerberos實現對大小寫敏感，因此配置中我們一律使用大寫的域名
* 默認情況下Windows2000 Ad Server跟運行weblogic 的RedHat Linux兩個主機間的時間相差不能超過5分鐘（Kerberos協議對時間是敏感的），否則驗證會失敗。根據實際情況我們可以縮短這個時間，獲得更好的安全性。

3 配置過程
準備工作都完成后，我們可以開始具體的配置工作了。

在Windows 2000 Advance Server上的配置
（注意：以下的操作使用Administrator或者同等權限的用戶操作）

在Windows2000 Advance Server配置了Active Directory，同時將其作為DNS服務器。Windows2000 Ad Server將在每個Domain Controler上面啟用KDC（Key Distribution Center），KDC包括兩部分，分別是Authentication Service以及Ticket Granting Service。具體我們就不多說了，總之大家明白一旦配置好 Windows Domain Controller（通過AD建了一個Domain）這些就已經存在了并能正常工作，在Windows上除非有特殊要求，否則我們不需要多于的配置，或 者啟用KDC之類的操作。

* 在DNS中為WebLogic Server所在主機配置DNS記錄。

DNS Name：wls.SSO.COM

*在AD（域SSO.COM）中為WebLogic Server創建用戶帳號

帳號：wls
注意，在創建用戶帳號時，不能選擇用戶第一次登錄時需要修改口令的選項。而且需要使用默認的DES加密類型，這個不要修改，其他類型不被WebLogic支持。

以及測試用戶帳號：TESTUSER

*使用Setspn.exe為用戶wls創建一個Service Principal Name

該SPN將作為用戶(wls)屬性存放，IE將根據它來判斷訪問的是哪一個Service，進而從KDC請求該Service的Ticket。其中HTTP是服務類型，HOST可以代表全部類型，我們這里指定為HTTP。

并且如果一個主機上，開了多個同樣的服務，那么可以通過設置port來區分，具體參考http://www.microsoft.com/resources/documentation/WindowsServ/2003/all/techref/en-us/Default.asp?url=/Resources/Documentation/windowsserv/2003/all/techref/en-us/W2K3TR_adspn_how.asp 由于我這里只有一個WebLogic Server，所以沒有指定。

下面是配置示例：
C:Program FilesResource Kit>setspn -A HTTP/wls.SSO.COM wls
Registering ServicePrincipalNames for CN=wls,CN=Users,DC=SSO,DC=com?
HTTP/wls.SSO.COM
Updated object

完成后可以通過命令檢查：
C:Program FilesResource Kit>setspn -L wls
Registered ServicePrincipalNames for CN=wls,CN=Users,DC=SSO,DC=com:
HTTP/wls
HTTP/wls.SSO.COM

C:Program FilesResource Kit>

*創建Kerberos Service Principal，并映射到wls用戶
C:Program FilesResource Kit>ktpass -princ http/wls .COM -pass *** -mapus
er wls -out c: empwls.HTTP.keytab
Successfully mapped http/wls to wls.
Key created.
Output keytab to c: empwls.HTTP.keytab

Keytab version: 0x502
keysize 43 http/wls.COM ptype 1 (KRB5_NT_PRINCIPAL) vno 1 etype 0x1 (DES-CBC-CRC) keylength 8 (0xa7c7e6ab9767fb37)
Account has been set for DES-only encryption.

WebLogic Web Server就是Kerberos Service，這里通過-princ指定了生成的Service Principal（kerberos 5格式：name/instance），它將代表一個WebLogic Web Server實體。這里是http/wls.COM（域名大寫），它非常重要，Sun Krb5LoginModule（JDK1.4中提供）將通過它以及keytab對客戶端提交的請求進行驗證。它將配置在JAAS LoginModule Config Entry中。-pass參數指定了用戶wls的口令，如果你前面選擇了用戶第一次登錄必須修改口令，這里就慘了。

Account has been set for DES-only encryption.這個信息也比較重要，如果沒有DES-only，你的WebLogic認證可能會失敗。

上面的命令成功后將在磁盤上生成一個wls.HTTP.keytab文件，該文件非常重要，必須妥善保管，除了指定用戶外，禁止任何其他人訪問。

在RedHat上的配置
*將文件wls.HTTP.keytab拷貝到Linux指定目錄下
如果是在真實環境中，這個拷貝過程必須非常安全。我建議使用啟動WebLogic的Linux用戶身份通過sftp將文件拷貝到啟動WebLogic的目錄下，方便我們后面的配置。

拷貝完成后，立即刪除Windows機器上的原文件。同時修改該文件屬性為只有屬主用戶可讀（屬主用戶為啟動WebLogic的Linux用戶）?？梢允褂萌缦旅钚薷奈募L問屬性：

600 wls.HTTP.keytab
502br>?
注意：如果你擁有多個keytab，那么使用ktutil合并這些keytab到一個 keytab文件中。默認安裝的RedHat中似乎沒有安裝krb5-workstation這個RPM包（工具ktutil包含該RPM內），如果這 樣，需要下載RPM包進行安裝，安裝完成后/usr/kerberos/目錄下會有我們需要的工具，大家可以通過該鏈接下載：http://rpmfind.net/linux/RPM/redhat/6.2/i386/krb5-workstation-1.1.1-9.i386.html?
具體合并過程和文檔請參考相關文檔，比如：http://e-docs.bea.com/wls/docs81/secmanage/sso.html#1101370

* 配置JAAS Login Configruation Entry

JAAS Login Configuration Entry被JAAS使用。WebLogic Negotiate Identity Assertor解析完成Negotiate Token后將通過Krb5LoginModule完成最終的用戶驗證。

此驗證過程通過我們前面生成的keytab參與來完成，不需要訪問KDC機器。這降低了KDC認證方面的開銷。

com.sun.security.jgss.initiate { 　com.sun.security.auth.module.Krb5LoginModule required 　principal="HTTP/wls.COM" useKeyTab=true keyTab="wls.HTTP.keytab" storeKey=true;
};
com.sun.security.jgss.accept { 　com.sun.security.auth.module.Krb5LoginModule required 　principal="HTTP/wls.COM" useKeyTab=true keyTab="wls.HTTP.keytab" storeKey=true;
};

參數中的Principal為前面我們通過ktpass創建的Service Principal，這里是“HTTP/wls.COM”。keytab指向我們通過ktpass生成的keytab文件。

將上面的內容保存為krb5Login.conf。

WebLogic的配置
* 為WebLogic 配置Single Pass Negotiate Identity Assertion Provider

這個配置比較簡單，請參考http://e-docs.bea.com/wls/docs81/secmanage/providers.html#1199872 ，這里就不多說了。 注意Supported Types中兩個Token Type需要全都選擇。?

* 創建一個Web應用

創建一個sso.war，其中在web.xml中指定將全部的頁面作為受限資源控制，用戶必須經過身份驗證才能夠訪問web應用頁面。
<security-constraint>
<display-name>Security Constraint on Conversation</display-name>
<web-resource-collection>
<web-resource-name>Conversation web?service</web-resource-name>
<url-pattern>/*</url-pattern>
<http-method>GET</http-method>
<http-method>POST</http-method>?
</web-resource-collection>?
<auth-constraint>?
<role-name>*</role-name>?
</auth-constraint>
</security-constraint>
<login-config>?
<auth-method>CLIENT-CERT</auth-method>
</login-config>

Auth-method指定驗證方式為CLIENT-CERT，這是必須的。Role-name為*表示只要用戶擁有至少一個J2EE Security Role即可訪問這些資源。用戶成功登錄后，其登錄名就是一個Principal，WebLogic將默認將其映射為一個Security Role。因此只要用戶成功登錄，即可訪問/*資源。所以如果用戶沒有登錄，WLS將要求用戶登錄。

在war包中的jsp文件內，比如index.jsp通過如下代碼獲取當前用戶信息：

<%=request.getRemoteUser()%>

如果返回不為null，表明用戶已經成功登錄，其返回值就是登錄用戶的UID。使用WebLogic Console部署該應用，確保應用部署成功。

* 在WebLogic控制臺上增加一個用戶帳號

該帳號同1步在AD中創建的帳號必須完全一致，這里叫TESTUSER；或者你配置一個Active Directory Authentication Provider指向AD也可，但我沒有實際操作，大家有興趣的可以試一下。

* 修改啟動WebLogic腳本增加如下的系統變量
-Dsun.security.krb5.debug=true
-Djava.security.krb5.realm=SSO.COM
-Djava.security.krb5.kdc= AD-SERVER.SSO.COM
-Djava.security.auth.login.config=krb5Login.conf -Djavax.security.auth.useSubjectCredsOnly=false-Dweblogic.security.enableNegotiate=true"

Krb5Login.conf為我們 前面編輯的configuration entry。AD-SERVER.SSO.COM指向我們的AD Server?？梢栽?etc/hosts文件中增加該名字到IP的映射會比較簡單一些。sun.security.krb5.debug將使 Krb5LoginModule輸出調試信息。這里還要提醒大家realm等參數（SSO.COM）都需要大寫。

* 重新啟動WebLogic

IE瀏覽器的配置

IE瀏覽器也需要適當配置，我們這里以IE6.0為例說明。主要兩個地方需要配置：

1． 工具 Internet選項 －點擊“本地Interanet”－點擊“站點”－高級
將*.SSO.COM加入，這樣我們訪問 wls.sso.com時，IE會將wls.sso.com作為本地網站來訪問。

2． 工具 －Internet選項 －高級 －安全?
“啟用集成Windows身份驗證”前面打勾。6.0版本前的IE會默認選擇該選項，IE6默認沒有選擇。

具體請參考連接http://msdn.microsoft.com/library/en-us/dnsecure/html/http-sso-1.asp 中關于IE的配置。

完成后重新啟動 Windows。

?

4 驗證
找 一個Windows 2000 Professional機器（切記不要是那臺AD Server， AD上的IE只會向Web Server發出NTLM Token而非Kerberos Token， NTLM Token不被WLS支持），按照上面的IE配置方法完成配置后，將其加入到SSO.COM域。

使用用戶TESTUSER登錄域，打開IE，訪問http://wls.sso.com:7001/sso/index.jsp

　 　頁面上將顯示出用戶的登錄帳號，如果失敗將會彈出用戶登錄對話框。失敗了也不要緊，看一下WebLogic的輸出，我們已經打開了debug開關，從其 中的錯誤信息我們可以發現是什么原因。具體請參考JAVA GSS-API的Troubleshooting，鏈接如下：http://java.sun.com/j2se/1.5.0/docs/guide/security/jgss/tutorials/Troubleshooting.html

5 總結
通過上面的介紹，相信大家已經可以成功配置自己的SSO了（可以看出整個過程還是比較簡單的，對比一些SSO產品的超復雜配置過程）。由于時間原因， 本文寫的比較倉促，難免有疏漏的地方。如果哪些地方描述有錯誤，請給我指出；或者根據上面的配置沒有成功的，也請告知我。希望與大家交流，共同分享成功配 置SSO的快樂！

來自：http://middleware123.com/weblogic/security/511.html

轉載于:https://www.cnblogs.com/davidwang456/p/3816531.html

總結

以上是生活随笔為你收集整理的WebLogic Server的单点登陆功能--转载的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。