背景：

使用CAS登录的过程中会涉及到三次重定向，如果在同一个局域网内，是没有任何问题的，但如果涉及到跨网访问(如内网部署、外网访问)就有问题了：

如下图两个红五角星处，外网浏览器要访问的登录页面IP和内网做ticket验证的IP，对cas客户端来说是同一个IP，如果配置的是内网IP，则浏览器无法访问登录页；如配置的是外网IP，则内网客户端无法验证ticket。

解决思路：

因系统已上线，且cas客户端应用比较多，通过改代码的方式比较麻烦，因此需要寻求不改代码的方式来解决问题：

思路一：内网应用配置成外网IP，然后通过iptables的方式在内网服务器上做个映射，将外网IP映射到内网IP上。此种方式可解决“验证ticket”不通的问题，但只能在外网访问，无法通过内网访问。

思路二：内网应用配置成内网IP，然后通过nginx对响应头和响应体中的内网IP替换成外网IP，这样就可以在浏览器上使用外网IP来访问系统了。此方法可在内外网都可以访问。

 思路三(推荐)：通过域名的方式来访问cas，内外网各部署一个DNS服务器，外网的DNS将域名解析到外网能访问的IP上，内网DNS将域名解析到内网IP上

思路一解决办法：

iptables -t nat -I OUTPUT -d 218.94.x.x -p tcp --dport 8476 -j DNAT --to-destination 10.1.x.x:8088service iptables save

该方法用于将外网IP和端口转成内网IP和端口

218.94.x.x 和 8476 分别为外网IP和端口

10.1.x.x:8088 为内网IP和端口

思路二解决办法：

通过Nginx对要访问的系统进行代理，把响应头中的重定向Location的地址改成外网能访问到的IP，实现跨网访问。

 

实现步骤：

1、安装Nginx，安装ngx_headers_more模块(下载路径：)

安装方式：进入nginx的tar包解压目录，执行./configure --prefix==/usr/local/nginx  --add-module=/home/nginx/ngx_headers_more解压后的目录  --add-module=其他模块如echo模块

上述命令执行完成后，执行make，make install 重新安装nginx

2、配置nginx如下：

#user  nobody;worker_processes  1;events {    worker_connections  1024;}http {    include       mime.types;    default_type  application/octet-stream;    sendfile        on;    keepalive_timeout  65;        #高版本的Nginx用这种方式     注意：有的版本中，通过$upstream_http_Location会一直取不到值，可以使用$sent_http_location来代替，$sent_http_location是不带IP的请求路径    map $sent_http_location $location{        ~/xxx-cas([\S]+$) http://130.13.11.24:8888/xxx-cas$1;        ~/xxx-auth([\S]*$) http://130.13.11.24:8888/xxx-auth$1;        ~/zhcx([\S]*$) http://130.13.11.24:8888/zhcx$1;        ~/sjpz([\S]*$) http://130.13.11.24:8888/sjpz$1;        default abcd$sent_http_location;    }        #低版本的Nginx用这种方式     注意：有的版本中，通过$upstream_http_Location会一直取不到值，可以使用$sent_http_location来代替，$sent_http_location是不带IP的请求路径    map $upstream_http_Location $location{        ~http://192.168.0.10:8088/xxx-cas([\S]+$) http://130.13.11.24:8888/xxx-cas$1;        ~http://192.168.0.10:8088/xxx-auth([\S]*$) http://130.13.11.24:8888/xxx-auth$1;        ~http://192.168.0.10:8081/zhcx([\S]*$) http://130.13.11.24:8888/zhcx$1;        ~http://192.168.0.10:8082/sjpz([\S]*$) http://130.13.11.24:8888/sjpz$1;        default abcd$upstream_http_Location;    }    server {        listen       8080;        server_name  localhost;        location /xxx-auth {            proxy_pass http://192.168.0.10:8088;            more_set_headers -s '302' "Location $location";        }                location /xxx-cas {            proxy_pass http://192.168.0.10:8088;            more_set_headers -s '302' "Location $location";        }                location /zhcx {            proxy_pass http://192.168.0.10:8081;            more_set_headers -s '302' "Location $location";        }                  location /sjpz {            proxy_pass http://192.168.0.10:8082;            more_set_headers -s '302' "Location $location";        }     }    }

思路三解决办法(推荐)：

通过域名的方式来访问cas，内外网各部署一个DNS服务器，外网的DNS将域名解析到外网能访问的IP上，内网DNS将域名解析到内网IP上