用LDAP开发用户管理.docVIP

采用LDAP开发“用户管理” 总述---用户管理应用与开发 现在基于目录服务的各种网上应用越来越多。这些应用离不开一个重要协议的支持，这就是LDAP（Lightweight Directory Access Protocol）轻量级目录访问协议。 在企业范围内实现LDAP可以让运行在几乎所有计算机平台上的所有的应用程序从LDAP目录中获取信息。LDAP目录中可以存储各种类型的数据：人员信息、电子邮件地址、人力资源数据、联系人列表，等等。通过把LDAP目录作为系统集成中的一个重要环节，可以简化员工在企业内部查询信息的步骤。 就象Sybase、Oracle的数据库管理系统（DBMS）是用于处理查询和更新关系型数据库那样，LDAP服务器也是用来处理查询和更新LDAP目录的。换句话来说LDAP目录也是一种类型的数据库，但不是关系型数据库。基于LDAP服务进行用户管理，具有管理清晰、方便、容量大的特点LDAP允许你根据需要使用ACI（访问控制列表）控制对数据读和写的权限。例如，管理员可以改变所有员工的资料，而普通用户只能改变自己的资料，也可以赋予特定人员特定的权限。在民航系统中，我们就利用它来实现管理员权限的定义，赋予公司管理员很大的权限。 当然LDAP的优势有很多，这里仅仅是其中的一小部分。 目前，几乎所有的MIS系统都会用到基于用户的管理，说到用户管理的开发，如果用户量相对比较少，且人员层次关系不算复杂时用数据库开发或用文件系统开发，所出现的问题不明显，但如果出现用户量比较多，用户层次级别要求比较高，比如以消防总队人员和机构设置为例，总队下有司令部、政治部、后勤部等的领导及办事人员，司令部下有各处室领导及办事人员，总队下还有各支队，支队下又会分很多部门，这样用户很多而且层次结构要求特别高的情况下，用数据库开发用户管理就相对比较困难，因为数据库表结构没有层次结构，只有通过很多关联表相连，这样搜索某个用户速度会很慢，且容易出错。采用文件系统开发不仅会出现数据库所遇到的问题，而且安全性则得不到保证。 而运用Directory Server 运用应用程序开发用户管理，以上所碰问题即可解决。 二、开发用户管理新途径---Directory Server Iplanet Directory Server 为管理大量用户信息的企业，提供用户管理基础服务，保存各种灵活的个性化用户概况和优先选择需要，适应外联网用户的验证需要。 Directory Server的一些应用离不开一个重要协议的支持，这就是LDAP（Lightweight Directory Access Protocol）轻量级目录访问协议。 通过LDAP目录服务器为应用访问专用数据提供了统一、标准的方法。 三、采用LDAP 开发用户管理的优势 在企业范围内实现LDAP可以让运行在几乎所有计算机平台上的所有的应用程序从LDAP目录中获取信息。LDAP目录中可以存储各种类型的数据：人员信息、电子邮件地址、人力资源数据、联系人列表，等等。通过把LDAP目录作为系统集成中的一个重要环节，可以简化员工在企业内部查询信息的步骤。 就象Sybase、Oracle的数据库管理系统（DBMS）是用于处理查询和更新关系型数据库那样，LDAP服务器也是用来处理查询和更新LDAP目录的。换句话来说LDAP目录也是一种类型的数据库，但不是关系型数据库。基于LDAP服务进行用户管理，具有管理清晰、方便、容量大的特点LDAP允许你根据需要使用ACI（访问控制列表）控制对数据读和写的权限。例如，管理员可以改变所有员工的资料，而普通用户只能改变自己的资料，也可以赋予特定人员特定的权限。 在管理上，通过目录服务器，应用可以直接在目录中存储和查询配置信息，而不是从用户的客户机内读取，做到完全应用位置的独立性。 当然LDAP的优势有很多，这里仅仅是其中的一小部分。 四、运用LDAP 开发用户管理的层次结构 运用JAVA（servlet） 。。。。 。。。。。 如上图所示，系统管理员可建立总公司的成员和任意建其下属分公司机构、分公司成员。此时如需要系统管理员可对分公司加入管理员，分公司管理员只对负责本公司的人员维护，他上级用户他无权管理。 五、运用LDAP验证服务 用户管理和权限管理可以进行无缝的结合。何为“权限管理”？也就是当我们利用IE浏览器访问某个页面或处理某项业务的时候，需要通过权限认证确认有无操作此页面的权限，此时可以用Director Server 来开发“权限管理”。 权限管理具体设置思路也就是在开发过程中， 事先在要访问的页面中，放入所要的权限ID，然后把这些ID用浏览器方式通过servlet（或通过应用程序）加入到LDAP中