利用JA-SIG CAS实现Cacti的数字校园单点登录集成

文/夏凌云　田爱宝　宋文文



利用JA-SIG CAS实现Cacti的数字校园单点登录集成

文/夏凌云田爱宝宋文文

随着高校信息化建设的发展，数字化校园的构建成为重要的研究方向，关于数字化校园的CAS集成方案是一个值得探讨的话题。Cacti是一个常用的开源网络管理监测图形分析工具，在很多高校的网络日常管理和运维中被广泛运用。中国石油大学（华东）使用的是CactiEZ中文汉化版，其基于CentOS6，整合了Spine，RRDTool，集成了Monitor、Syslog、Weathermap等等插件以及Apache，Squid，MySQL等等必要软件环境，是一个功能很强大的完整Cacti中文解决方案。近来遇到了一个新需求，就是需要尝试为CactiEZ集成数字校园的SSO（Single Sign On，单点登录）功能。

中国石油大学（华东）采用的数字校园系统支持CAS（Central Authentication Service，中央认证服务），部署了专门的CAS Server为相关业务系统提供SSO登录认证服务。CAS是由JA-SIG开发的一套基于Apache协议的开源系统，在教育行业运用很广泛，很多高校均采用了CAS作为数字校园的单点登录解决方案。Cacti主要采用的是php语言开发，幸运地是，JA-SIG 提供了开源的CAS phpClient，同时Cacti也提供了相关的用户登录接口，可以利用这些接口实现两个系统的对接和集成。具体对接方法如下：

1.首先到JA-SIG官网下载最新版本的CAS php客户端（下载地址：https:// developer.jasig.org/cas-clients/php/ current/），现在的最新版本为1.3.4；

2.CAS phpClient需要依据DOM标准（Document Object Model，文档对象模型）对返回的web文件进行xml解析，因此需要php-dom安装包，在CactiEZ的安装镜像里是没有默认安装的，所以首先需要通过yum install php-dom来安装该功能；

3.解压第一步下载的CAS-1.3.4.tgz文件，将里面的接口文件（CAS.php文件和/CAS文件夹）放到CactiEZ的Apache发布文件夹内，默认为/var/www/html/，以便后续调用；

4.在该文件夹下再建立一个ssoLogin. php文件，主要代码段和注释内容如下：

5.重启httpd服务后，访问fttp:// CactiEZ-Server/ssoLogin.php页面，将自动跳转至CAS认证页面，输入统一身份认证用户名密码并通过验证后，用户将获得CactiEZ的权限，并跳转至代码里指定的graph_view. php页面，单点登录成功！

由于cacti对用户权限控制划分非常细致，所以仅仅使用CAS的统一身份信息并不能对cacti用户权限进行细分，所以在cacti系统里，还是需要预先建立一个和CAS中欲访问用户名相同的本地用户，并为其预先设置好访问权限，否则将会提示“无此用户，请在CactiEZ中新建该用户并配置权限”的错误。因此从这方面看，可能利用CASphpClient与CactiEZ对接仅仅能起到用户名密码的单点登录，对CactiEZ的用户管理并没有更多的帮助。但是JA-SIG除了PHP接口，还提供了.NET和JAVA等等的类似CAS接口，利用这些接口和本文思路，我们可以方便得实现各种自制或开源系统与CAS的集成，从而为这些系统实现校园统一身份认证功能。

作者单位为中国石油大学（华东）网络及教育技术中心