文/宋文文

基于LDAP域?qū)崿F(xiàn)統(tǒng)一身份認(rèn)證

文/宋文文

目前在校園網(wǎng)中，很多應(yīng)用系統(tǒng)開(kāi)始使用基于LDAP(Lightweight Directory Access Protocol,輕量級(jí)目錄訪問(wèn)協(xié)議)開(kāi)發(fā)的統(tǒng)一身份認(rèn)證服務(wù)，如一卡通、數(shù)字化校園、辦公信息系統(tǒng)的用戶身份認(rèn)證服務(wù)等。

簡(jiǎn)單而言，LDAP就是采用目錄方式保存數(shù)據(jù)，所消耗資源小于專門的數(shù)據(jù)庫(kù)，并可以跨平臺(tái)使用。作為用戶管理、授權(quán)及認(rèn)證系統(tǒng)的Dr.COM 寬帶接入認(rèn)證計(jì)費(fèi)系統(tǒng)，能與用戶的LDAP認(rèn)證服務(wù)器實(shí)現(xiàn)的統(tǒng)一認(rèn)證和數(shù)據(jù)同步，將會(huì)對(duì)用戶信息系統(tǒng)的使用與維護(hù)提供很大的便利。

中國(guó)石油大學(xué)青島校區(qū)辦公區(qū)基于LDAP域技術(shù)，建立一個(gè)安全、高效、可管理的認(rèn)證平臺(tái)，采用LDAP域認(rèn)證模式，為辦公區(qū)域師生、多媒體用戶、實(shí)驗(yàn)室等用戶提供統(tǒng)一身份認(rèn)證。

方案設(shè)計(jì)與實(shí)現(xiàn)

系統(tǒng)基于2166 B-RAS認(rèn)證網(wǎng)關(guān)，采用雙進(jìn)雙出多模光口，單臺(tái)最大轉(zhuǎn)發(fā)雙向4G，2166 B-RAS采用橋接透明模式，架設(shè)在內(nèi)網(wǎng)核心交換機(jī)（辦公區(qū)）和出口路由器之間，2166 B-RAS負(fù)責(zé)對(duì)石油大學(xué)青島校區(qū)辦公區(qū)域接入的用戶提供LDAP統(tǒng)一認(rèn)證服務(wù)，辦公區(qū)域用戶Windows域登錄成功后即允許授權(quán)訪問(wèn)外網(wǎng)。

LDAP統(tǒng)一認(rèn)證與2166 B-RAS聯(lián)動(dòng)認(rèn)證流程如下：

1. 辦公區(qū)域用戶Windows域登錄時(shí)，2166 B-RAS會(huì)把用戶的認(rèn)證信息轉(zhuǎn)送到石油大學(xué)的LDAP統(tǒng)一認(rèn)證服務(wù)器進(jìn)行賬號(hào)校驗(yàn)，認(rèn)證通過(guò)即允許用戶通過(guò)并連接外網(wǎng)。

2. 在LDAP統(tǒng)一認(rèn)證服務(wù)器上安裝Dr.COM watch程序，實(shí)時(shí)讀取LDAP域登錄信息表，如果發(fā)現(xiàn)用戶在LDAP認(rèn)證服務(wù)器登錄成功后，Dr.COM watch程序會(huì)通過(guò)認(rèn)證URL接口自動(dòng)告知守護(hù)進(jìn)程和認(rèn)證網(wǎng)關(guān)。

3. 根據(jù)預(yù)先在后臺(tái)設(shè)置的辦公區(qū)域源IP地址表，自動(dòng)幫該域用戶分配到其所屬的2166 B-RAS進(jìn)行自動(dòng)上線，Dr.COM watch程序也會(huì)讀取LDAP認(rèn)證服務(wù)器的注銷日志表，當(dāng)其定期掃描到在線用戶在域注銷了，watch程序認(rèn)證URL接口自動(dòng)告知2166 B-RAS，自動(dòng)為該用戶進(jìn)行下線處理。

4. 生成其登錄日志，使用時(shí)長(zhǎng)和流量等信息并存入Oracle數(shù)據(jù)庫(kù)后臺(tái)。

圖2 工作流程示意

統(tǒng)一數(shù)據(jù)庫(kù)后臺(tái)與管理平臺(tái)

Dr.COM 2166 B-RAS對(duì)辦公區(qū)域經(jīng)過(guò)的用戶進(jìn)行數(shù)據(jù)采集，系統(tǒng)生成日志等其他記錄后，回傳到后臺(tái)數(shù)據(jù)庫(kù)服務(wù)器，并計(jì)算生成系統(tǒng)日志信息、訪問(wèn)記錄、登錄記錄等信息，但是不生成計(jì)費(fèi)賬單。辦公區(qū)域2166 B-RAS和非辦公區(qū)域2166 BRAS均共用一套認(rèn)證計(jì)費(fèi)業(yè)務(wù)支撐平臺(tái)，后臺(tái)數(shù)據(jù)庫(kù)（包含日常運(yùn)營(yíng)數(shù)據(jù)數(shù)據(jù)庫(kù)和訪問(wèn)記錄服務(wù)器）服務(wù)器放置在數(shù)據(jù)存儲(chǔ)區(qū)，負(fù)責(zé)實(shí)時(shí)存儲(chǔ)Dr.COM 接入認(rèn)證網(wǎng)關(guān)運(yùn)營(yíng)產(chǎn)生的所有信息，方便各管理模塊的查詢。

地址漫游限制

通過(guò)在統(tǒng)一的認(rèn)證計(jì)費(fèi)后臺(tái)配置辦公區(qū)域，2166 B-RAS內(nèi)外允許登錄IP地址段信息，后臺(tái)會(huì)下發(fā)辦公區(qū)域允許登錄的IP地址段到辦公區(qū)域2166 B-RAS，而非辦公區(qū)域IP地址段則剔除，從而實(shí)現(xiàn)辦公區(qū)域賬號(hào)無(wú)法在非辦公區(qū)域登錄，防止了辦公區(qū)域賬號(hào)免費(fèi)使用的漏洞。

(作者單位為中國(guó)石油大學(xué)(華東))