基于LDAPWeb认证系统在数字化校园中应用.docVIP

基于LDAPWeb认证系统在数字化校园中应用 　　摘要：论述了LDAP协议的工作过程。将LDAP技术应用到数字化校园统一身份认证系统中，这一方法能够把各种应用系统的用户认证结合在一起，提高了用户管理和访问的安全性与可靠性，实现了用户单点登录的访问控制。 关键词：LDAP；Web认证；数字化校园；应用 中图分类号：TP319文献标识码：A文章编号：1672-7800（2013）006-0056-02 作者简介：李海军（1975-），男，河西学院信息技术中心讲师，研究方向为计算机网络教学及校园网络建设；卢清萍（1976-），女，河西学院外国语学院实验师，研究方向为语音教学实验。 0引言 随着信息技术及计算机网络技术的深入发展，学校数字化校园已成为学校基础建设的目标之一。数字化校园中集成了各个业务职能部门的多个子系统，各子系统有自己的身份证认证机构，且相互独立，身份认证信息不统一，无法进行统一身份认证。采用LDAP技术可以解决不同子系统统一身份认证的问题，用户可以通过一个身份认证平台完成整个数字化校园系统的认证过程。 1LDAP协议与数据模型分析 1.1技术简介 LDAP即目录访问协议，英文全称是Lightweight Directory Access Protocol，支持TCP/IP协议，面向连接，采用树状数据结构，很好地反映了结构中的组织关系，能够存储认证信息，实现了目录服务访问，有效地提供了查询和认证接口，为网络应用程序提供认证服务。 LDAP协议支持TCP/IP，并且具有很好的跨平台性，适合于不同信息子系统的整合。LDAP提供了强大的安全模型，有较高的安全性，根据用户的具体需求设计具有针对性的ACL，用户对数据的读写操作权限通过ACL控制。用户的认证信息保存在LDAP数据库中，用户信息集中管理，通过对服务器的安全监控，实现了系统数据的安全性要求。 1.2认证过程 用户使用认证服务系统注册的用户名和密码登录子系统，子系统响应认证请求，将认证信息和子系统标识转发给LDAP服务器，LDAP服务器查询子系统注册数据库，比对审核用户信息，用户信息通过合法性认证，由LDAP服务器响应子系统，通过用户认证。用户登录成功后，由子系统建立一个会话，用户通过此会话持续访问子系统，会话将保持至退出或超时断开，本次认证结束[1]。认证过程如图1所示。 2数字化校园统一身份认证系统设计与实现 2.1统一身份认证模型设计 数字化校园分为OA办公、教务管理、学工管理、人力资源、图书管理等子系统。校园网用户向子系统提出身份认证请求，子系统通过认证接口向LDAP发出验证登录请求，LDAP响应子系统的登录请求，子系统响应用户身份认证，如图2所示。 2.2统一身份认证架构设计 根据应用情况设计统一身份认证系统架构如图3所示。 2.3LDAP目录信息树结构设计 LDAP需要设计符合本系统的信息树结构，设计过程中必须遵循Uid的唯一性，树中用户结点信息不能重复。Uid在运行中没有自动递增特性，可以在根下增加一个hxuid字段，字段类型为整数型，该字段服务于新加入用户Uid。认证系统成功添加用户后，字段值加1。由此可以解决Uid的唯一性，同时实现了自动递增的功能。根据上述设计目标，可设计出如图 4 所示的目录信息树结构。 LDAP认证的实现有两种方式，一种是LDAP服务器仅完成用户名和密码认证，权限控制由各自的应用子系统完成；另一种方式是在LDAP服务器中写入应用子系统的控制身份认证规则，由LDAP服务器完成身份认证和权限控制，这样会增加LDAP服务器的认证工作负荷，将简单的查询服务复杂化。针对两种实现方式的优缺点，可以在LDAP目录树中添加一个hxuservice字段，字段类型为数组型，用来存放用户权限内的应用服务名称和具体操作权限。例如邮件帐号认证服务，一个用户开通邮件服务功能后，若该用户登录邮件系统，LDAP会在用户的条目中搜索hxuservice=email_user，如果该用户为管理员帐号，条件表示为 hxuservice=email_admin；反之，如果没有搜索到相关的条件，则表明该帐号没有相关的服务权限。hxuservice字段同时实现了用户身份的认证和用户权限的控制。 2.4Web 服务器的身份认证设计 Apache Web服务器能够实现Web应用子系统的LDAP统一身份认证。其认证模块由三部分组成，分别是认证类型模块、认证支持模块及认证授权模块。系统使用认证授权模块和认证支持模块。认证授权模块实现了认证功能和授权功能。认证支持模块提供了标准LDAP库功能，增加了一个LDAP连接池和一个LDAP共享内存缓冲区，通过连接LDA