[摘 要] 随着网络技术的高速发展,越来越多的网络应用系统在商业企业局域网中得到了普及应用。然而如何集中的管理商业企业局域网中各应用系统的用户,成了每个商业企业局域网管理者必须面对的问题。本文阐述了一种利用ldap和radius服务结合的商业企业局域网统一认证系统,并对其详细设计方案及实现过程进行了说明。
[关键词] 统一认证 ldap radius
随着大型商业企业信息化的全面启动,很多商业企业正积极的构建各种信息化应用的系统。然而,用户在商业企业局域网的各个不同的应用系统中又不同的权限,因此用户会在每个系统中获得一个独立的账号。这样会给企业网络管理者和用户带来诸多不便,因此建设整个企业的以目录服务为核心的中央认证系统和用户管理系统,将完成为网络中的所有应用、硬件和网络资源提供统一的身份管理,从而可以在在很大程度上方便了每个用户的操作,同时也提高了整个网络管理的能力。利用轻型目录访问协议ldap,可以解决商业企业局域网统一认证的问题。但是很多应用直接使用ldap认证比较困难。因此,利用radius(远程用户拨号认证系统)这样被广泛支持的认证协议和ldap相结合的方式,可以满足大多数应用系统的统一认证需求。
一、系统功能设计
系统功能如图所示。
ldap采用开源的open ldap来实现。通过建立一个ldap主目录服务作为整个认证系统的核心,同时建立一个从属ldap目录服务保证系统的安全性以及实现一定程度的性能负载均衡,通过目录同步保证数据的一致性。建立一套基于web的ldap管理系统,实现对ldap的管理。对于部分可以直接采用ldap服务进行认证的系统,例如邮件系统、垃圾邮件网关、shell登陆等直接通过ldap提供统一认证。其它的不能直接使用ldap服务进行统一认证的系统,如各种web应用系统、企业网上网认证系统、远程访问系统等。系统利用radius对ldap的直接访问,获得用户认证及权限等信息,再为这些系统提过认证服务。
二、系统的实现
1.目录结构设计
根据商业企业局域网应用的具体情况和ldap服务器的特点和功能, 设计一个ldap服务器的目录结构。在这个ldap目录结构中, dc=cdut,dc=edu,dc=cn 作为整棵树的根dn。其中包括用户子树、部门子树、系统子树和证书子树。用户(ou=user)子树中存放统一认证系统的所有用户信息, 包括用户的姓名、密码、性别、单位等内容, 另外还要包括用户权限列表。部门(o=org)子树, 存放的是按照一般部门的分级结构的部门, 直观反映了部门间的上下级关系。部门包括的属性有名称、办公电话、部门性质等。不再有子部门的部门子树下应包含属于该系的人员列表, 这里每个人只是一个索引, 指向人员子树下具体的某个人员。资源(ou=res)子树下主要是分为商业企业局域网内使用统一认证的各个应用系统,这棵子树控制着访问的权限。例如销售系统、物流系统等。每个系统的各个实现功能都可以设定某一用户组的来控制访问权限, 其中控制上层树的用户组也可以控制下层树所需要的权限。每个系统的管理员就可以控制属于该系统子树下所有的权限, 充分将每个系统地管理权限分散到各个管理员手中。证书(ou=cert)子树下主要是存放整个系统中所有与身份认证的票据相关的内容, 比如用户证书、数字签名等。
和radius的配置
在用作ldap的服务器上安装open ldap,并按照3.1的构建目录树。然后在用在radius服务器上安装完成free radius后需要将ldap服务器的相关信息写入。编辑,加入以下配置。认证系统就可以正常运行了。
ldap {
server =“ ”
identity =“cn=root,dc=cdut,dc=edu,dc=cnw”
password = password
basedn = “dc=cdut,dc=edu,dc=cn”
}
3.应用系统使用统一认证
很多通用系统都可以直接使用radius提供的认证服务,如大部分的上网认证系统、802.1x认证系统等。而商业企业局域网中很多网络应用系统是采用web应用程序的方式开发实现的。对于不同的web应用程序可以采用不同的功能函数模块来使用radius提供的认证功能。以php为例,要使用radius认证功能需要在编译安装时执行./configure—enable-radius,在编译时加入对radius的支持,这样就可以在php中使用radius支持函数,进行认证操作了。
三、结束语
ldap目录服务数据以目录的方式存储, 并且可以建立索引,因此ldap的读取速度大大快于经过一般的关系型数据库, 查询效率也更高。所以对于一个大型的统一认证系统来说它更高效。同时ldap本身为安全认证设计,提供了更高的安全性,通过和radius的结合,能够更方便的为各种应用系统和平台提供统一认证服务,从而保证了系统的安全性和通用性,同时也提高了系统的效率,因此非常适合在大型商业企业局域网中使用。
参考文献:
[1]付云侠 薛田良:身份认证中基于ldap 的统一目录服务的研究与实现.福建电脑,2008(3)
[2]胡胜丰 蒋 平:基于ldap的企业统一资源管理研究.微计算机应用,2008(3)
[3]刘永亮 张卫红 周 骏:基于ldap的校园网统一身份认证的设计.计算机与数字工程,2008(4)
[4]阳富民 刘军平:统一认证技术研究与实现.计算机工程与科学,2007(2)
[5]袁善鹏 杨 波:基于linux的ldap应用环境研究与目录服务实现.信息技术与信息化,2006(5)
本文链接:http://www.qk112.com/lwfw/jsjlw/jsjwl/239674.html
