LDAP协议研究及.doc

LDAP协议研究及 校园网统一认证系统下的目录服务设计及web管理 第一章 引言 1．1 项目背景 对于一些计算机资源，只有经过授权的合法用户才能访问，而如何正确鉴别用户的真实身份是问题的关键。用户认证，也称为用户鉴别，就是用户向服务系统以一种安全的方式提交自己的身份证明，由服务系统确认用户的身份是否真实。 在传统的校园网络应用环境下，存在网络服务的多样性，以及资源的分散性等特点。以交大为例，就建立了多个信息系统及各种网络资源，为学校领导、各部门及全校教师、学生提供多种服务，如ftp、mail服务，教务管理系统，选课系统，人事管理系统等等。今后还会不断增加新的应用系统，用户数量也会不断增加。这些服务器分散在校园各地。这就带来一些问题。一是上网的信息资源越多，受黑客攻击的可能性越大（尤其是一些敏感数据）；二是用户在每一个服务器上都有其帐户和口令，无论每人的多个帐户和口令是否相同，当面对多个系统时都要输入相应的帐号、口令等信息。 这样做不仅繁琐，不利于用户的高效管理，更造成应用系统数据库重复开发带来的网络资源和人力浪费，同时还会带来信息安全的诸多问题。因此，信息系统急需有一个统一的、具有较高安全控制的身份验证系统，以减少数据冗余、保证数据安全和提高管理质量，便利用户操作。 开发本系统的目的之一就是要解决不同的网络应用系统用户名和口令不统一的问题，期望提供一种方便、安全的口令认证方法，理想的情况是所有的应用服务器使用同一套用户数据库，实现统一认证，用户只需使用同一个帐户/口令，就可对所有服务器进行权限以内的访问。目录服务是实现该理想的途径。如果各种应用系统都遵从同一种目录访问标准，能与同一目录服务器交互，则可将其认帐户、口令、权限包括资料等信息保管于该目录服务器，从而实现统一认证。 1．2 目录 1．2．1 什么是目录 提起目录，人们会想起unix的树状目录，目录中包含文件和子目录，目录和文件的安全由ACL（Access Control List）控制。其实unix的树状目录就是这里说的目录一种，文件系统中的全称路径就是后文提到的DN名（Distinguished Name），相对路径名对应的就是RDN(Relative Distinguished Name ) 。 在Uinx系统中，所有的资源都是以文件的形式来管理的，例如打印机、串口、用户和网卡等等。如果增添设备，那么一定也会以文件的形式来管理。这就给了我们一种启示，把unix文件系统的目录进行推广，将计算机网络中的资源以一致的目录形式来管理，作为一种网络协议来规范目录访问协议。 目录可以理解为一种协议，也可认为是一种特殊的数据库，因为目录服务器往往挂接了后台数据库，它保存数据供客户机查询，这与数据库的数据存取功能是相似的，它的特殊之处，在后文分析LDAP协议时可以看到。 1．2．2 目录服务的用途 简单的说，目录是用于保存资源信息的。很常见的一种方式就是保存用户帐户、口令用于验证，而且是统一认证的主要解决途径。目录服务还常用于保存单位、部门、个人的公共信息，如电话号码、电子邮件、通信地址等，以及保存各种软硬件资源的信息，如应用服务器的IP、端口号、位置等。 1．3 目录访问协议 1．3．1 x.500 DAP X.500是由ITU推荐的一个标准，于1988年发布。它全面描述了目录服务的工作模型，包括目录服务器的目录结构、命名方法、搜索机制以及用于客户机与访问器通信的协议DAP（Directory Access Protocal）。然而在实际应用的过程中，X.500存在不少障碍。X.500目录是多用途的、特点丰富的，但也是很复杂的实体。DAP这种应用层协议是严格遵照复杂的OSI七层协议模型制定的，不仅使操作具有较高的系统开销，而且因为要得到其下六层协议的全面支持，因此在许多小系统上无法使用。而TCP/IP协议的普及使得DAP协议越来越不适应需要，毕竟TCP/IP对于internet访问是必需的。在这种情况下,LDAP协议应运而生，它是一个较为简单的、消耗更少资源的协议。1．3．2 LDAP LDAP由密歇根大学开发，最初是作为一个简化的访问X.500目录服务的协议提出的；然而经过发展，LDAP不仅成为通过TCP/IP网络访问目录服务的事实标准，而且也成了一个和操作系统独立的目录。 1．4 LDAP 目录 1．4．1 LDAP 目录的优势和特性 LDAP目录具有以下特性：开放性、分布性、可伸缩性和跨平台性 易于定制 可以方便地提供不同的LDAP目录服务，其策略很容易实现。 快速搜索 LDAP目录有很强地过滤器功能，并且搜索速度很快。 安全特性 管理员可以根据需要使用ACL对目录强制使用安全特性，以便保护目录信息不被非法获取和篡改。 平台