LDAP的研究及其在统一身份认证系统中的应用
基于LDAP的统一身份认证目录服务系统研究与设计
Vol.28No.3M ar.2012赤峰学院学报(自然科学版)Journal of Chifeng University (Natural Science Edition )第28卷第3期(下)2012年3月随着全球信息化进程的加快和网络技术的不断推进,网络规模和用户身份信息日益增长,各机构应用系统也呈增长态势.机构内应用的错综复杂,造成了管理分散、数据不一且共享程度不高等一系列问题.因此如何有效管理大规模用户、保障用户身份信息安全成为摆在我们面前的首要问题.基于LDAP 的统一身份认证目录服务系统是一种支持多平台、多认证方式、安全的认证系统.通过统一身份认证目录服务系统,既能避免信息量大带来的不便,把分散的用户信息集中起来,又可以采用唯一的用户信息数据库系统进行统一管理,有效解决了传统认证方式中易被攻击和截取的问题,用户只需一次登录就可以访问网络中各应用系统的相应资源.1LDAP 协议特点和目录服务概念对于操作系统和应用程序来说,首要功能便是对分布式资源的处理,如何快速准确定位分布资源、获取资源信息便成了目录服务技术必需解决的问题.目录服务是一种网络服务,它使用户和信息实体可以对标识的所有网络资源进行访问.它是指信息存储的容器,它通过系统方法为分散资源的名字、安全、位置等信息命名,服务于网络用户和信息实体.目录服务和目录是不同的,目录服务既是信息源,也是被用户访问查询的系统.通过目录服务,客户端不必查找资源的具体位置就可以快速定位资源,实现对信息的检索访问.国际上常用的目录服务技术包括之前的X.500标准和今年普遍应用的LDAP 标准.X.500协议虽然实现了复杂网络目录的服务功能,但其体统的过于复杂与对客户端处理能力要求的高标准制约了它的普及和发展.LDAP 是基于X.500标准的一个协议,全称为轻量目录访问协议.它用目录树的形式将网络环境中的各种资源分门别类,分层存储,主要用于从服务器上检索信息,达到对信息的管理和访问,是目前网络中主要的目录服务实现协议.LDAP 最大的优势在于它能够在大多数的协议层上进行可分式运行,是跨平台、跨标准的协议.LDAP 可以在计算机平台上轻松地创建数据连接,获得客户端程序,实现对数据分布规模的灵活扩充.相比于用表格描述传统数据,LDAP 的扩展性更强,他的结构类似于面向对象的概念,信息以目录树的形式组织.由于LDAP 自身所具备的高效查询、树状组织模式、大规模部署框架、灵活的访问控制等明显优势,使其成为目录信息的标准协议并广泛地应用于信息的管理和检索中,许多公司都支持该协议并推出了自己的产品.2基于LDAP 的身份认证系统的设计与实现2.1身份认证系统的设计理念统一身份认证的设计理念是在管理系统上只用唯一的认证服务平台汇总各应用系统自身的认证模块,各应用系统不需再次输入信息内容,利用基于LDAP 的统一身份认证目录服务系统研究与设计王青峰,丁增鑫,余波(天津军事交通学院教育技术中心,天津300161)摘要:本文介绍了LDAP 协议和目录服务的基本概念,通过对LDAP 自身特点的分析研究,提出了基于LDAP 协议的统一身份认证平台的设计理念和实现方法.并根据统一身份认证原理进行目录树的架构设计和单点登录设计,解决了传统认证方式过于复杂的缺点,有效实现了基于LDAP 系统的统一授权有效管理,实现平台集成下系统资源的信息共享.并将该用户统一身份认证管理系统应用于信息资源管理与信息服务平台中.关键词:目录服务系统;LDAP ;统一身份认证;安全控制;单点登录;认证服务平台中图分类号:TP399文献标识码:A文章编号:1673-260X (2012)03-0096-0396--同一平台,只需通过统一认证服务系统的调用接口,即可实现资源共享,确定用户身份.这就是我们通常所说的单点登录功能.它的基本原理是在客户端访问统一认证服务系统时只需进行一次用户身份验证,便可以实现用户对所有平台对接下的信息资源进行无缝连接,而不需进行重复身份验证.客户端通过统一的认证服务平台访问其管辖范围内的应用系统,在首次访问时认证平台将对登陆的用户信息进行验证并返回与用户对应的唯一认证标记,他将跟随用户访问平台下的各个应用系统.在其后的再次访问过程中,系统只需将标记在统一认证服务平台中进行验证便可实现用户对个应用系统资源的无缝访问.因为统一身份认证目录是基于LDAP的,LDAP目录服务器负责存放管理用户基本信息和访问权,并对其进行验证.LDAP支持多种访问验证的特点使得系统登录不仅支持用户名/密码基本认证,还支持IP认证,以便高级客户群可以更方便的检索各系统资源.统一身份认证服务的实现避免了因管理权限分布广泛导致的管理风险和安全隐患.通过管理系统上的统一认证服务平台,各应用系统只需一次输入信息资料便可实现资源共享,在系统的发展过程中必须提供统一的接口以应对系统资源的持续增加.许多系统在资源定义中包括管理权限、从属结构和组织名称差别较大,造成应用系统的兼容性差,但由于LDAP是跨平台的系统,可以接纳来自第三方不同平台的局域网或广域网的应用系统,并可以担任新系统身份认证模块的角色将其纳入原有体系,实现无缝对接.2.2LDAP统一身份认证的研究与实现2.2.1统一身份系统工作流程描述(1)客户端通过用户名/密码登录向系统发出认证请求;(2)服务器对用户信息进行验证后返回认证标记;(3)用户通过统一身份认证平台向应用系统传送标记并发出服务请求;(4)应用系统接收请求信息后将标记传回服务器;(5)认证平台验证成功后授权应用系统执行命令;(6)应用系统处理指令后将处理结果返回给客户端.但统一身份认证可以同时存在两个以上的认证服务器,认证服务器之间通过标准通讯协议来交换认证信息便可实现高级别的单点登录.具体工作流程如图所示:2.2.2LDAP目录服务器安装配置首先是目录服务器的安装,按照linux源码安装的步骤编译Berkeley DB数据库并编辑/etc/ld. so.conf文件,并安装OPENLDAP软件.其次是etc/openldap目录下的slapd.conf和ldap.conf文件,用来设置服务端和客户端的配置.服务端配置主要包括定义后台数据库、设置数据库管理员的用户名/密码、设置schema模式及指定数据库文件所在的目录等,然后方可启动OPENLDAP服务.OpenLDAP服务正常启动后,就可以通过LDAP图形管理工具对条目信息录入、ldif文件数据导入、删除及信息搜索等进行管理.当然也可以通过命令方式来操作完成.2.2.3目录树存储结构设计LDAP中目录有关系数据库中表的记录的条目组成是按树状结构组织存储的,条目是DN的属性集合,轻量目录访问协议中规定了区别名的存取方式、命名方法、搜索及复制方法等.目录树的各节点用dc、ou、cn等代表不同概念关键字连接,dc用来表示域名的部分;ou代表类似于文件系统中的组织单元,可以存储其他信息对象;uid和cn分别代表用户ID和公共名称;dn是文件系统中每个对象的唯一辨别名;rdn即文件系统中的相对辨别名.2.2.4统一身份认证平台的实现统一身份认证系统是基于B/S应用系统的通过LDAP服务器、WEB服务器和浏览器进行资源整合,通过后台使用LDAP目录数据库对访问客户端的信息进行对比验证以及为已建立身份信息的97--用户指定可连接资源与应用系统,实现对用户信息的统一管理.系统利用WEB与LDAP目录服务器的连接,实现了用户通过WEB访问指定资源信息.在实现过程中,系统采用缓存技术提高了系统性能并实现了单点登录认证.通过LDAP目录的分布设计来进行负载均衡提高了认证平台的安全性和稳定性.认证平台组织结构采用表现层、逻辑层和数据访问层三层架构设计.表现层通过逻辑层发挥作用,逻辑层定义数据的操作规则,因此可以调用数据库访问层.系统功能通过这种层层调用的方式来实现.三层架构设计维护了系统的稳定性能够和扩展性,当某一层需要修改或更新时可以局部化解决,减少了维护成本,提高了工作效率.表现层是人机交互的场所,时用户与应用系统的唯一接口,及人们通常看到的包含各个应用系统的操作界面.表示层设计基于ASP.NET技术,通过管理登录网页界面保证页面风格的统一简洁.表现层将从图形接口接收的用户信息传送给控制器,经过标记认证后返回到用户图形界面上.网页布局和比例的合理布局成就了视觉上的层次感,母页技术的应用不但减轻了设计人员的负担,还可以在多个网页中显示通用内容,为客户端提供了清晰简洁的操作界面,帮助用户快速高效的完成各项操作.逻辑层是系统中最重要的部分,它决定了认证服务系统功能的实现.在该层的设计中要围绕用户所需的各项应用系统来制造组件.根据目录树已经建立的信息系统和用户需求将客户端对象列为统一组织结构和用户两类,前者负责收集和管理组织结构相关信息并提供与客户端相连的唯一接口,后者则主要负责建立组织用户在各应用系统的模型并管理用户的信息.两者作为表现层与数据库的中转站实现对信息的操作处理.数据访问层通过处理用户名、密码与服务器名生成字符串,利用SqlConnection类实现方法实现对数据的连接,为整个系统提供数据源.数据访问层根据逻辑层的处理结果对大量数据信息进行层层筛选,为逻辑层提供所需的数据.数据库表主要由部门信息表、角色信息表、单位信息表、用户信息表、对象关系信息表组成,将处理数据对应到数据库中的各个关系表实现数据的统一管理.3结语随着信息化建设的不断发展和基础设施的不断升级,LDAP身份认证系统广泛应用于Web应用系统的开发中来.政府、学校、商业等多个领域相机开发出自己的网络应用系统以提高工作效率,使多个应用系统在统一用户信息基础上进行一次身份认证,实现对资源的共享利用.基于LDAP的统一身份认证目录服务系统采用目录树形式存储客户端信息,对读写和浏览方式进行了优化,使用户能够便捷地访问和使用这些共享资源,减少了冗余数据,有效避免了各个应用系统进行独立认证所造成的重复开发.———————————————————参考文献:〔1〕晁爱农,李翔,等.LDAP的研究及其在统一身份认证系统中的应用[J].计算机应用,2008(6).〔2〕李仁发,蒋云霞,等.基于LDAP的目录服务分析与实践[J].湘潭矿业学院学报,2002(4).〔3〕谭胜兰.基于LDAP技术的校园网统一身份认证系统的设计与实现[J].东莞理工学院,2009(3).〔4〕钟新革.公共图书馆异构检索与用户统一管理平台的实现[J].图书馆杂志,2006(8).〔5〕Gerald Carter.LDAP Systerm Administration, O'Reilly,2003.〔6〕Wahl M,Howes T.Light Weight Directory Ac-cess Protocol(v3)[S].RFC2251,1997.98 --。
LDAP在校园网统一身份认证中的研究
LA DP的体 系结 构由四种基本模型 组成 ,信息模 型描述
摘 要 : 文简要介绍 了 LA 协议 以及 LA 本 DP D P的 四种基本 模型 , 阐述 了统 一身份认证 的思想, 并把 LA D P应用到校 园网统
一
身份认证系统 中。
关键词 :D P 统一身份认证; LA ; 目录服务; 中鉴权 集 中图分类号 : P 1 T32 文献标识码 : A 文章编号 : 6 1 4 9一 2 1 )一 0 8 0 1 7 — 72 (0 0i 08 — 3
LA 的信息表示方 式, DP 命名模型描述 LA DP的数据如何组织, 功能模 型描述 LA DP的数据 操作访 问方式 ,安全模 型描述
LA D P的安全机制瑚。 2 1信息模型 . LA D P信息模型定义 能够在 目录 中存储 的数据类 型和基 本 的信息单位。 LA 在 DP中信息 以树状方式组织, 基本数据单
现, 它基于 X 5 0目录服务 标准, .0 但较之 简单且可 以根 据需
要进行定制 。
元是条 目(nr) ety—— 即关于对 象的信息集 合, 而每 个条 目
~
R s a c f L A i a p s N t o k U i i d d n i y h t e t c t o e e r h o D P n C m u e w r n f e I e t t u h n i a i n
刘 冰 -刘邦桂 z
Li Bi g Li B g i u n u an gu
身份认证中基于LDAP的统一目录服务的研究与实现
18 2
福
建 电
脑
20 0 8年第 3期
身份认证 中基 于 L A D P的统一 目录服务 的研 究与实现
付 云侠 .薛 田良
(三峡 大 学 电气 信 息 学院 湖 北 宜 昌 4 3L A D P轻 型 目录协议 的一些基础知识 , 出了我校数 字化校 园建设 中在 身份认证 方面支持 用户大量 提
客户机和 L A D P服 务 器 问 的 通信 过 程 和 信 息 格 式 。 D P服 务 器 全 。T LA L常 用 作 S S A L的 一 种 安 全 扩 展 机 制 。S In S与 S, 在 服 务 端 I监 听 。 到客 户 机 的 请 求 后 , 立 连 接 , 始 会 话 。 : 1 收 建 开 在 L A D P协 议 的关 系如 图 l所 示 会 话 过 程 的 每个 步 骤 , 客 户 机 的 每 个 请 求 , 务 器 都 有 相 应 的 3 校 园 信 息化 建 设 中 身 份认 证 中 目录服 务 的 设 计 与 实 现 对 服 . 应 答 信 息 。 D P 目录 服务 器 支 持 分 布 式 的 目录 服 务 。 目录 结 31目录 服务 的设 计 LA 在 . 构较为庞大时. 可使 用 多 个 服 务 器 分 别 存 放 目 录 的不 同部 分 , 目 选择 L A D P作 为 整个 数 字 化 校 园 身 份 信 息 的 中 心 .可 以利 录服 务 器 间 通过 指 针 相 连 用LA D P清 晰 的 目录 结 构 存 放 学 校 的 组 织 结 构 、 员 信 息 、 人 资源
L A D P是 对 X 5 o的 目录协 议 的移 植 .D P的 基 本 协 议 模 型 . o LA 在使 用 S S A L验 证 时 .由 于 S S A L是 一 个 可 扩 展 的 认 证 框 遵 循 Cs模 式 . L A l n 提 交 符 合 L A / 由 D PCi t e D P协 议 的 目录 服 务 架 , 面 向连 接 的 协议 提 供 了认 证 机 制 I 面 向 连 接 的 协议 被 看 为 3 1 。 请 求 。 用 编 程 接 I ( P 1 过 T P I 议 将 目录 访 问 操作 和参 作 是 轮 廓 的一 部 分 。 就 是 说 每 个 轮 廓 是 协 议 的扩 展 。 应 :A I 1 通 C/ P协 也 允许 协 议 数传送给 L A D P服 务 器(a d。 L A s p ) D P服 务 器 直 接 与 目录 连 接 。 和 S S l A L协 同 工 作 。 某 个 协 议 如 果 要 使 用 S S 它 必 须 添 加 一 A L. 并 将结 果 返 回给 客 户 端应 用I 1 - Z ' I 4 个命令来识别认证机制和实现认 证交互。另外在 S S A L中可 以 LA D P协 议 基 于 面 向 连接 的 T P协 议 实 现 .定 义 了 L A 选 择 在 服 务器 和 客 户 端 之 问 建 立 一 条 加 密 通 道 以 保证 数据 的安 C D P
LDAP构建校园网统一身份认证论文:基于LDAP构建校园网统一身份认证系统
LDAP构建校园网统一身份认证论文:基于LDAP构建校园网统一身份认证系统摘要:随着校园网应用服务的不断增多,统一身份认证成为必然的需求。
本文介绍了LDAP的相关概念,并提出了基于LDAP和Web Service的校园网统一身份认证系统架构。
关键字:统一身份认证目录服务LDAP中图分类号:TP393.08文献标识码:A 文章编号:1007-9416(2011)05-0137-021、引言随着网络信息技术的不断发展,校园网服务极大的满足了高校中教工、学生的办公、教学及学习的需要。
但是,由于各种应用系统建设的时间顺序不同,难以统一规划,平台架构各不相同,由此产生出信息孤岛,为了使用这些服务,同一个用户必须申请和记忆多套帐号和密码。
这不仅繁琐而且容易出现密码丢失,帐号泄密等安全问题。
同时,对于系统管理员而言,要不断维护这些系统中重复的账户。
为了解决以上资源集成管理和登录带来的种种问题,针对校园网平台中统一身份认证的研究应运而生。
要实现统一身份认证,核心是实现校园网内各系统的用户数据和用户权限的统一管理。
基于LDAP的目录服务为此提供了一个可行的解决方案。
2、LDAP基本概念2.1目录服务目录服务对于网络的作用就像黄页对电话系统的作用一样。
目录服务将有关现实世界中的事物(如人、计算机、打印机等等)的信息存储为具有描述性属性的对象。
人们可以使用该服务按名称查找对象或者像使用黄页一样,可使用它们查找服务。
目录作为目录服务的核心,本质上也是一个数据库。
与常用的关系数据库不同,目录采用树状的层次结构,其中存储的对象信息在用户面前表现为一个有序的整体, 在一定程度上简化了网络信息和资源的集中管理。
2.2 LDAP目录协议LDAP(轻量级目录访问协议)作为一种正式的IETF标准,是X.500目录服务技术中目录访问协议(DAP)的一个子集。
LDAP是目录服务在TCP/IP上的实现,它基于X.500目录服务标准,但较之简单且可以根据需要定制。
LDAP的研究与在校园网统一身份认证中的应用
本文由flydr贡献第9卷2期第2004 年4 月株洲师范高等专科学校学报J OU RNAL O F ZHU ZHOU T EACH ERS COLL E GEVol. 9 No . 2 Apr. 2004LDA P 的研究与在校园网统一身份认证中的应用陈,杨贯中莉①( 湖南大学软件学院,长沙410082)摘要: 简要介绍了LDAP 协议以及LDAP 的四种基本模型,阐述了统一身份认证的思想,并将LDAP 应用到校园网统一身份认证系统中.关键词:LDAP ; 统一身份认证; 目录服务中图分类号: TP312文献标识码:A文章编号:1009 - 1432 ( 2004) 02 - 0048 - 03( Software School , Hunan University , Changsha , Hunan 410082 , China) Abstract : The article briefly int roduces Lightweight Directory Access Protocol and it s four basic models and pus2network uniform identity aut hentication. expatiates on uniform identity aut hentication. It also discusses how to apply LDAP to t he system of cam2 Key words :LDAP ;uniform identity aut hentication ;directory serviceLDAP 的英文全称是Lightweight Directory Access Protocol , 即轻量级目录访问协议, 简称为LDAP.LDAP 技术发展得很快, 在企业系统范围内实现LDAP , 可使运行在几乎所有计算机平台上的任何应用程序从LDAP 目录中获取信息. LDAP 目录服务技术成为许多新型技术实现信息存储、管理和查询的首选方案. 基于LDAP 的校园网统一身份认证系统, 利用分布式的目录信息树结构,对用户身份信息和系统控制信息进行有效组织和管理,可提供高效、安全的目录访问.1LDAP 简介LDAP 是一个运行在TCP/ IP 上的目录访问协议,是基于X. 500 协议标准的, 但它比X. 500简单且可根据需要定制. 与X. 500 不同,LDAP 支持TCP/ IP 协议, 这对访问Internet 是必须的.LDAP 的核心规范在RFC 中都有定义. [ 1 ]LDAP 服务器是用来处理查询和更新LDAP目录的. 严格地说,LDAP 根本不是数据库而是用来访问存储在LDAP 目录中的信息的协议. LDAP 协议的第三个版本LDAP V3 不仅仅作为X. 500 的简化版出现, 同时提供了许多X. 500 所不具有的特性, 使LDAP 协议功能更完备, 更具有实用性. [ 2 ]2统一身份认证的思想统一身份认证的主要思想是由一个全校范围内唯一的认证服务系统接管应用各自的认证模块,各应用只需要遵循统一认证服务调用接口,即可实现用户身份的认证过程. 至于用户身份信息、密码的存储及在网络上传输的安全性, 由身份认证服务提供的安全认证协议来保证. LDAP 通过SSL/ TL S 认证机制来保护数据的完整性和私密3. 4 安全模型LDAP 的安全模型主要是基于绑定操作的,绑定操作的不同使得安全机制有所不同. [ 3 ] 一般有下述三种: ( 1) 无认证. 这种方法只在没有数据安全问题且不涉及访问控制权限的时候才能使用. ( 2 ) 基本认证. 当使用LDAP 的基本安全认证时,客户进程通过网络向服务进程发送一个分辨名( DN ) 和口令来标识自己. 服务进程检查客户进程发送的分辨名( DN ) 和密码是否与目录中存储的分辨名( DN ) 和密码相匹配,如果匹配则认为通过了认证; (3) SASL 认证. 即LDAP 提供的在SSL 和TL S 安全通道基础上进行的身份认证, 包括数字证书的认证.性. 校园网中所有的用户数据在LDAP 服务器中被统一管理,所有的应用程序通过网络访问同一个用户数据库, 数据的管理和安全保证放在LDAP 服务器上进行统一的维护.3LDAP 四种基本模型LDAP 的体系结构由四种基本模型组成: 信息模型描述LDAP 的信息表示方式, 命名模型描述LDAP 的数据如何组织, 功能模型描述LDAP 的数据操作访问方式, 安全模型描述LDAP 的安全机制.3. 1 信息模型LDAP 信息模型定义能够在目录中存储的数4LDAP 在校园网统一身份认证中的应用为实现校园网用户身份的统一认证, 本系统开发选择OPENLDAP 软件, 它是一个开放源码的免费软件,其中包括一个跨平台的轻量级目录访问服务器SLAPD ( 8 ) , 它支持LDAP V3 协议, 还包括主从备份服务器和数据库管理工具等.据类型和基本的信息单位. 在LDAP 中信息以树状方式组织,基本数据单元是条目( ent ry) ———即关于对象的信息集合,而每个条目由属性构成,属性中存储属性值. 通常, 条目中的信息说明真实世界的对象,比如一个人、、部门服务器、打印机等等,它们与组织中的真实对象相符合.4. 1 LDAP 自定义模式模式( Schema ) 是一个按相似性原则进行分组的对象类的集合. 模式中定义了属性类型和对象类. 每个在统一身份认证信息库中有合法身份的人, 对应着LDAP 目录信息树中的一个节点. 节点的属性包括这个人的身份信息以及一些控制信息. 目录设计的目标就是决定如何将这些节点组织成一个结构合理的目录信息树.Person 的LDAP 对象类以及一组该对象类可用的RFC2758 文档中定义了一个名为InetOrg2493. 2 命名模型LDAP 中的命名模型, 即LDAP 中的条目定位方式. 在LDAP 中每个条目均有自己的DN (Distinguished Name , 标识名) 和RDN ( RelativeDistinguished Name ,相对标识名) . DN 是该条目在整个树中的唯一名称标识,RDN 是条目在父节点下的唯一名称标识,如同文件系统中,带路径的文件名就是DN ,文件名就是RDN.3. 3 功能模型我们需要对目录树中的信息进行访问,LDAP 功能模型说明了能够使用LDAP 协议对目属性. 这些属性都是目录服务中经常要用到的信InetOrgPerson 对象类中已有的属性所能表示的录执行某些操作. 在LDAP 中共有四类操作( 共10 种) : ( 1) 查询类操作,如搜索、比较;( 2) 更新类操作,如添加条目、删除条目、修改息. 针对校园网统一身份认证系统的实际应用, 信息很难直接用标准模式中定义的属性来表示.因此系统中需引入自定义模式, 因为它能够恰当地描述系统的需求,并具有很好的可扩展性. 自定义模式的方法是在配置文件slapd. conf 的全局定入新的模式文件newschema. schema. 义部分加入:include ~/ newschema. schema , 即引条目、修改条目名; ( 3) 认证类操作,如绑定、解绑定;( 4) 其它操作,如放弃和扩展操作.除扩展操作,另外9 种是LDAP 标准操作.4. 2 系统结构设计统一身份认证系统的设计和实现需要涉及身份认证、访问控制、加密、通信以及数据库等多项[2 ] 技术. 具体分析了校园网应用的情况后, 笔者认为下面的结构可以建立校园网的统一身份认证系统见图1.个到若干个LDAP 从目录服务器, 以本地化地响应各种应用对LDAP 的操作, 从目录服务器的数据由主目录服务器自动复制而来. 使用统一身份认证服务, 把通常由多个管理员在许多应用之间进行的管理工作整合到一个管理控制台之中, 形成了一个集成化高、灵活性强、又较为安全的环境. 统一身份认证服务使各种应用能够使用所有受支持的身份认证方法; 提供单点进行所有身份认证尝试, 单点登录方法允许用户仅需登录一次即可访问其经过授权的多种应用,并可检测到并阻止暴力攻击,从而可以提高整体安全性和用户的工作效率.5结语目前,LDAP 已应用在北京大学、大连理工大图1基于LDAP 的统一身份认证系统校园的软件和应用系统是基于Web , 需灵活的体系结构,校园网络应用系统采用三层体系结构. 物理结构采用分布式实施模式,但逻辑上采用统一用户管理. [ 4 ] 网络应用系统整体分为三个层次,分别为: ( 1) 表现层: 门户服务将为校园网系统建立会员制,使能基于角色进行访问控制; ( 2 ) 应用层: 是关键性业务应用服务器, 它是校园网关键性应用逻辑的“容器”; (3) 数据层: 包括数据库服务器、LDAP 目录服务器、份识别服务器、子证书服务器. 身电LDAP 目录服务器和身份识别服务器将提供统一学、清华大学以及上海交大等高校的校园网络用户管理系统中,将LDAP 目录服务的特点引入到校园网统一身份认证中, 便于用户登录校园网络系统,及管理员维护系统. 随着校园网的各种应用不断涌现和进一步发展, 基于LDAP 的校园网统一身份认证系统会有很好的发展前景, 是未来实现数字化校园的基础.参考文献:[ 1 ] M. Wahl , T. Howes ,S. Kille. Lightweight Directory Ac2 cess Protocol ( V3 ) [ S ] . IETF RFC 2251. Network Working Group . 1997. [ 2 ] Michael Donnelly. An Introduction to LDAP[ EB/ OL ] . - 04 - 28. [ 3 ] 宋志强,陈怀楚,沈锡臣. 校园网统一身份认证结构及用户管理. 电子证书管理是基于LDAP 目录服务器和X. 509 标准颁发、管理和恢复用户的电子证书. 在统一身份认证方面, 采用基于LDAP 的目录管理是目前Internet 应用身份认证事实上的标准. 本系统中,在数据层配置LDAP 服务器作为主目录服务器,用于用户数据的统一管理和更新. 为进一步提高系统的效率,在应用层的主机上,配置一基于此结构的应用漫游的实现[J ] , 计算机工程与应用,2002.[4 ] 张慧宇,等. LDAP 研究及其在CA 中的应用, 计算机应用研究[J ] ,2002 , ( 10) .50http :/ / dapman. org/ rticles/ intro2to2ldap . ht ’ ml. 2000( 责任编辑: 易华容英文编校: 文爱军)。
基于LDAP的Web统一身份认证的研究与实现
!
Q: !
T 技 术
SCI ENCL & 1 ECHN t O OG Y NF I OR MA 1I ON
基于 L DAP的 We b统一身份认证 的研 究与实现
李 新华 ( 长沙 电力职 业技术 学院 信 息工程系 4 1 1 1 ) 03 摘 要 :结 合实例介 绍了基于 L DAP的统一身 份认证 系统 的完整实现过 程。 系统采 用 L DAP储用 户认证信息 ,可以构建复 杂的分布式 目 录结 构 。在 LD A P 存储模 型的 基础 上,系统 实现 了统一 的用 户认证 信息 管理 系统 ,可 以通过 统 一的界 面和逻辑 对用 户认证 信息进 行集 中管理 。 . 关键词 :LDAP J NDI 统 一身份认 证服务 中图分类号 :T 3 3 0 P 9 .8 文献标识码 :A 1概 述 . 接 口) 来访 问 L A 目录服 务 。J I 系结 vc D P ND 体 i e参数值 返 回到应 用 系统 。 所 J I 第二步 : 认证成 功 ,“ 若 统一 身份 认证服 随 着高 校 、政府 、企业 信息 化建设 的不 构如 图 1 示 。 ND 的优 点是对 客 户提 供 了
应用 系统 t kt i e参数值 就是应 用 系统刚 才收 c
用统 一的 信息数 据库 存储用 户信 息 ,有 效的 型以 及基于 L A D P的用 户认证 信息管理 系统 就可 以按 照sri 参 数提供 的链接 地址 返 回 ev c e
用 系统独立 进行 用户认证 所造 成重复开 发1 统 ” 2 1 。 ,该 系统 的功 能 是建 立 一个能 够 服务 于 所有应 用 系统 的统 一的 身份认 证系统 ,每 个 2 基于L A 的用户认证 信息 管理系统 的 应 用 系统 都通过 该 认证 系统 来进 行用 户的 身 DP 份 认证 ,而不再 需 要开发 各 自独 立的用 户认 结构 统 目录 服 务 是 一 个 特 殊 的 逻 辑 信 息 数 据 证 模务 ”
基于LDAP的校园统一身份认证系统的研究与实现
基于LDAP的校园统一身份认证系统的研究与实现刘斌【摘要】With the rapid development of campus network applications,more and more applications are applied in campus network. In order to ensure user data consistency and security between various applications while managing routine maintenance easily, there is an urgent need of support for the unified identity authentication of campus network system. Based on the features of the LDAP protocol,this paper mainly probes into the low coupling converge of multiple application systems and the LDAP authentication server. We have done some research and explorations on the unified identity authentication of campus network system with some cases and papers.At last,we propose some solutions which is combined with real cases.%随着各种校园网应用的快速发展.越来越多的应用系统运行在校园网上。
为了确保各个应用系统之间用户数据的一致性和用户信息存放的安全性,同时降低管理人员日常维护的难度,校园网需要支持统一身份认证的要求越来越迫切。
基于LDAP的统一用户管理系统的研究与实现
份 的认 证并且 对 不 同身 份所 拥 有 的 角 色进 行授 权 。 一 个 通 用 的实 现 方法 是 在每 一 个 应 用 系统 中建 立 独 立 的 身 份 认 证 模 块 和 访 问控 制模块 , 用 独立 的认 证 、 制 机 制 在 各 自的 身 份 认 使 控 证 文件 或数 据库 系 统 中进行 认 证 、 制 。这 种 方 法 虽然 简 单 可 控 行, 但却 有 着极 大 的弊端 , 用 户 的 角度 来 看 , 户需 记 忆 多 个 从 用 账户 和 口令 , 但 繁 琐 而 且 容 易 遗 忘 。从 开发 的 角度 来 看 , 不 要 为 每一 个用 户 在每 个应 用 系统 中都 建 立 相 关 的 账户 , 为 每 一 并
一
地对 组织 与 多级部 门相 关 信 息 进 行 关 联配 置。b 用 户 管理 。 .
对 用户 个人 信息 进 行统 一 管理 , 括 用 户 账 号 、 包 密码 、 真实 姓 名 性别 等 信息 。e 角色 权 限管理 。权 限将 所有 应用 程序 中各 个 管 . 理模 块 最基 本 的功 能 权限作 为 元 素进 行 设 计 与 安排 , 角 色 管 在 理 中对 角色进 行 权 限 的配置 组合 。 . d 授权 管 理 。为用 户提 供 相 关 资源 权限 的机 制 , 根 据该 用 户 所 担 任角 色 的 相 关权 限 进 行 并 配置 。 . e 安全 认证 管 理 。提 供 安 全 认 证 相 关 接 口 , 现 电 子 政 实
务的 C A证 书 的签发 机 构 职 能 与 证 书 库 管理 , 足 电子 政 务 的 满
有效 性 、 密性 、 整性 、 可抵 赖 性与 审 查 能 力 五个 方 面 的 安 机 完 不
LDAP在校园网统一身份认证中的应用的开题报告
LDAP在校园网统一身份认证中的应用的开题报告一、选题背景随着网络技术的快速发展,多数高校已经建立了自己的校园网络系统。
在这个网络系统中,用户数量庞大、权限管理复杂,在这种情况下,需要一个可靠有效的身份认证系统,保证网络系统的安全性、完整性和可用性。
传统的单点登录系统已经不够用,需要采用更加完善的校园网统一身份认证系统。
二、选题意义校园网统一身份认证系统是一种全新的网络安全管理方式,能够实现用户统一认证和权限管理,保证多种应用系统的信息安全。
LDAP(Lightweight Directory Access Protocol)是一种轻量级目录访问协议,可以用于校园网统一身份认证系统中的身份认证和用户信息管理。
LDAP有很多优点,如数据的分布式存储、易于跨平台实现、高性能等,适合作为校园网统一身份认证系统的身份认证协议。
本文将介绍LDAP的基础知识,探讨LDAP在校园网统一身份认证系统的应用。
三、选题内容1. LDAP的基础知识介绍LDAP的基础概念、协议、数据模型、访问控制等知识点,为后文的系统设计提供基础。
2. 校园网统一身份认证系统的需求分析对校园网系统中的数据、用户、安全等方面进行分析,确定校园网统一身份认证系统的功能需求。
3. LDAP在校园网统一身份认证系统的应用介绍LDAP在校园网统一身份认证系统的实现方式、实现过程和相关技术细节。
4. 系统实现与测试基于已有的需求分析和LDAP应用,实现校园网统一身份认证系统,并进行系统测试,评估系统的安全性、稳定性和性能。
四、研究方法1. 实证分析:通过对目前已有的高校的校园网系统进行实证分析,了解不同校园网系统的特点、发展趋势。
2. 设计实现:采用面向对象分析、设计思想,进行系统设计和代码实现。
3. 系统测试:通过模拟实际网络环境进行系统测试,对系统的安全性、稳定性和性能进行评估。
五、论文结构第一章:选题背景和选题意义。
第二章:相关技术和前沿研究。
基于LDAP的企业级统一用户身份管理系统的设计与实现
图 2 系统总体结构
21 2 LDAP 元数据模型设计 LDA P 元数据模型定义目录存储的对象
类 、属性类 、属性语法等类型 ,通过定义存储在 不同条目下对象类型之间的关系 ,构成完整目 录元数据模型也被称为 Schema[4] 。元数据模 型保存在 LDIF 文件中 ,数据按照 Schema 的定 义赋值 。用户在应用时 ,可以根据需要自定义 Schema 。
目录服务中存放有企业完整的用户身份信 息 ,部分应用系统中也存有对应的信息 。如果 目录中用户身份信息发生更改 ,相关应用系统 中的用户信息也需修改 。相反 ,应用系统中只 有具有权威属性的应用系统中身份信息发生改 变后 ,目录中的身份信息才进行修改 。如图 5 所示
图 5 统一身份管理逻辑图
3. 2. 2 目录与应用系统的集成 应用系统通过认证和授权模块管理和维护
(4) 若用户存在且有访问门户权限 ,身份认 证管理服务器认证成功 ,并将用户重定向回访 问控制所代理的企业门户 ;
(5) 访问控制与身份认证管理协商 ,确认认
© 1994-2010 China Academic Journal Electronic Publishing House. All rights reserved.
1 企业级用户身份管理要素
企业级用户身份管理主要由三要素组成 : 统一目录服务 、统一安全组件 、统一生命周期管 理 。如图 1 所示 。 11 1 统一目录服务
统一目录服务着眼于如何无缝整合和共享 企业用户身份信息 ,分区域层次化存储具有属 性信息的企业用户身份 ,建立资源之间关联信 息并动态变更 ,具有高效的数据搜索性能 ,是统 一身份管理的主要支撑技术 ,提供跨平台身份
础 ,着眼于提供统一 、集中的身份信息管理 ,保 证数字身份信息的完整性 。如图 2 所示 。
基于LDAP的统一身份认证平台的研究与应用
协议 。与其他协议相 比, 它 比较 简单 , 主要是用于 I n t e r . n e t , 同时 ,它还可 以依据应用 的需求来进行扩展 以及定
制 。L D A P协 议 实 现 了 目录 服 务 在 T C P / I P上 的 的 运 行 . 这 一 点 同时 也 是 和 X . 5 0 0的 不 同之 处 。L D A P协 议 之 所
忆, 而且容 易出现密码 丢失等安全 隐患。目前 , 亟需解决 的主要 问题是 如何使校 园网用户 只拥有 一个账号 , 却可 以在 多个不 同的应用 系统 中登 录并使用 。l l _ 嘲
基于 L DA P( L i g h t we i g h t Di r e c t o r y A c c e s s P r o t o c o 1 ) 的
于L DA P协议 的统一身份认证平 台的设计 方案 和 实现方法 , 解 决了传统认证 方式过 于复杂的缺 点 , 有效 实
现 了对校 园网中用户的统一 身份 管理 、 统一身份认证 以及 网络应用资பைடு நூலகம்的统一管理 。
关键词 : 数 字化校 园; 目录服务 ; L D A P ; 统一 身份认证
、
L DAP协议 简 介
目前 主流 的 统 一 身 份 认 证 方 案 中 , 都 使 用 了 目录 服
务技术 。 作为标 准的 目录服务 技术 中的一种 。 L D A P基于
X . 5 0 0标 准 ( 也被称为 “ D A P ” 协议 ) 。 X . 5 0 0的 特 点 主 要 表
能够跨越不 同的平 台和系统 , 不依赖任何特定 的软硬件 平台; 提供 了同步 复制和分 布式服务 功能 : 数 据处理 速
基于LDAP的无线接入统一身份认证机制设计与实现
基于LDAP的无线接入统一身份认证机制设计与实现摘要对基于LDAP统一身份认证架构下的802.1x的无线接入认证整合进行研究。
提出并建立一套保障信息安全的全局身份认证管理系统,在采用RC4安全加密技术的基础上,实现基于RADIUS的无线802.1x/EAP接入认证和基于LDAP 的认证服务的整合。
实现接入用户认证管理和应用层统一身份认证用户的全局统一管理。
关键词统一身份认证;轻量级目录访问协议;802.1x;可扩展认证协议随着高校校园网络规模扩张、应用深入,存在的一些问题日益凸现,显著影响着校园信息化的发展。
建立一个能够集成校园内所有服务并且具有独立安全性的统一身份认证体系成为信息化校园建设的重要基础和安全保障。
基于认证技术的接入控制和授权机制是无线局域网最基本的安全需求。
如果不加限制的使用,将造成无线网络成为黑客和病毒的入侵薄弱环节,更加难以控制和追查。
作为全面的“深层防御”安全架构的一部分,内部基础设施的接入访问权管理将从源头上为信息安全设置一道有效的屏障。
本文的研究讨论的内容是基于LDAP统一身份认证架构下的802.1x的无线接入认证整合。
1轻量级目录访问协议LDAPLDAP(Lightweight Directory Access Protocol:轻量级目录访问协议)是由美国Michigan大学研发的一个新的目录访问协议,它是在继承了X.500标准的优点的基础上发展起来的。
LDAP不同于关系型数据库,是一种标准的目录服务技术,它为浏览和查找目录及内容读取提供了专门的优化,从LDAP服务器中读取数据比关系型数据库中读取数据快一个数量级。
2系统设计与实现统一身份认证平台是基于Sun Identity Server开发实现,提供身份管理、单点登录、认证接口和数据同步服务功能。
主要由目录服务器、服务提供接口、认证模块、管理平台和数据同步模块几部分组成。
由于LDAP缺乏对原生(Native)Radius的支持,设计采用Authentication proxy 技术方法,通过建立认证代理来完成Radius-to-LDAP认证。
基于LDAP和SOAP的校园统一身份认证系统的研究与实现
LA D P服务器是 一种 特殊 的层 次性数 据库 , 以存放任 何 可 数据 , 包括用户 信息 、 问权 限 、 用 系统 的配 置等 。L A 访 应 D P协 议数据模 型是 由 目录树 ( i c r Ifr a o re DT) Dr t y nom t nTe , I 及一些 eo i 相关概念构成的。 DT类似于文件系统 中的树 模型 , I 南根 节点和子树构成 , 一
1 引 言
随着校园网快速发展 , 对其管理提 出了更 高的要求 , 尤其是 在 网络安全方面 , 因此 , 急需建立一套适应校园 网的信息安全体 系系统 。统一身份认 证作 为 网络 安全体 系的第一道 屏障 , 提供
客户
目录服务
用户认证信息和用户授权 信息 。 统一身份认证的主要思想就是 由一个全校范 围内唯一 的认
Wi r d a o sr cin o a u ewok b ig p re tt e a p ia in a e n t ec mp s n t o k i d v l p n a i l , t g a u lc n tu t fc mp sn t r en e fc ,h p l t sb s d o a u ew r s e eo i gr p dy h o c o h
I DENT TY I
LDAP协议在数字图书馆统一身份认证系统中的应用
随着 计 算 机 网络 与 存 储 技术 的 飞速 发 展 以 及 图 书 馆信 息 化 建 设 的推 进 , 校 图 书 馆 已 基 本 建 成 了以 资 源 存 储 数 字 化 、 息 服 高 信 务 网络 化 、 业务 管 理 自动化 为 特 征 的数 字 图 书 馆服 务 平 台 。在 经 历 自动化 系 统 建设 和数 字 资 源建 设 阶段 后 , 校 图 书馆 发 生 了前 所 高 未 有 的 变化 , 藏 结 构 改变 了 、 字 资 源 丰 富 了 、 务 手 段 多元 了 、 务 空 间拓 展 了 。但 是 当读 者 面 对 图 书馆 丰 富 的 资源 和多 元化 的 馆 数 服 服 服 务 时 , 经 常觉 得 无从 下 手 , 量 的 数 字资 源 给 读 者 带来 了沉 重 的信 息 筛 选 负 担 , 经 整 合 的 多元 化 的服 务 项 目并 没 有缩 短 读 者 却 海 未 的信 息 获取 响 应 时 间 。这 时 , 给读 者带 来 一 站式 服 务 的 门户 资 源 整合 系统 就 显 得尤 为 重 要 。 能
crfa o rcs ado ibs, epa e D i c r e f i t bayp rl uhn ct n adte yO th el — e ict npoe ,n nt s asw l t APdr t yt e ga l r ot teta o ,n nl U te po t i i s h i nh L e o r o di li r aa i i h a d y
( n nNoma Unv r t Chn sa4 0 8 , ia Hu a r l i sy e i , a g 1 0 1 Ch ) h n
Absr t n t i pa r e pr sn tac :I hs pe ,w ee t a LDAP—bae u h n iain sd a t e tc to m o lf r dg tllb ai s ntod e t m o l Sa c t cu e a i de o iia ir re,i r uc he de ’ rhie t r nd t s
基于LDAP的远程教育平台统一身份认证系统的设计
第20卷第2期2009年6月广西广播电视大学学报J O U R N A L O F G U A N G X I R A D I O A N D TVU N I V E R S I T YV0L.20一N o.2Jun.2009基于LD A P的远程教育平台统一身份认证系统的设计吴振勇毛汉领(广西大学机械工程学院广西南宁530004)【摘要】基于M oodl e的远程教育平台与电大在线系统集成后。
极大的丰富了教师的教学手段,也多样化了学生学习知识的途径。
为保证各个应用系统之间用户数据的一致性及易操作性,迫切需要统一身份认证系统的支持。
本文主要介绍了L D A P协议和目录服务,提出了基于L D A P的电大在线和基于M oodl e远程教育平台的统一身份认证系统的设计方案。
【关键词】统一身份认证;LD A P;目录;M oodl e【中图分类号】G434[文献标识码】A【文章编号】1008—7656(2009)02—0024—041引言近年来,随着远程教育的不断发展,越来越多的成年人在工作之余选择了重新学习,以此来补充自己的知识储备,提高专业技能。
M oodl e在国内各教育机构中运用的越来越多,也越来越被接受,有些学校把M oodl e与校园网集成到一起使用,使其成为教育资源的一部分,方便老师和学生使用。
学校综合信息门户系统是实现对校内资源的整合,提高资源的利用效率,最大限度地满足用户特定需要的信息平台,它让最终用户能够很轻松地发布共享和查找信息,并可以根据自身要求管理相关信息,最终提供统一获取信息和发布信息的个性化服务。
但是这两个服务平台是两个分别独立的系统,后台数据库也相互独立,所以用户使用的时候就必须同时使用两个登录帐号。
若一个用户需要的资源分别放在两个系统内部,这种情况下,就需要分别登录两个系统,进行两次登录操作进入不同的平台内才能顺利的得到自己想要的资源。
这就使服务平台的使用和管理非常不便,如何使用户只拥有一个单一的帐号,一次登录之后就可以便捷地使用两个平台上的多种资源,就成了非常重要而且迫切的问题。
基于LDAP构建校园网统一身份认证系统
基于LDAP构建校园网统一身份认证系统随着社会信息化的不断深入,校园网成为高校学生、教师、工作人员进行学习、科研、管理等工作的主要通道。
传统的校园网认证方式存在着各种缺陷,例如安全性较差、管理不便等问题,因此,基于LDAP构建校园网统一身份认证系统成为当前建设校园信息化的必然趋势。
LDAP(Lightweight Driectory Access Protocol)是一种轻量级目录访问协议,它使用客户端/服务器模型,允许用户访问和维护分布式网络上的信息。
基于LDAP构建的校园网统一身份认证系统,就是将学生、教师、工作人员的身份信息存储在LDAP目录中,通过LDAP协议实现身份认证和授权的一种系统。
该系统的构建可以提供一系列优秀的属性,其中最具优势的是能够统一用户身份认证,不同应用系统只需要对接校园网统一身份认证系统即可,避免了不同系统各自造自己的认证系统,减少了不必要的工作量。
同时,该系统集中管理,更容易进行维护和管理,大幅提高了安全性和管理效率。
系统运营成本较低,易于维护,能够更好地维护和管理数字化学校的基础设施和安全系统。
通过该系统的实施,可以将学生、教师、工作人员的账号和密码进行统一管理。
同时,该系统还能够提供单点登录服务,用户在进行认证后,只需要进行一次登录,即可实现多个应用系统的访问。
该服务不仅能够提高用户体验,同时能够大幅减少用户忘记密码的情况发生。
校园网统一身份认证系统还能够为数字化校园的建设提供更多的可能,例如实现按照角色进行授权管理,将所涉及的科研项目、高端人才、学术论坛等进行精细管理,更好地服务于校园信息化发展。
可以看出,基于LDAP构建的校园网统一身份认证系统在当前数字化校园中的作用非常重要。
该系统能够较好地解决校园网安全性、管理效率和成本问题,具有较好的适用性和稳定性,在校园信息化建设中起到了不可替代的作用。
基于LDAP的校园网用户统一身份认证
与其他 目录服务共 享活动 目录信息 , 这些 目录服 务同 样支持 L A . D P 活动 目录使用 L A D P录访 问协议作 为
它与其他应 用或者 目录服务 交换信 息的手段. D P L A 已经成为 目录服务的标准 , 比 X 50D P协议更为 它 .0 A
简单 实用 一些 . coo 已经 在 E cag evr 统 Mirsf t xhn eSre 系
1 L A 协议 分析 D P
1 1 协 议模型 .
LA D P协议采 用的协议模式 是 : 一个客户端请 求 服务器代替 它执行协议操作并 把结果返 回. 在这一模
LA D P服务器的 目录组织 以“ 目” 条 为基本单 位,
结构类似树形 , 每一个条 目即是树上 的一个分 枝节点
ma F 网页 中找 到 . nR C
络多个应用资源信息以及用户对 网络应用资源 的访 问
权限等以 目录树 的形式加 以组织 存储 , 并在此基础上 提出一套统一的校园网用户身份及 网络应用资源管理 模式 , 从而实现对数字校园中用户 的统一身份管理 、 统
一
身份认证 , 中鉴权 以及网络应用资源的统一管理. 集
维普资讯
第4 5卷
增刊
厦 门 大 学 学 报 (自 然 科 学 版 )
Ju a o ime nv ri Na rl c n e o r l f a nU iesy( t a S i c ) n X t u e
Vo 5 S p 14 u
索活动 目录信息的 目录访 问协议. 由于它是基 于工业
标准的 目录服务协议 , 使用 L A D P的程序可 以发展成
便了每个用户的操作 , 提高了网络管理的能力.
基于LDAP的统一认证平台研究
s o hsp oeth sg e tsg ic n et KIca r a inf a c o P o sr ci . i o
KEYW ORDS uniid au he ia i fe t ntc ton. LDA P, CAS 。 PKI
( RBAC) i o v n e ta d e f c i e a c s o t o t a e y Ac o d n o i e t r s h u h r h s p t f r r h d a o s a c n e in n fe t c e s c n r l r t g . v s c r i g t t fa u e ,t e a t o a u o wa d t e i e f s
一
化 管理 , 而实 现资 源共 享 、 从 信息 传递 和信息 服 务 ,
提高 工作效 率 。
① 用 户 管理 : 用 户 的账 号 信 息进 行 统一 管 理 , 对
包括 真实 姓名 、 密码等 属性 。
1 L AP概 述 D
L AP( ih rcoy A cs rtc l轻 量 级 D L g t etr cesP ooo , Di 目录访 问协议 )1 一个基 于 TC /P协议 的开放 的、 [是 PI
② 角 色权 限管理 : 限将所 有应 用 程序 中各个 管 权 理模 块 最基 本 的功 能权 限作 为元 素 进行 设 计 与安 排 , 在角 色管理 中对 角色 进行权 限 的配置组 合 。
并 且 可扩 展 的 网络 协议 , X. 0 _标 准 中 的 目录访 是 5 02
⑧ 单 点登 录 ; 个 应 用单 点 登 录 , 户无 需 多 次 多 用
④ 利 用 统一 身 份 认 证 的接 口把 企 事业 的各 个应 用 系统 或信 息资源进 行 集成 。
基于LDAP的校园网统一身份认证系统的研究
较 :. 新 类 操 作 , 添 加 条 目 、 除 条 目 、 改 条 目 、 改 条 目 b更 如 删 修 修 名 . . 证 类 操 作 , 绑 定 、 绑 定 ; . 它 操 作 , 放 弃 和 扩 展 c认 . 如 解 d其 如 操 作 。除 了扩 展 操 作 , 外 9种 是 L A 另 D P的标 准 操 作 ; 展 操 作 扩 是LA D P中为 了增 加新 的 功 能 . 供 的 一 种 标 准 的 扩 展框 架 , 提 当
证 机制 . 树 中 的 唯 一 名 称 标 识 . D 是 条 目 在 父 节 点 下 的 唯 一 名 称 标 R N 校 园 网 的统 一 身 份 认 证 系 统 将 这 些 应 用 的独 立认 证 系 统 进 识 .如 同 文 件 系 统 中 ,带 路 径 的 文 件 名 就 是 D N. 文件 名 就 是 行 整合 .使 不 同应 用 在 统 一 的 用 户 资 料 基 础 上 进 行 统 一 身 份 认 RDN 。 证. 目录和 L A D P技 术 在 存 储 、 询 数 据 时 有 很 高 的 执行 效率 . 查 可 43 能 模 型 : 述 L A _功 描 D P中 的数 据 操 作 访 问 以利 用 L A D P构 建 复 杂 的 分布 式 目录 结 构 .在 目录 中存 储 各 种 我 们 需 要 对 目 录 树 中 的 信 息 进 行 访 问 .D L AP功 能 模 型 说 类 型 的 数 据 . 提 供 基 于 这些 目录 的 高 效 访 问 . 而 减 少数 据冗 明 了 能够 使 用 L A 并 从 D P协 议 对 目录 执 行 某 些 操 作 . 余 . 高 管 理 维 护 的 效 率 提 在 L A D P中共 有 四类 1 0种 操 作 :. 询 类 操 作 , a查 如搜 索 、 比 2L A 、 D P简 介 L AP是 一 个 运 行 在 T PI D C /P上 的 目录 访 问 协 议 . 基 于 X. 是 5 0协 议 标 准 的 .但 它 比 X 5 0简单 且 可 根 据 需 要 定 制 + 0 . 0 .与 X . 5 0不 同 . D P 支持 T PI 0 LA C/ P协 议 .这 对 访 问 I E N T是 必 须 T R E