校园统一目录服务系统设计与实现.docVIP

校园统一目录服务系统设计与实现 　　摘 要：本文从校园网的实际需求和目录服务的特点着手,分析了构建目录服务系统的重要性，并实现了校园统一目录服务系统。 　　关键词：轻量级目录访问协议 身份认证 目录服务 　　中图分类号：TP399文献标识码：A 　　文章编号：1673-8454（2007）11-0037-03 　　 　　一、引言 　　 　　在网络迅猛发展的今天，如何构建数字化校园，如何对网络进行高效智能化管理是当前的一个研究和开发热点。目录服务以其支持分布式环境、安全可靠、灵活方便、反应快速等优势正从为用户提供信息查找、黄页服务等走向网络管理的舞台，并逐渐成为下一代智能化网络管理的核心部分。目录服务系统是数字化校园建设的基础，它为各种应用提供身份认证及授权服务，它是构建校园统一身份认证平台的必要条件。 　　 　　二、LDAP协议综述 　　 　　1．LDAP基本内容 　　LDAP的英文全称是Lightweight Directory Access Protocol,即轻量级目录访问协议。LDAP是基于X.500标准的,访问 X.500 目录需要某种协议,例如:目录访问协议 (DAP)。然而,DAP 需要大量的系统资源和支持机制来处理复杂的协议。LDAP 仅通过使用原始 X.500目录存取协议 (DAP) 的功能子集，而减少了所需的系统资源消耗,而且可以根据需要定制。此外,与X.500不同,LDAP支持TCP/IP,这对访问Internet是必须的。 　　我们现在主要应用的是LDAP v3版本。因为LDAP v3 在 LDAP v2 的基础上增加了一些新的特性，这些新特性满足了许多新的需求：支持模式发现 ；引用和持续；可扩展性；使用ＵＮＩＣＯＤＥ支持国际化；使用ＳＡＳＬ （简单认证安全层）进行强度认证；使用ＴＬＳ（安全传输层）和ＳＳＬ（安全套接层）协议进行完整性和安全保护。[1] 　　2.LDAP协议模型 　　LDAP协议基于以下四种模型： 　　（1）信息模型 　　在LDAP中，信息以树状方式组织，树状信息中的基本数据单元是条目，而每个条目由属性构成，属性中存储有属性值；LDAP中的信息模式，类似于面向对象的概念，在LDAP中，每个条目必须属于某个或多个对象类（Object Class），每个对象类由多个属性类型组成，每个属性类型有所对应的语法和匹配规则；对象类和属性类型的定义均可以使用继承的概念。每个条目创建时，必须定义所属的对象类，必须提供对象类中的必选属性类型的属性值。 　　（2）命名模型 　　LDAP 命名模型定义用户如何组织和引用数据。LDAP 命名模型提供的灵活性，使用户可以用一种易于管理的方式把条目放入目录。例如，可以创建一个条目，用来保存描述组织中人的信息的所有条目。 以目录节点为基本组成单元，LDAP 目录中的所有目录节点构成了目录信息树。 　　（3）功能模型 　　在LDAP中共有四类操作：查询类操作，如搜索、比较；更新类操作，如添加条目、删除条目、修改条目、修改条目名；认证类操作，如绑定、解绑定；其它操作，如放弃和扩展操作。除了扩展操作，其他操作都是LDAP的标准操作；扩展操作是LDAP中为了增加新的功能，提供的一种标准的扩展框架，当前已经成为LDAP标准的扩展操作。 　　（4）安全模型 　　LDAP中的安全模型主要通过身份认证、安全通道和访问控制来实现。 　　身份认证：LDAP提供三种认证机制，即匿名、基本认证和SASL认证。匿名认证即不对用户进行认证，该方法仅对完全公开的方式适用；基本认证均是通过用户名和密码进行身份识别，又分为简单密码和摘要密码认证；SASL认证即LDAP提供的在SSL和TLS安全通道基础上进行的身份认证，包括数字证书的认证。 　　 　　三、统一目录服务系统的设计实现 　　 　　1.开发环境的搭建 　　首先我们选择性能比较稳定的RedHat Linux AS3作为目录服务器的操作系统，数据库系统利用Oracle公司的BerkeleyDB 4.5版，依据OpenLDAP v3这个Internet的公认标准，采用java、php等高级语言进行开发。然后在服务器上安装OpenLDAP、BerkeleyDB 4.5等相关的软件，我们采用编译安装的方式进行安装。因为不同的Linux操作系统，OpenLDAP的安装方式也不尽相同。所以我们必须按照官方提供的技术文档《Installing and configuring OpenLDAP for RedHat Enterprise Linux3》来安装并进行相关的配置，否则会出现问题的。 　　2．目录信息基本库的建立 　　（1）建立基本信息数据模型 　　为了实现优化查询和统一用户管理，我