基于LDAP的统一身份验证在企业平台中的应用.pdf

基于LDAP 的统一身份验证在企业平台中的应用1 薛超，郭金旭 武汉理工大学信息工程学院通信与信息系统系，武汉（430070 ） E-mail ：barbie_xue@ 摘 要：本文在对LDAP （lightweight directory access protocol , 轻量级目录访问协议）的介 绍的基础上，主要研究了在企业基础管理平台上实现用户统一身份认证的方法及实施的解决 方案，从而实现对内部应用平台整合，统一资源管理和访问控制，使得用户管理更为高效和 安全。 关键词：LDAP ，身份验证，企业管理 1. 引言 近年来，随着企业信息化建设的不断发展，需要使用许多不同的应用系统来完成业务操 作，而各种系统间存在不同的用户管理策略和接口，各个系统的用户管理变得越来越复杂， 用户信息和系统信息受到非法截获和破坏的可能性增大，安全性也得不到保障。如果碰到员 工跨部门的调动、升迁、组织结构的重组等，以往只能采用手工方式在多个系统中分别维护， 不但工作繁琐，而且容易出错，难以保证数据的一致性。为了提高管理效率，减少重复开发， 灵活支持企业的安全策略，本文采用了网络上广泛使用的基于 X.500 的 LDAP 协议，它具 有查询效率高 树状信息管理模式 分布式部署框架以及灵活而细腻的访问控制等特性[1]，本 文以 DOMINO 邮件系统提供的LDAP 服务为例，从系统的管理模型和数据模型方面提出了 一个安全的、易于管理的统一身份验证的解决方案。 2. LDAP 2.1 LDAP 简介 LDAP （Lightweight Directory Access Protocol：轻量级目录访问协议）是由美国 Michigan 大学研发的一个新的目录访问协议，它是在继承了 X.500 标准的所有优点的基础上发展起来 的一种被广泛应用的标准。X.500 是基于 OSI 模型的关于目录服务的标准协议，而与 X.500 不同，LDAP 直接运行在更简单和更通用的 TCP/IP 或其它可靠的传输协议层上，避免了在 OSI 会话和表示层的开销，使连接的建立和包的处理更简单、更快，对于互联网和企业网应 用更理想。 LDAP 协议的主要优点为：结构化的信息框架（面向对象的信息存储方法），采用树型 层次式结构表示，易于管理维护；在系统中的单点集中（非物理位置）管理资源，可实现单 一登入点；对数据“读”进行了优化，“读”多于“写”，对于不经常写入的数据，访问的速度较 关系型数据库高出一个数量级；自动更新和维护存储的信息；方便的备份和恢复功能；安全 访问和信息传输安全[2] 。 2.2 LDAP 模型 [3] LDAP 定义了四种基本模型：信息模型、命名模型、功能模型、安全模型 。 2.2.1 信息模型 信息模型是以模式（Schema ）为基础的，以项目（Entry ）为核心的。模式由若干项目 1本课题得到湖北省科技攻关计划支持项目基金（项目编号：2003AA101C80 ）的资助。 - 1 - 组成，项目是描述客观实体的基本单位，项目由描述客观实体具体信息的一组属性 （Attribute ）构成。属性只能有和种类型（Type ），可以有一个或多个值（Value ）。属性的 类型说明属性值可以存储哪些信息，以有这些信息的行为特性。 2.2.2 命名模型 命名模型说明了如何组织和引用 LDAP 目录中的信息，它与我们熟悉的文件系统有很 多相似之处。 2.2.3 功能模型 LDAP 的功能模型涉及以下三个方面： 询问（Interrogation ） 更新（Update ） 身份验证（Authentication ） 在身份验证方面定义了连接（Bind ）、断开（Unbind ）和作废（Abandon ）等操作。 2.2.4 安全模