利用ＬＤＡＰ和ＲＡＤＩＵＳ實現(xiàn)商業(yè)企業(yè)局域網(wǎng)統(tǒng)一認(rèn)證系統(tǒng)

1、利用和實現(xiàn)商業(yè)企業(yè)局域網(wǎng)統(tǒng)一認(rèn)證系統(tǒng) 摘要隨著 網(wǎng)絡(luò) 技術(shù)的高速 發(fā)展 ，越來越多的網(wǎng)絡(luò) 應(yīng)用 系統(tǒng)在商業(yè) 企業(yè) 局域網(wǎng)中得到了普及應(yīng)用。然而如何集中的管理商業(yè)企業(yè)局域網(wǎng)中各應(yīng)用系統(tǒng)的用戶，成了每個商業(yè)企業(yè)局域網(wǎng)管理者必須面對的 問題 。本文闡述了一種利用ldap和radius服務(wù)結(jié)合的商業(yè)企業(yè)局域網(wǎng)統(tǒng)一認(rèn)證系統(tǒng)，并對其詳細(xì)設(shè)計方案及實現(xiàn)過程進(jìn)行了說明。關(guān)鍵詞統(tǒng)一認(rèn)證ldapradius隨著大型商業(yè)企業(yè)信息化的全面啟動，很多商業(yè)企業(yè)正積極的構(gòu)建各種信息化應(yīng)用的系統(tǒng)。然而，用戶在商業(yè)企業(yè)局域網(wǎng)的各個不同的應(yīng)用系統(tǒng)中又不同的權(quán)限，因此用戶會在每個系統(tǒng)中獲得一個獨立的賬號。這樣會給企業(yè)網(wǎng)絡(luò)管理者和用

2、戶帶來諸多不便，因此建設(shè)整個企業(yè)的以目錄服務(wù)為核心的中央認(rèn)證系統(tǒng)和用戶管理系統(tǒng)，將完成為網(wǎng)絡(luò)中的所有應(yīng)用、硬件和網(wǎng)絡(luò)資源提供統(tǒng)一的身份管理，從而可以在在很大程度上方便了每個用戶的操作,同時也提高了整個網(wǎng)絡(luò)管理的能力。利用輕型目錄訪問協(xié)議ldap,可以解決商業(yè)企業(yè)局域網(wǎng)統(tǒng)一認(rèn)證的問題。但是很多應(yīng)用直接使用ldap認(rèn)證比較困難。因此，利用radius（遠(yuǎn)程用戶撥號認(rèn)證系統(tǒng)）這樣被廣泛支持的認(rèn)證協(xié)議和ldap相結(jié)合的方式，可以滿足大多數(shù)應(yīng)用系統(tǒng)的統(tǒng)一認(rèn)證需求。一、系統(tǒng)功能設(shè)計系統(tǒng)功能如圖所示。ldap采用開源的openldap來實現(xiàn)。通過建立一個ldap主目錄服務(wù)作為整個認(rèn)證系統(tǒng)的核心，同時建立一個

3、從屬ldap目錄服務(wù)保證系統(tǒng)的安全性以及實現(xiàn)一定程度的性能負(fù)載均衡，通過目錄同步保證數(shù)據(jù)的一致性。建立一套基于web的ldap管理系統(tǒng)，實現(xiàn)對ldap的管理。對于部分可以直接采用ldap服務(wù)進(jìn)行認(rèn)證的系統(tǒng)，例如郵件系統(tǒng)、垃圾郵件網(wǎng)關(guān)、shell登陸等直接通過ldap提供統(tǒng)一認(rèn)證。其它的不能直接使用ldap服務(wù)進(jìn)行統(tǒng)一認(rèn)證的系統(tǒng)，如各種web應(yīng)用系統(tǒng)、企業(yè)網(wǎng)上網(wǎng)認(rèn)證系統(tǒng)、遠(yuǎn)程訪問系統(tǒng)等。系統(tǒng)利用radius對ldap的直接訪問，獲得用戶認(rèn)證及權(quán)限等信息，再為這些系統(tǒng)提過認(rèn)證服務(wù)。二、系統(tǒng)的實現(xiàn)1.目錄結(jié)構(gòu)設(shè)計根據(jù)商業(yè)企業(yè)局域網(wǎng)應(yīng)用的具體情況和ldap服務(wù)器的特點和功能,設(shè)計一個ldap服務(wù)器的目

4、錄結(jié)構(gòu)。在這個ldap目錄結(jié)構(gòu)中,dc=cdut,dc=edu,dc=cn作為整棵樹的根dn。其中包括用戶子樹、部門子樹、系統(tǒng)子樹和證書子樹。用戶(ou=user)子樹中存放統(tǒng)一認(rèn)證系統(tǒng)的所有用戶信息,包括用戶的姓名、密碼、性別、單位等 內(nèi)容 ,另外還要包括用戶權(quán)限列表。部門(o=org)子樹,存放的是按照一般部門的分級結(jié)構(gòu)的部門,直觀反映了部門間的上下級關(guān)系。部門包括的屬性有名稱、辦公電話、部門性質(zhì)等。不再有子部門的部門子樹下應(yīng)包含屬于該系的人員列表,這里每個人只是一個索引,指向人員子樹下具體的某個人員。資源(ou=res)子樹下主要是分為商業(yè)企業(yè)局域網(wǎng)內(nèi)使用統(tǒng)一認(rèn)證的各個應(yīng)用系統(tǒng)，這棵子樹

5、控制著訪問的權(quán)限。例如銷售系統(tǒng)、物流系統(tǒng)等。每個系統(tǒng)的各個實現(xiàn)功能都可以設(shè)定某一用戶組的來控制訪問權(quán)限,其中控制上層樹的用戶組也可以控制下層樹所需要的權(quán)限。每個系統(tǒng)的管理員就可以控制屬于該系統(tǒng)子樹下所有的權(quán)限,充分將每個系統(tǒng)地管理權(quán)限分散到各個管理員手中。證書(ou=cert)子樹下主要是存放整個系統(tǒng)中所有與身份認(rèn)證的票據(jù)相關(guān)的內(nèi)容,比如用戶證書、數(shù)字簽名等。2.ldap和radius的配置在用作ldap的服務(wù)器上安裝openldap，并按照3.1的構(gòu)建目錄樹。然后在用在radius服務(wù)器上安裝完成freeradius后需要將ldap服務(wù)器的相關(guān)信息寫入。編輯radiusd.conf，加入以下

6、配置。認(rèn)證系統(tǒng)就可以正常運行了。ldapserver=“”identity=“cn=root，dc=cdut，dc=edu，dc=cnw”password=passwordbasedn=“dc=cdut，dc=edu，dc=cn”3.應(yīng)用系統(tǒng)使用統(tǒng)一認(rèn)證很多通用系統(tǒng)都可以直接使用radius提供的認(rèn)證服務(wù)，如大部分的上網(wǎng)認(rèn)證系統(tǒng)、802.1x認(rèn)證系統(tǒng)等。而商業(yè)企業(yè)局域網(wǎng)中很多網(wǎng)絡(luò)應(yīng)用系統(tǒng)是采用web應(yīng)用程序的方式開發(fā)實現(xiàn)的。對于不同的web應(yīng)用程序可以采用不同的功能函數(shù)模塊來使用radius提供的認(rèn)證功能。以php為例，要使用radius認(rèn)證功能需要在編譯安裝時執(zhí)行./configureena

7、ble-radius，在編譯時加入對radius的支持，這樣就可以在php中使用radius支持函數(shù)，進(jìn)行認(rèn)證操作了。三、結(jié)束語ldap目錄服務(wù)數(shù)據(jù)以目錄的方式存儲,并且可以建立索引,因此ldap的讀取速度大大快于經(jīng)過一般的關(guān)系型數(shù)據(jù)庫,查詢效率也更高。所以對于一個大型的統(tǒng)一認(rèn)證系統(tǒng)來說它更高效。同時ldap本身為安全認(rèn)證設(shè)計，提供了更高的安全性，通過和radius的結(jié)合，能夠更方便的為各種 應(yīng)用 系統(tǒng)和平臺提供統(tǒng)一認(rèn)證服務(wù)，從而保證了系統(tǒng)的安全性和通用性，同時也提高了系統(tǒng)的效率，因此非常適合在大型商業(yè) 企業(yè) 局域網(wǎng)中使用。 參考 文獻(xiàn) :1付云俠薛田良:身份認(rèn)證中基于ldap的統(tǒng)一目錄服務(wù)的 研究 與實現(xiàn).福建電腦,2008(3)2胡勝豐蔣平:基于ldap的企業(yè)統(tǒng)一資源管理研究.微 計算 機應(yīng)用,2008(3)3劉永亮張衛(wèi)紅周駿:基于ldap的校園網(wǎng)統(tǒng)一身份