基于LDAPSIP服务器PAM认证解决方案.docVIP

基于LDAPSIP服务器PAM认证解决方案 　　摘要：SIP协议是应用层会话控制协议，具有简单、可扩展和分布式的特点。LDAP目录作为一种非关系型数据库，可以简化查询的步骤，PAM就是在应用程序和下层的认证模块之间加入一个抽象层，使得上层应用和底层认证相互独立。文章提出了通过LDAP目录与PAM结合来实现SIP服务器的认证方案，并利用pam_ldap模块实现了SIP服务器的LDAP认证。 　　关键词：SIP；PAM；LINUX；LDAP 　　 　　0引言 　　 　　SIP(Session Inidation Protoc01)是1ETF制定的面向Intemet会议和电话的信令协议。该协议是一个基于文本的、用于多方多媒体通信的应用层控制协议，独立于底层传输协议TCP／UDP／SCTP，用于建立、修改和终止IP网上的双方或多方多媒体会话。SIP系统由用户代理、SIP代理服务器、重定向服务器、SIP注册服务器等4部分组成。在设计SIP服务器中，对于SIP用户代理的认证和管理是一个非常重要的问题。目前，通用的解决办法是在SIP代理服务器端采用数据库来专门存储用户数据。SIP服务器需要DBMS的支持，因此需要对每一个数据库服务器进行单独的设计，难以与现有用户资料库进行整合，从而增大了管理成本。在基于SIP的远程医疗系统中，为了解决这一问题，提出了LDAP来进行认证的机制。 　　 　　1 LDAP目录数据库与PAM认证模块及其系统框架 　　 　　LDAP(Lightweight Directory Access Protoc01)――轻量级目录访问协议是一种基于X．500标准的、跨平台的目录服务，得到了业界的广泛认可。LDAP目录是一种非关系型数据库，可以存储各种类型的数据：电子邮件地址、邮件路由信息、人力资源数据、公用密匙、联系人列表等。把LDAP目录作为系统集成中的一个重要环节，可以简化查询，甚至连主要的数据源都可以放在任何地方。 　　PAM(P1uggable Authentication Modules．)――可插入式认证模块，最初是Sun公司为其Solaris操作系统开发的安全认证架构，该模块采用一种用于将各种底层认证模块与上层应用无缝集成的安全机制。PAM的核心就是在应用程序和下层的认证模块之间加入一个抽象层，使得上层应用独立于底层认证。这种与上层平台和算法的独立性使得我们可以部署各种各样的安全机制，而不需要修改任何应用层代码。该模块具有认证管理、账号管理、会话管理和密码管理等功能。PAM通过提供一些DLL和API，将应用程序和所需的认证方式分开，使管理员能够灵活选择认证方式而无需更改应用程序。 　　 　　本系统主要由SIP用户代理、SIP服务器和LDAP服务器等3部分组成。SIP服务器具有双重功能，一是通过SIP协议实现SIP客户端间的通信，二是实现LDAP客户端与LDAP服务器端的通信(执行实际的认证工作)。该系统的工作机制如图l所示。 　　 　　2认证系统实现方案 　　 　　2．1配置LDAP服务器 　　LDAP服务器用于存储用户的各种信息，是LDAP认证系统中的重要元素。OpenLDAP是最通用的一种LDAP服务器软件。openLDAP服务器的配置文件如下： 　　(1)建立Linux用户账号 　　使用UltraEdit建立一个文本文件，文件名称myusers．1ist内容如下： 　　userl 1111111 　　user2 1111111 　　l 　　userl0 1111111 　　注意：第一个字段为使用者名称；第二个字段为预设密码，中间必须用空格隔开。然后使用文本编辑建立另外一个文本文件，文件名称add_users．sh，内容如下： 　　#t／bin／bash 　　for i jn’awk‘{print$1)t users．Iist、do 　　useradd$i 　　grep＼users．1ist I awkf．print$2)。Ipasswd-stdin$i 　　done 　　建立Linux用户账号： 　　#chmod 775 add-usem．sh 　　#．／add-usem．sh 　　(2)修改缺省配置文件：／etc／openladp／slapd．conf 　　database baogxm 　　suffixdc=fulingshiyuan，dc=com”一条记录所属区域 　　rootdn“cn=Admin，dc=fulingshiyuan，dc=com” 　　rootpw 6666666＃定义LDAP根管理员的密码 　　(3)将原有Linux账号转为LDIF文件 　　原有Linux服务器上有userl-userl0这些使用者