基于LDAP的單點(diǎn)登錄方案的設(shè)計與實現(xiàn)

1、頁腳下載后可刪除，如有侵權(quán)請告知刪除！基于 LDAP的單點(diǎn)登錄方案的設(shè)計與實現(xiàn)1 工程背景隨著信息技術(shù)和網(wǎng)絡(luò)技術(shù)的廣泛普及，政府、 公司、學(xué)校等公共系統(tǒng)的內(nèi)部出現(xiàn)了各種各樣的應(yīng)用管理系統(tǒng)。這些管理系統(tǒng)中最重要的一類就是基于B/S 構(gòu)造的 Web 應(yīng)用系統(tǒng)，如電子郵件效勞等。這些應(yīng)用一般通過瀏覽器訪問Web 效勞器，效勞器以頁面表單的方式要求用戶輸入登錄參數(shù)，用戶輸入并提交后，由Web 效勞器的腳本程序進(jìn)展身份驗證。近年來， Web 應(yīng)用的使用進(jìn)入成熟階段，提供的信息和效勞也越來越多。成功地管理和保護(hù) Web 應(yīng)用的信息和資源已經(jīng)成為一個越來越復(fù)雜的挑戰(zhàn)。身份認(rèn)證管理是保護(hù)Web信息和資源的核心

2、局部。一般的身份認(rèn)證方法是在每個應(yīng)用系統(tǒng)中保存各自的用戶信息并建立獨(dú)立的身份驗證模塊，使用獨(dú)立的認(rèn)證機(jī)制在各自的身份認(rèn)證模塊中認(rèn)證。這種傳統(tǒng)的身份認(rèn)證方法將用戶的“網(wǎng)絡(luò)身份分割成許多獨(dú)立的碎片，這些碎片構(gòu)成了繁多的一對一的客戶效勞關(guān)系， 導(dǎo)致了更多的平安風(fēng)險。同時如果用戶要頻繁訪問不同系統(tǒng)，每進(jìn)入一個系統(tǒng)就要登錄一次，這無疑會消耗大量的時間，并且用戶需要記憶大量的賬號信息。因此， 基于平安和效率的考慮，信息系統(tǒng)急需有一個統(tǒng)一的、具有較高平安控制的身份驗證和授權(quán)系統(tǒng)，以保證數(shù)據(jù)平安和用戶操作方便。在本文中，我設(shè)計并實現(xiàn)了一個基于LDAP的單點(diǎn)登錄系統(tǒng)，它能夠很好地解決用戶身份驗證和授權(quán)的問題。2

3、 單點(diǎn)登錄系統(tǒng)介紹單點(diǎn)登錄系統(tǒng)(Single Sign-On ，SSO) ，是指當(dāng)用戶訪問多個需要認(rèn)證的系統(tǒng)應(yīng)用時，只需要初始進(jìn)展一次登錄和身份認(rèn)證，就可以訪問具有權(quán)限的任何系統(tǒng)，而不需要再次登錄，后續(xù)系統(tǒng)會自動獲取用戶信息，從而識別出用戶的身份。這樣， 無論用戶要訪問多少個不同系統(tǒng)間的關(guān)聯(lián)應(yīng)用，他只需要進(jìn)展一次登錄，而不需要用戶重復(fù)輸入認(rèn)證信息。單點(diǎn)登錄技術(shù)可以簡化用戶訪問多種系統(tǒng)應(yīng)用，防止用戶由于需要記憶眾多賬號信息而出現(xiàn)的遺忘，而且可以減少口令等重要信息在網(wǎng)絡(luò)傳播時被截獲的危險。本系統(tǒng)中采用LDAP目錄來保存用戶信息。LDAP(LightweightDirectoryAccessProt

4、ocol) 即為輕量級目錄訪問協(xié)議，它基于標(biāo)準(zhǔn)，但是簡單了很多，而且可以根據(jù)需要定制。LDAP 目錄中可以存儲各種類型的數(shù)據(jù)，包括電子郵件地址、郵件路由信息、聯(lián)系人列表等。通過把LDAP 目錄作為系統(tǒng)集成中的一個重要環(huán)節(jié)，可以簡化員工在企業(yè)內(nèi)部查詢信息的步驟，甚至是主要的數(shù)據(jù)源都可以放在任何地方。LDAP 協(xié)議是跨平臺和標(biāo)準(zhǔn)的協(xié)議，因此應(yīng)用程序就不用為LDAP目錄放在什么樣的效勞器上操心了。3 傳統(tǒng)的用戶登錄模式傳統(tǒng)的認(rèn)證機(jī)制是基于用戶名和密碼的，每一個系統(tǒng)都建立有自己的用戶信息數(shù)據(jù)庫，用以驗證用戶的身份。用戶要訪問不同的系統(tǒng)就需要在各個系統(tǒng)中建立相應(yīng)的帳號。當(dāng)其要訪問一個系統(tǒng)中的資源時，用戶

5、首先要登錄進(jìn)入該系統(tǒng)，如果他同時要訪問處于多個系統(tǒng)中的資源，用戶就不得不按照各個系統(tǒng)的要求分別登錄進(jìn)入相應(yīng)的系統(tǒng)。近年來， 為了實現(xiàn)企業(yè)的信息化、電子商務(wù)和其他需求，出現(xiàn)了越來越多的網(wǎng)絡(luò)應(yīng)用系統(tǒng)， 在這種傳統(tǒng)的用戶登錄模式下，這些企業(yè)的網(wǎng)絡(luò)用戶和系統(tǒng)管理員不得不面對這些現(xiàn)實：(1)用戶需要使用其中的任何一個應(yīng)用的時候都需要做一次身份認(rèn)證；頁腳下載后可刪除，如有侵權(quán)請告知刪除！(2)系統(tǒng)管理員需要對每一個系統(tǒng)設(shè)置一種單獨(dú)的平安策略，而且需要為每個系統(tǒng)中的用戶單獨(dú)授權(quán)以保證他們不能訪問沒有被授權(quán)訪問的網(wǎng)絡(luò)資源。傳統(tǒng)的用戶登錄過程的概念構(gòu)造如下圖：圖傳統(tǒng)的用戶登錄過程圖說明了傳統(tǒng)的用戶登錄模式的登錄

6、過程的原理：網(wǎng)絡(luò)用戶登錄不同的應(yīng)用系統(tǒng)時，需要輸入相應(yīng)的用戶信息，不同的應(yīng)用系統(tǒng)用不同的認(rèn)證策略對用戶進(jìn)展認(rèn)證。4 單點(diǎn)登錄模式單點(diǎn)登錄， 就是用戶只需要在網(wǎng)絡(luò)中主動地進(jìn)展一次身份認(rèn)證，然后就可以訪問其被授權(quán)使用的所有處在網(wǎng)絡(luò)上的資源而不需要再參與其它應(yīng)用的身份認(rèn)證過程。這些效勞資源可能處在不同的計算機(jī)環(huán)境中，用戶以后的身份認(rèn)證是系統(tǒng)自動完成的。首先，單點(diǎn)登錄系統(tǒng)是采用了結(jié)合用戶電子身份標(biāo)識的新的身份認(rèn)證機(jī)制，這種新的身份認(rèn)證機(jī)制可大大提高系統(tǒng)的平安性。其次， 單點(diǎn)登錄系統(tǒng)把原來分散的用戶管理，集中起來了。 各個系統(tǒng)之間依靠相互授權(quán)的方式來進(jìn)展用戶身份的自動認(rèn)證。用戶的賬號信息通過統(tǒng)一的電子認(rèn)

7、證進(jìn)展管理管理的，管理員只需要修改統(tǒng)一的用戶認(rèn)證信息就可以關(guān)聯(lián)各個系統(tǒng)中的用戶。由此可見單點(diǎn)登錄系統(tǒng)的優(yōu)點(diǎn)有：(1)提高用戶的工作效率和帶來良好的用戶體驗。用戶不再需要每訪問一個應(yīng)用資源就進(jìn)展一次身份認(rèn)證過程，從而使用戶有更多的時間從事有益的工作，同時也可以把用戶從繁雜的帳戶信息記憶中解脫出來。(2)更好的網(wǎng)絡(luò)平安性。系統(tǒng)中使用的身份認(rèn)證機(jī)制提供了加密等多種方法，可以防止大局部的網(wǎng)絡(luò)攻擊。同時由于新的身份認(rèn)證機(jī)制使用戶的賬號信息記憶量減少，使系統(tǒng)由于用戶機(jī)密信息的泄露而導(dǎo)致平安事故出現(xiàn)的時機(jī)大大減少。單點(diǎn)登錄過程的概念構(gòu)造如下圖。頁腳下載后可刪除，如有侵權(quán)請告知刪除！圖單點(diǎn)登錄過程圖說明了單點(diǎn)

8、登錄系統(tǒng)模式下用戶登錄過程的原理：網(wǎng)絡(luò)用戶訪問不同的應(yīng)用系統(tǒng)時，只需在統(tǒng)一認(rèn)證入口(即單點(diǎn)登錄中的單點(diǎn))登錄，取得身份認(rèn)證系統(tǒng)的身份標(biāo)識，從而到達(dá)了單點(diǎn)登錄，多點(diǎn)應(yīng)用的目的。目前 SSO的模型主要有三種:基于經(jīng)紀(jì)人 (Broker)的 SSO方案；基于代理 (Agent)的 SSO方案；基于網(wǎng)關(guān) (Gateway)的 SSO方案。(1)基于經(jīng)紀(jì)人的單點(diǎn)登錄方案(Broker-BasedSSO) 在 Broker-BasedSSO方案中，有一個完成集中認(rèn)證、 用戶賬號管理的效勞器和一個公共、統(tǒng)一的用戶數(shù)據(jù)庫。Broker 為用戶提供一個能夠被用戶進(jìn)一步訪問請求的電子身份憑證。Broker-bas

9、edSSO 方案的主要優(yōu)點(diǎn)是有一個中央用戶數(shù)據(jù)庫，易于對用戶數(shù)據(jù)進(jìn)展管理。主要缺點(diǎn)是需要修改原有應(yīng)用。(2)基于代理的單點(diǎn)登錄方案(Agent-BasedSSO) 在 Agent-BasedSSO方案中，有一個代理程序，自動為不同的應(yīng)用程序認(rèn)證用戶。代理程序可以用不同的方式實現(xiàn)。假設(shè)Agent 部署在客戶端， 它能裝載獲得用戶名口令列表，自動替用戶完成登錄過程，減輕客戶端程序的認(rèn)證負(fù)擔(dān)。Agent 部署在效勞器端，它就是效勞器的認(rèn)證系統(tǒng)和客戶端認(rèn)證方法之間的“翻譯。 當(dāng)軟件供給商提供了大量的與原有應(yīng)用程序通信的Agent 時,Agent-BasedSSO方案可使應(yīng)用遷移變得十分容易。(3)基于

10、網(wǎng)關(guān)的單點(diǎn)登錄方案(Gateway-BasedSSO) 在基于 Gateway-BasedSSO方案中，用戶對受限網(wǎng)絡(luò)效勞的訪問都必須通過網(wǎng)關(guān)。網(wǎng)關(guān)可以是防火墻， 或者是專門用于通信加密的效勞器。所有需要保護(hù)的網(wǎng)絡(luò)效勞器都放在被網(wǎng)關(guān)隔離的受信網(wǎng)段里?？蛻敉ㄟ^網(wǎng)關(guān)認(rèn)證后獲得訪問效勞的授權(quán)。如果在網(wǎng)關(guān)后的效勞能夠通過 IP地址進(jìn)展識別，就可以在網(wǎng)關(guān)上建立一個基于IP的規(guī)那么表。將規(guī)那么表與網(wǎng)關(guān)上的用戶數(shù)據(jù)庫相結(jié)合，網(wǎng)關(guān)就可以被用于單點(diǎn)登錄。由于網(wǎng)關(guān)可以監(jiān)視并改變傳給應(yīng)用效勞的數(shù)據(jù)流 ,所以它能夠改變認(rèn)證信息以適應(yīng)適當(dāng)?shù)脑L問控制，而不用修改應(yīng)用效勞器。網(wǎng)關(guān)作為一個別離的部件，安裝和設(shè)置方便；但是如果

11、存在多個平安網(wǎng)關(guān)，那么用戶數(shù)據(jù)庫并不能自動地被同步。Gateway-BasedSSO方案不適用于用戶端使用代理的情況。本文設(shè)計并實現(xiàn)的基于LDAP 目錄效勞的校園身份管理系統(tǒng)，采用的是較為簡單的頁腳下載后可刪除，如有侵權(quán)請告知刪除！Broker-BasedSSO方案。5LDAP目錄訪問協(xié)議目錄訪問協(xié)議目錄效勞概述目錄是一種專門被優(yōu)化用于執(zhí)行讀、瀏覽、 搜索等操作的數(shù)據(jù)庫，可以包含網(wǎng)絡(luò)以及在網(wǎng)絡(luò)上運(yùn)行的應(yīng)用程序所需的信息。它傾向于包含具有描述性的、基于屬性的信息，并且支持高度復(fù)雜的過濾搜索功能。目錄通常不支持復(fù)雜的關(guān)系操作和事務(wù)機(jī)制，而關(guān)系型數(shù)據(jù)庫管理系統(tǒng)那么常用于處理復(fù)雜的更新操作。目錄被優(yōu)化

12、成以對大量的查找和搜索操作做出快速響應(yīng)，并且目錄可以復(fù)制信息以增加可用性和可靠性，這樣也減少了響應(yīng)時間。目錄效勞提供對目錄信息訪問。有多種不同的方式實現(xiàn)目錄效勞，不同的方式允許目錄存儲不同種類的信息，對目錄信息的引用、查詢、更新也有不同的要求。其中全局目錄通常是分布式的，目錄信息存儲在網(wǎng)絡(luò)上的多臺主機(jī)上，多臺主機(jī)聯(lián)合提供目錄效勞。5.1.2 目錄訪問協(xié)議協(xié)議系列是世界通用的分布式目錄效勞標(biāo)準(zhǔn)，由ITU-T 與 ISO/IEC于 1988 年合作制定，并成為ISO 標(biāo)準(zhǔn) 9454。在一個層次式命名空間中組織目錄對象，并支持大量的信息存儲。定義了強(qiáng)大的搜索功能，使存取目錄信息變得更加容易。具有可伸

13、縮性， 可以借助于附加的模塊實現(xiàn)與其它目錄的互操作性。定義了綜合目錄效勞，包括信息模型、名字空間、功能模型、訪問控制、目錄復(fù)制以及目錄協(xié)議。標(biāo)準(zhǔn)是建立在ISO協(xié)議根底上的一個應(yīng)用協(xié)議。它以目錄樹的形式存放和管理信息，每棵目錄樹對應(yīng)一個單位或組織，由一個目錄系統(tǒng)代理DSA(DirectorySystemAgent)管理。各個獨(dú)立的 DSA之間通過目錄系統(tǒng)協(xié)議DSP(DirectorySystemProtocol)相互傳遞信息，形成分布式系統(tǒng)和區(qū)域自治，實現(xiàn)信息的共享。用戶通過目錄用戶代理DUA(Directory User Agent)通過DAP(Directory Access Protoco

14、l)訪問 DSA，查詢和維護(hù)信息。由于是一個分布式目錄效勞，因此具有巨大的潛在命名空間、本地數(shù)據(jù)的本地管理能力、高級的搜索功能、一直并且可以局部擴(kuò)展的命名空間、提供簡單認(rèn)證和強(qiáng)認(rèn)證平安性、訪問控制列表和復(fù)制支持。但是，雖然是一個完整的目錄效勞協(xié)議，但在實際應(yīng)用的過程中，卻也存在著不少障礙，主要表現(xiàn)在：(1)嚴(yán)格遵照ISO七層協(xié)議模型，對相關(guān)層協(xié)議環(huán)境要求過多；(2)主要是在UNIX上運(yùn)行，很多小系統(tǒng)上無法使用。因而隨著TCP/IP協(xié)議的普及，這一系列協(xié)議越來越不適應(yīng)實際的需要了。5.1.3 LDAP目錄訪問協(xié)議LDAP(LightweightDirectoryAccessProtocol) 即

15、為輕量級目錄訪問協(xié)議，它基于標(biāo)準(zhǔn)，但是簡單了很多， 而且可以根據(jù)需要定制。與不同， LDAP支持 TCP/IP ，這對訪問Internet 是必須的。 LDAP的核心標(biāo)準(zhǔn)在RFC中都有定義。在企業(yè)范圍內(nèi)實現(xiàn)LDAP ，可以讓運(yùn)行在幾乎所有計算機(jī)平臺上的所有應(yīng)用程序從LDAP目錄中獲取信息。LDAP目錄中可以存儲各種類型的數(shù)據(jù)，包括電子郵件地址、郵件路由信息、聯(lián)系人列表等。通過把LDAP目錄作為系統(tǒng)集成中的一個重要環(huán)節(jié)，可以簡化員工在企業(yè)內(nèi)部查詢信息的步驟，甚至是主要的數(shù)據(jù)源都可以放在任何地方。LDAP協(xié)議是跨平臺和標(biāo)準(zhǔn)的協(xié)議，因此應(yīng)用程序就不用為LDAP目錄放在什么樣的效勞頁腳下載后可刪除，如

16、有侵權(quán)請告知刪除！器上操心了。實際上，LDAP得到了業(yè)界的廣泛認(rèn)可，就是因為它是Internet 的標(biāo)準(zhǔn)。生產(chǎn)商都很愿意在產(chǎn)品中參加對LDAP的支持，因為他們根本不用考慮另一端(客戶端或效勞端)是怎么樣的。 LDAP效勞器可以是任何一個開發(fā)源代碼或商用的LDAP目錄效勞器 (或者還可能是具有LDAP界面的關(guān)系型數(shù)據(jù)庫)，因為可以用同樣的協(xié)議、客戶端連接軟件包和查詢命令與 LDAP效勞器進(jìn)展交互。5.1.4 和 LDAP兩種協(xié)議的比擬從目錄效勞技術(shù)的開展來看，LDAP標(biāo)準(zhǔn)實際上是在標(biāo)準(zhǔn)根底上產(chǎn)生的一個簡化版本，兩者之間的關(guān)系與那種為解決同一個問題而出現(xiàn)的兩個獨(dú)立開展的技術(shù)有很大的不同之處。(1)

17、作為IETF(InternetEngineeringTaskForce)一個正式的標(biāo)準(zhǔn)，LDAP 是標(biāo)準(zhǔn)中的目錄訪問協(xié)議 LDAP的一個子集，可用于建立目錄。因此這兩個目錄效勞技術(shù)標(biāo)準(zhǔn)有著許多的共同之處，即在平臺上， 都實現(xiàn)了一個通用的平臺構(gòu)造，提供了一個操作系統(tǒng)和應(yīng)用程序需要的信息效勞類型，可以被許多平臺和應(yīng)用程序接收和實現(xiàn);在信息模型上，都使用了條目、對象類、屬性等概念和模式來描述信息;在命名空間方面，都使用了目錄信息樹構(gòu)造和層次命名模型 :在功能模型上，都使用了相似的操作命令來管理目錄信息；在認(rèn)證框架方面，都可以實現(xiàn)用戶名稱和密碼，或者基于平安加密方式的認(rèn)證機(jī)制；在靈活性上， 它們的目錄

18、規(guī)模都可大可小， 大到全球目錄樹，小到只有一臺目錄效勞器；在分布性方面，目錄信息都可以分布在多個目錄效勞器中，這些效勞器可以由各組織管理，既保證了目錄信息總體構(gòu)造一致性，又滿足了分級管理的需要。(2)LDAP與的 DAP 一樣之處是LDAP也是被設(shè)計用來從分層目錄中提取信息。但與之不同的是， 為保持網(wǎng)絡(luò)的帶寬，LDAP對來自目錄詢問的應(yīng)答次數(shù)加以限制。最初 LDAP只是一種訪問目錄的簡單方法，是的功能子集， 但隨著它的成熟和獨(dú)立開展，已經(jīng)增加了許多在中沒有的新特性?，F(xiàn)在的LDAP既可以為目錄效勞提供一個輕型前端，也可以實現(xiàn)一個獨(dú)立的目錄效勞。(3)LDAP的獨(dú)特之處在 LDAP中 AP(Acc

19、essProtocol)既是一個的訪問協(xié)議，又是一個靈活的，可以獨(dú)立實現(xiàn)的目錄系統(tǒng)。在 LDAP中，DAP基于 Internet 協(xié)議， 基于 OSI(開放式系統(tǒng)互聯(lián))協(xié)議 :建立在應(yīng)用層上的目錄訪問協(xié)議DAP ,需要在 OSI會話層和表示層上進(jìn)展許多的建立連接和包處理的任務(wù)，需要特殊的網(wǎng)絡(luò)軟件實現(xiàn)對網(wǎng)絡(luò)的訪問；LDAP那么直接運(yùn)行在更簡單和更通用的TCP/IP或其它可靠的傳輸協(xié)議層上，防止了在OSI會話和表示層的開銷，使連接的建立和包的處理更簡單、更快，對于互聯(lián)網(wǎng)和企業(yè)網(wǎng)應(yīng)用更理想。LDAP協(xié)議更為簡單：LDAP繼承了最好的特性，同時去掉了它的復(fù)雜性，LDAP通過使用查找操作實現(xiàn)列表操作和讀

20、操作；另一方面省去了中深奧的和很少使用的效勞控制和平安特性，只保存了常用的特性，簡化了LDAP的實現(xiàn)。LDAP通過引用機(jī)制實現(xiàn)分布式訪問中DSA通過效勞器之間的鏈操作實現(xiàn)分布式訪問，這樣就使查詢的壓力集中在了效勞器端;而 LDAP通過客戶端API實現(xiàn)分布式操作，平衡了負(fù)載。LDAP具有低費(fèi)用、 易配置和易管理的特點(diǎn):經(jīng)過性能測試， LDAP比具有更少的響應(yīng)時間；LDAP提供了滿足應(yīng)用程序?qū)δ夸浶谒枨蟮奶匦?。LDAP工作原理LDAP是以效勞器客戶端方式工作的，目錄效勞將數(shù)據(jù)庫軟件的邏輯構(gòu)造分為前端(客戶端)和后端 (效勞端和倉庫 )。頁腳下載后可刪除，如有侵權(quán)請告知刪除！LDAP的邏輯構(gòu)造如

21、下圖。圖的邏輯構(gòu)造圖說明了 LDAP的三層邏輯構(gòu)造：客戶端負(fù)責(zé)和用戶進(jìn)展交流，效勞器端負(fù)責(zé)承受和解釋客戶的請求，倉庫那么是真正存儲信息的地方?？蛻舳耸侵苯用鎸σ话汩_發(fā)者和用戶的；效勞端是用于接收和解釋客戶請求，然后以客戶的身份完成請求，并將完成結(jié)果返回給用戶；倉庫那么是真正存儲信息的地方。在LDAP中，效勞端和倉庫之間的連接采用了ODBC機(jī)制，所以可以使用任何支持和具有ODBC驅(qū)動程序的數(shù)據(jù)庫軟件，簡單的可以是Linux 系統(tǒng)中自帶的GDBM 或 Alpha 中的 NDBM 等數(shù)據(jù)庫管理系統(tǒng) ;也可以選用在功能和性能上更優(yōu)越的Oracle 和 Sybase等系統(tǒng)，這樣，可以提高系統(tǒng)的可移植性。

22、現(xiàn)在己經(jīng)有了許多基于LDAP 協(xié)議開發(fā)出的資源管理系統(tǒng)和工具，如Openldap，NDS(NovellDirectoryService)和 ADS(ActiveDirectoryService)，OracleOID 等。它們已經(jīng)逐漸的被使用在了各個需要目錄效勞的領(lǐng)域，并且應(yīng)用的趨勢在增強(qiáng)。LDAP模型LDAP有四種模型 :信息模型、命名模型、功能模型、平安模型，用以描述LDAP的工作機(jī)制，描述什么樣的數(shù)據(jù)可以存于LDAP目錄中，以及如何操作這些數(shù)據(jù)。5 信息模型LDAP信息模型描述LDAP的信息表示方式，定義了能夠在目錄中存儲的數(shù)據(jù)。它以模式(Schema)為根底，以條目(Entry)為核心。

23、模式由假設(shè)干條目組成，條目即為關(guān)于對象的屬性信息集合。 每個屬性儲存有屬性值，說明對象的一個特征，每個屬性有一個類型，不同的類型有不同的取值范圍，每個類型可以對應(yīng)一個值，也可以對應(yīng)多個值。LDAP中的信息模型，類似于面向?qū)ο蟮母拍睿?LDAP中每個條目必須屬于某個后多個對象類型(ObjectClass)，每個 ObjectClass 由多個屬性類型構(gòu)成，每個屬性類型有所對應(yīng)的語法規(guī)那么和匹配規(guī)那么；對象類和屬性類型的定義均可以使用繼承的概念。每個條目創(chuàng)立時， 必須定義所屬的對象類，必須提供對象類中必選類型的屬性值，在LDAP中把對這些對象類、屬性類型、語法和匹配規(guī)那么統(tǒng)稱為Schema。Sc

24、hema元素分系統(tǒng)定義和用戶定義兩類。一般用戶只能定義屬性類型和對象類型。(1)屬性類型 (AttributeTypes) 屬性類型控制屬性格式，包括屬性的語法、匹配規(guī)那么、是否可以多值、修改權(quán)限和用法等。屬性類型可以直接由0 或多個屬性類型繼承而來，形成屬性類型的層次關(guān)系樹。(2)對象類 (ObjectClass) 對象類是 “共享某些特性的對象的識別家族，即對象的模板。 通過定義條目中所含的屬性來定義目錄中的條目類型。5 命名模型LDAP中的命名模型， 也即 LDAP中的條目定位方式。在 LDAP中每個條目均有自己的DN頁腳下載后可刪除，如有侵權(quán)請告知刪除！和 RDN。 DN 是該條目在整

25、個樹中的唯一名稱標(biāo)識，RDN是條目在父節(jié)點(diǎn)下的唯一名稱標(biāo)識。如同文件系統(tǒng)中，帶路徑的文件名就是DN，文件名就是RDN。命名模型以倒樹的形式排列，目錄樹命名模型如下圖。圖目錄樹命名模型圖說明了目錄樹命名模型的構(gòu)造，該圖表述了組織ou=Student,o=SSDUT ， st=LiaoNing，c=China下的一個用戶cn=guoshuyang。可以看到， LDAP的模型與Unix 系統(tǒng)中目錄構(gòu)造類似，其不同之處在于：(1)在 LDAP目錄中， DN中各元素的排序是從葉到根；而在Unix 文件系統(tǒng)中，文件絕對路徑名中各元素的排序是從根到葉；(2)在 LDAP目錄中， DN中各元素之間的分隔符是“

26、，；而在Unix 文件系統(tǒng)中，文件絕對路徑名中各元素之間的分隔符是“/；(3)在 LDAP目錄中，允許超越樹形構(gòu)造的別名工程(AliasEntry)，它指向其它工程。5 功能模型在 LDAP中功能模型共有三類：(1)詢問 (Interrogation) LDAP在信息詢問方面主要定義了查找(Search)和比擬 (Compare)兩個操作。在查找操作中，根據(jù)選取標(biāo)準(zhǔn)在指定范圍內(nèi)選擇工程，這個選取標(biāo)準(zhǔn)通常稱作查找過濾器(Searchfilter) ，并且可以規(guī)定一組需要返回的屬性。另外，還可以規(guī)定查找結(jié)果的大小和客戶端等待結(jié)果的時間。比擬操作主要是判斷指定工程是否包含指定屬性(包括類型和值)。(

27、2)更新 (Update) LDAP 在 信 息 更 新 方 面 定 義 了 新 增 (Add) ， 刪 除 (Delete) 、 修 改 (Modify) 和 修 改RDN(ModifyRDN)等四個操作。新增操作主要是在LDAP目錄中插入一個新的工程；刪除操作主要是從LDAP目錄中刪除已有工程；修改操作主要是修改已有工程的屬性，具體地說，可以增加、刪除、修改屬性或?qū)傩灾担恍薷腞DN 操作主要是修改工程的名字。頁腳下載后可刪除，如有侵權(quán)請告知刪除！(3)身份驗證 (Authentication) LDAP在身份驗證方面定義了連接(Bind)、斷接 (Unbind)和作廢 (Abandon)等

28、三個操作。連接操作主要是客戶端向效勞器提供身份信息，包括DN 和口令，以便于效勞器驗證客戶端的身份，身份驗證成功即建立客戶端與效勞器之間的會話(session)。斷接操作主要是完畢客戶端與效勞器的會話。作廢操作主要是中止正在執(zhí)行的操作。5 平安模型LDAP中的平安模型主要通過身份認(rèn)證、通訊平安和訪問控制來實現(xiàn)。身 份 認(rèn) 證 ： 在LDAP 中 提 供 三 種 認(rèn) 證 機(jī) 制 ， 即 匿 名 、 根 本 認(rèn) 證 和SASL(SimpleAuthenticationandSecureLayer)認(rèn)證。匿名認(rèn)證即不對用戶進(jìn)展認(rèn)證，該方法僅對完全公開的方式適用;根本認(rèn)證均是通過用戶名和密碼進(jìn)展身份識

29、別，又分為簡單密碼和摘要密碼認(rèn)證； SASL認(rèn)證即 LDAP提供的在SSL和 TLS平安通道根底上進(jìn)展的身份認(rèn)證，包括數(shù)字證書的認(rèn)證。通訊平安：在LDAP中提供了基于SSL/TLS 的通訊平安保障。SSL/TLS 是基于 PKI信息平安技術(shù)，是目前Internet 上廣泛采用的平安效勞。LDAP通過 StartTLS方式啟動TLS效勞，可以提供通訊中的數(shù)據(jù)保密性、完整性保護(hù);通過強(qiáng)制客戶端證書認(rèn)證的TLS效勞，同時可以實現(xiàn)對客戶端身份和效勞器端身的雙向驗證。訪問控制： 雖然 LDAP目前并無訪問控制的標(biāo)準(zhǔn)，但從一些 LDAP產(chǎn)品的訪問控制情況，我們不難看出： LDAP的訪問控制異常靈活和豐富，

30、在 LDAP中是基于訪問控制策略語句來實現(xiàn)訪問控制的， 這不同于現(xiàn)有的關(guān)系型數(shù)據(jù)庫系統(tǒng)和應(yīng)用系統(tǒng)，它是通過基于訪問控制列表來實現(xiàn)的，無論是基于組模式或角色模式，都擺脫不了這種限制。在使用關(guān)系型數(shù)據(jù)庫系統(tǒng)開發(fā)應(yīng)用時，往往是通過幾個固定的數(shù)據(jù)庫用戶名訪問數(shù)據(jù)庫。對于應(yīng)用系統(tǒng)本身的訪問控制，通常是需要建立專門的用戶表，在應(yīng)用系統(tǒng)內(nèi)開發(fā)針對不同用戶的訪問控制授權(quán)代碼，這樣一旦訪問控制策略變更時，往往需要代碼進(jìn)展變更。總而言之，關(guān)系型數(shù)據(jù)庫的應(yīng)用中，用戶數(shù)據(jù)管理和數(shù)據(jù)庫訪問標(biāo)識是別離的，復(fù)雜的數(shù)據(jù)訪問控制需要通過應(yīng)用來實現(xiàn)。而對于LDAP ，用戶數(shù)據(jù)管理和訪問標(biāo)識是一體的，應(yīng)用不需要關(guān)心訪問控制的實現(xiàn)。

31、這是由于在LDAP中的訪問控制語句是基于策略語句來實現(xiàn)的，無論是訪問控制的數(shù)據(jù)對象，還是訪問控制的主體對象，均是與這些對象在樹中的位置和對象本身的數(shù)據(jù)特征相關(guān)。在 LDAP中，可以把整個目錄、目錄的子樹、制定條目、特定條目屬性集或符合某過濾條件的條目作為控制對象進(jìn)展授權(quán)；可以把特定用戶、屬于特定組或所有目錄用戶作為授權(quán)主體進(jìn)展授權(quán)；最后，還可以定義對特定位置(例如 IP 地址或 DNS名稱 )的訪問權(quán)。5.4 LDAP目錄與關(guān)系型數(shù)據(jù)庫的比照LDAP作為存儲介質(zhì)，同關(guān)系型數(shù)據(jù)庫一樣，都可以存儲各種類型的數(shù)據(jù)，包括郵件地址，聯(lián)系人列表等。作為一門新興的正在迅猛開展的技術(shù)，與關(guān)系型數(shù)據(jù)庫不同之處在于：(1)存儲內(nèi)容：目錄效勞器的重要功能是提供快速的查詢。其中的數(shù)據(jù)更新很少，存儲的多是更新頻率很低的數(shù)據(jù)，更新的過程往往是成批的增加或刪除，并且各數(shù)據(jù)項之間的關(guān)聯(lián)不是很密切。 而關(guān)系型數(shù)據(jù)庫存儲的多是一些需要隨時更新的數(shù)據(jù)，各個數(shù)據(jù)的關(guān)系比擬復(fù)雜，往往一個數(shù)據(jù)的更新帶來一系列數(shù)據(jù)的更新操作。用戶的口令等信息數(shù)據(jù)靜態(tài)的數(shù)據(jù)，更新的頻率不高，并且往往是成批的增加和刪除用戶，所以更適合用目錄效勞器存儲。(2