[摘 要] 隨著網(wǎng)絡(luò)技術(shù)的高速發(fā)展，越來(lái)越多的網(wǎng)絡(luò)應(yīng)用系統(tǒng)在商業(yè)企業(yè)局域網(wǎng)中得到了普及應(yīng)用。然而如何集中的管理商業(yè)企業(yè)局域網(wǎng)中各應(yīng)用系統(tǒng)的用戶，成了每個(gè)商業(yè)企業(yè)局域網(wǎng)管理者必須面對(duì)的問(wèn)題。本文闡述了一種利用LDAP和RADIUS服務(wù)結(jié)合的商業(yè)企業(yè)局域網(wǎng)統(tǒng)一認(rèn)證系統(tǒng)，并對(duì)其詳細(xì)設(shè)計(jì)方案及實(shí)現(xiàn)過(guò)程進(jìn)行了說(shuō)明。

[關(guān)鍵詞] 統(tǒng)一認(rèn)證 LDAP RADIUS

隨著大型商業(yè)企業(yè)信息化的全面啟動(dòng)，很多商業(yè)企業(yè)正積極的構(gòu)建各種信息化應(yīng)用的系統(tǒng)。然而，用戶在商業(yè)企業(yè)局域網(wǎng)的各個(gè)不同的應(yīng)用系統(tǒng)中又不同的權(quán)限，因此用戶會(huì)在每個(gè)系統(tǒng)中獲得一個(gè)獨(dú)立的賬號(hào)。這樣會(huì)給企業(yè)網(wǎng)絡(luò)管理者和用戶帶來(lái)諸多不便，因此建設(shè)整個(gè)企業(yè)的以目錄服務(wù)為核心的中央認(rèn)證系統(tǒng)和用戶管理系統(tǒng)，將完成為網(wǎng)絡(luò)中的所有應(yīng)用、硬件和網(wǎng)絡(luò)資源提供統(tǒng)一的身份管理，從而可以在在很大程度上方便了每個(gè)用戶的操作，同時(shí)也提高了整個(gè)網(wǎng)絡(luò)管理的能力。利用輕型目錄訪問(wèn)協(xié)議LDAP，可以解決商業(yè)企業(yè)局域網(wǎng)統(tǒng)一認(rèn)證的問(wèn)題。但是很多應(yīng)用直接使用LDAP認(rèn)證比較困難。因此，利用RADIUS（遠(yuǎn)程用戶撥號(hào)認(rèn)證系統(tǒng)）這樣被廣泛支持的認(rèn)證協(xié)議和LDAP相結(jié)合的方式，可以滿足大多數(shù)應(yīng)用系統(tǒng)的統(tǒng)一認(rèn)證需求。

一、系統(tǒng)功能設(shè)計(jì)

系統(tǒng)功能如圖所示。LDAP采用開(kāi)源的OPEN LDAP來(lái)實(shí)現(xiàn)。通過(guò)建立一個(gè)LDAP主目錄服務(wù)作為整個(gè)認(rèn)證系統(tǒng)的核心，同時(shí)建立一個(gè)從屬LDAP目錄服務(wù)保證系統(tǒng)的安全性以及實(shí)現(xiàn)一定程度的性能負(fù)載均衡，通過(guò)目錄同步保證數(shù)據(jù)的一致性。建立一套基于Web的LDAP管理系統(tǒng)，實(shí)現(xiàn)對(duì)LDAP的管理。對(duì)于部分可以直接采用LDAP服務(wù)進(jìn)行認(rèn)證的系統(tǒng)，例如郵件系統(tǒng)、垃圾郵件網(wǎng)關(guān)、Shell登陸等直接通過(guò)LDAP提供統(tǒng)一認(rèn)證。其它的不能直接使用LDAP服務(wù)進(jìn)行統(tǒng)一認(rèn)證的系統(tǒng)，如各種Web應(yīng)用系統(tǒng)、企業(yè)網(wǎng)上網(wǎng)認(rèn)證系統(tǒng)、遠(yuǎn)程訪問(wèn)系統(tǒng)等。系統(tǒng)利用RADIUS對(duì)LDAP的直接訪問(wèn)，獲得用戶認(rèn)證及權(quán)限等信息，再為這些系統(tǒng)提過(guò)認(rèn)證服務(wù)。

二、系統(tǒng)的實(shí)現(xiàn)

1.目錄結(jié)構(gòu)設(shè)計(jì)

根據(jù)商業(yè)企業(yè)局域網(wǎng)應(yīng)用的具體情況和LDAP服務(wù)器的特點(diǎn)和功能， 設(shè)計(jì)一個(gè)LDAP服務(wù)器的目錄結(jié)構(gòu)。在這個(gè)LDAP目錄結(jié)構(gòu)中， dc=cdut，dc=edu，dc=cn 作為整棵樹(shù)的根DN。其中包括用戶子樹(shù)、部門(mén)子樹(shù)、系統(tǒng)子樹(shù)和證書(shū)子樹(shù)。用戶(ou=user)子樹(shù)中存放統(tǒng)一認(rèn)證系統(tǒng)的所有用戶信息， 包括用戶的姓名、密碼、性別、單位等內(nèi)容， 另外還要包括用戶權(quán)限列表。部門(mén)(o=org)子樹(shù)， 存放的是按照一般部門(mén)的分級(jí)結(jié)構(gòu)的部門(mén)， 直觀反映了部門(mén)間的上下級(jí)關(guān)系。部門(mén)包括的屬性有名稱、辦公電話、部門(mén)性質(zhì)等。不再有子部門(mén)的部門(mén)子樹(shù)下應(yīng)包含屬于該系的人員列表， 這里每個(gè)人只是一個(gè)索引， 指向人員子樹(shù)下具體的某個(gè)人員。資源(ou=res)子樹(shù)下主要是分為商業(yè)企業(yè)局域網(wǎng)內(nèi)使用統(tǒng)一認(rèn)證的各個(gè)應(yīng)用系統(tǒng)，這棵子樹(shù)控制著訪問(wèn)的權(quán)限。例如銷(xiāo)售系統(tǒng)、物流系統(tǒng)等。每個(gè)系統(tǒng)的各個(gè)實(shí)現(xiàn)功能都可以設(shè)定某一用戶組的來(lái)控制訪問(wèn)權(quán)限， 其中控制上層樹(shù)的用戶組也可以控制下層樹(shù)所需要的權(quán)限。每個(gè)系統(tǒng)的管理員就可以控制屬于該系統(tǒng)子樹(shù)下所有的權(quán)限， 充分將每個(gè)系統(tǒng)地管理權(quán)限分散到各個(gè)管理員手中。證書(shū)(ou=cert)子樹(shù)下主要是存放整個(gè)系統(tǒng)中所有與身份認(rèn)證的票據(jù)相關(guān)的內(nèi)容， 比如用戶證書(shū)、數(shù)字簽名等。

2.LDAP和RADIUS的配置

在用作LDAP的服務(wù)器上安裝OPEN LDAP，并按照3.1的構(gòu)建目錄樹(shù)。然后在用在RADIUS服務(wù)器上安裝完成FREE RADIUS后需要將LDAP服務(wù)器的相關(guān)信息寫(xiě)入。編輯radiusd.conf，加入以下配置。認(rèn)證系統(tǒng)就可以正常運(yùn)行了。

ldap {

server =“l(fā)dap.cdut.edu.cn ”

identity =“cn=root，dc=cdut，dc=edu，dc=cnw”

password = password

basedn = “dc=cdut，dc=edu，dc=cn”

}

3.應(yīng)用系統(tǒng)使用統(tǒng)一認(rèn)證

很多通用系統(tǒng)都可以直接使用RADIUS提供的認(rèn)證服務(wù)，如大部分的上網(wǎng)認(rèn)證系統(tǒng)、802.1x認(rèn)證系統(tǒng)等。而商業(yè)企業(yè)局域網(wǎng)中很多網(wǎng)絡(luò)應(yīng)用系統(tǒng)是采用Web應(yīng)用程序的方式開(kāi)發(fā)實(shí)現(xiàn)的。對(duì)于不同的Web應(yīng)用程序可以采用不同的功能函數(shù)模塊來(lái)使用RADIUS提供的認(rèn)證功能。以PHP為例，要使用RADIUS認(rèn)證功能需要在編譯安裝時(shí)執(zhí)行./configure—enable-radius，在編譯時(shí)加入對(duì)RADIUS的支持，這樣就可以在PHP中使用RADIUS支持函數(shù)，進(jìn)行認(rèn)證操作了。

三、結(jié)束語(yǔ)

LDAP目錄服務(wù)數(shù)據(jù)以目錄的方式存儲(chǔ)， 并且可以建立索引，因此LDAP的讀取速度大大快于經(jīng)過(guò)一般的關(guān)系型數(shù)據(jù)庫(kù)， 查詢效率也更高。所以對(duì)于一個(gè)大型的統(tǒng)一認(rèn)證系統(tǒng)來(lái)說(shuō)它更高效。同時(shí)LDAP本身為安全認(rèn)證設(shè)計(jì)，提供了更高的安全性，通過(guò)和RADIUS的結(jié)合，能夠更方便的為各種應(yīng)用系統(tǒng)和平臺(tái)提供統(tǒng)一認(rèn)證服務(wù)，從而保證了系統(tǒng)的安全性和通用性，同時(shí)也提高了系統(tǒng)的效率，因此非常適合在大型商業(yè)企業(yè)局域網(wǎng)中使用。

參考文獻(xiàn):

[1]付云俠 薛田良:身份認(rèn)證中基于LDAP 的統(tǒng)一目錄服務(wù)的研究與實(shí)現(xiàn).福建電腦，2008(3)

[2]胡勝豐 蔣 平:基于LDAP的企業(yè)統(tǒng)一資源管理研究.微計(jì)算機(jī)應(yīng)用，2008(3)

[3]劉永亮 張衛(wèi)紅 周 駿:基于LDAP的校園網(wǎng)統(tǒng)一身份認(rèn)證的設(shè)計(jì).計(jì)算機(jī)與數(shù)字工程，2008(4)

[4]陽(yáng)富民 劉軍平:統(tǒng)一認(rèn)證技術(shù)研究與實(shí)現(xiàn).計(jì)算機(jī)工程與科學(xué)，2007(2)

[5]袁善鵬 楊 波:基于Linux的LDAP應(yīng)用環(huán)境研究與目錄服務(wù)實(shí)現(xiàn).信息技術(shù)與信息化，2006(5)

注：本文中所涉及到的圖表、注解、公式等內(nèi)容請(qǐng)以PDF格式閱讀原文