張波

摘要：在企業(yè)內(nèi)部，可能會(huì)存在眾多的企業(yè)應(yīng)用，這些應(yīng)用是否能夠使用統(tǒng)一的認(rèn)證方式，不論對(duì)于用戶，還是對(duì)于IT運(yùn)維管理人員，都具有非常重要的意義?；贏D的企業(yè)統(tǒng)一認(rèn)證方式概述，給出了一種現(xiàn)實(shí)可行的企業(yè)統(tǒng)一認(rèn)證方式，該方式對(duì)于不同開(kāi)發(fā)的應(yīng)用系統(tǒng)能夠?qū)崿F(xiàn)支持和兼容，從而避免了對(duì)于應(yīng)用系統(tǒng)開(kāi)發(fā)語(yǔ)言的限制，擴(kuò)大了企業(yè)IT人員對(duì)于應(yīng)用系統(tǒng)選型的靈活性。在最后的部分討論了這種認(rèn)證方式存在的一些不足，以及未來(lái)需要考慮的問(wèn)題。

關(guān)鍵詞：認(rèn)證；AD；企業(yè)應(yīng)用

中圖分類號(hào)：TP311 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1009-3044（2015）05-0102-02

在企業(yè)信息化建設(shè)過(guò)程中，各應(yīng)用系統(tǒng)都離不開(kāi)用戶身份認(rèn)證這樣一個(gè)基本功能。企業(yè)內(nèi)部存在著眾多的業(yè)務(wù)系統(tǒng)，每個(gè)業(yè)務(wù)系統(tǒng)的用戶身份認(rèn)證方式都不盡相同，用戶需要針對(duì)每個(gè)系統(tǒng)記憶特定的密碼，而企業(yè)IT部門則需要為此付出大量的維護(hù)工作。為此，企業(yè)應(yīng)用統(tǒng)一認(rèn)證在企業(yè)信息化的過(guò)程中變得尤其重要。

而企業(yè)信息化所采用的企業(yè)技術(shù)架構(gòu)也是千差萬(wàn)別。根據(jù)企業(yè)自身的業(yè)務(wù)特點(diǎn)，一個(gè)企業(yè)內(nèi)部通常會(huì)存在若干的業(yè)務(wù)系統(tǒng)，有的業(yè)務(wù)系統(tǒng)是從外部引入的成熟軟件產(chǎn)品，有的業(yè)務(wù)系統(tǒng)是通過(guò)定制開(kāi)發(fā)實(shí)現(xiàn)的。各應(yīng)用系統(tǒng)的操作系統(tǒng)、開(kāi)發(fā)語(yǔ)言、采用之間件也都不盡相同。因此，怎么選擇企業(yè)應(yīng)用統(tǒng)一認(rèn)證方式，是一個(gè)令人頭疼的問(wèn)題。

1 企業(yè)應(yīng)用統(tǒng)一認(rèn)證方式概述

通過(guò)對(duì)不同企業(yè)內(nèi)部身份認(rèn)證方式的研究，可以發(fā)現(xiàn)，企業(yè)對(duì)于統(tǒng)一身份認(rèn)證的需求意愿通常都較高，并且，不同企業(yè)內(nèi)部的實(shí)現(xiàn)的程度和方式也不盡相同。

從邏輯上講，企業(yè)應(yīng)用統(tǒng)一認(rèn)證架構(gòu)需要包括如下幾個(gè)部分：

1） 用戶身份信息存儲(chǔ)

該部分用于實(shí)現(xiàn)用戶身份信息的存儲(chǔ)，并且確保用戶身份信息的安全可靠，對(duì)于非法訪問(wèn)的限制，并能夠?qū)τ陬愃朴诒┝ζ平獾氖侄尉哂凶銐虻姆烙芰?，例如微軟的AD。

2） 用戶認(rèn)證協(xié)議

用戶認(rèn)證協(xié)議則是實(shí)現(xiàn)了支持應(yīng)用系統(tǒng)對(duì)用戶身份信息進(jìn)行存取。通過(guò)用戶認(rèn)證協(xié)議，企業(yè)應(yīng)用能夠驗(yàn)證用戶身份信息的合法性，從而確定是否允許登錄應(yīng)用系統(tǒng)。

3） 訪問(wèn)適配器

訪問(wèn)適配器則是應(yīng)用認(rèn)證協(xié)議客戶端的具體實(shí)現(xiàn)，從邏輯關(guān)系上講，該部分屬于企業(yè)應(yīng)用的一部分，企業(yè)應(yīng)用通過(guò)訪問(wèn)適配器，能夠?qū)崿F(xiàn)與用戶身份信息存儲(chǔ)的交互，從而完成用戶身份的驗(yàn)證功能。

整體企業(yè)應(yīng)用統(tǒng)一認(rèn)證架構(gòu)如圖1所示：

2 基于AD的企業(yè)應(yīng)用統(tǒng)一認(rèn)證架構(gòu)

在企業(yè)信息化的過(guò)程中，基于現(xiàn)有的環(huán)境，可以選擇不同的企業(yè)應(yīng)用統(tǒng)一認(rèn)證架構(gòu)。由于微軟系列產(chǎn)品在個(gè)人辦公電腦和桌面應(yīng)用上屬于絕對(duì)的主流產(chǎn)品，所以基于AD統(tǒng)一認(rèn)證架構(gòu)，是很多企業(yè)的選擇。

在實(shí)際應(yīng)用中，微軟的AD產(chǎn)品和微軟系應(yīng)用結(jié)合的非常緊密，在IIS應(yīng)用服務(wù)器中，通過(guò)簡(jiǎn)單的設(shè)置，即可實(shí)現(xiàn)應(yīng)用于微軟AD的整合，從而實(shí)現(xiàn)應(yīng)用的統(tǒng)一認(rèn)證。而企業(yè)內(nèi)部的應(yīng)用通常是基于多種不同的開(kāi)發(fā)語(yǔ)言的，常見(jiàn)的如C#語(yǔ)言，JAVA語(yǔ)言，PHP語(yǔ)言。基于這些不同的語(yǔ)言開(kāi)發(fā)的應(yīng)用，都需要能夠?qū)崿F(xiàn)基于AD的統(tǒng)一認(rèn)證，這樣，才能為各企業(yè)應(yīng)用的使用者和管理維護(hù)者帶來(lái)便利。

基于AD的企業(yè)統(tǒng)一應(yīng)用認(rèn)證架構(gòu)如下：

2.1 C#應(yīng)用

C#應(yīng)用由于其基于微軟平臺(tái)，因此，實(shí)現(xiàn)基于AD統(tǒng)一應(yīng)用認(rèn)證是最為容易的。基于C#的web應(yīng)用，都是基于IIS應(yīng)用服務(wù)器的，在IIS應(yīng)用服務(wù)器中，通過(guò)簡(jiǎn)單的配置，即可實(shí)現(xiàn)。

用C#開(kāi)發(fā)的WEB應(yīng)用，配置實(shí)現(xiàn)基于AD的統(tǒng)一應(yīng)用認(rèn)證分為兩部分，一部分是在IIS中進(jìn)行配置，另外就是在應(yīng)用代碼中進(jìn)行特定的設(shè)定和使用。具體的：

1） 在IIS中的配置

將應(yīng)用部署在IIS應(yīng)用服務(wù)器上后，選中部署的應(yīng)用，在右側(cè)窗口IIS部分中點(diǎn)擊“身份驗(yàn)證”，從中選擇“WINDOWS身份驗(yàn)證”并啟用。

2） 在應(yīng)用代碼中進(jìn)行的相關(guān)設(shè)定

在應(yīng)用代碼中通過(guò)下面形式的代碼可以獲得當(dāng)前的訪問(wèn)的域用戶：

request.Credentials = CredentialCache.DefaultNetworkCredentials；

在web.cofig文件中需要將authentication元素的mode屬性配置為Windows。

2.2 JAVA應(yīng)用

JAVA應(yīng)用在實(shí)現(xiàn)基于AD的單點(diǎn)登錄時(shí)，需要有一個(gè)通用的組件能夠?qū)崿F(xiàn)NTLM的協(xié)議，從而實(shí)現(xiàn)與AD的交互來(lái)驗(yàn)證用戶當(dāng)前身份的合法性。具體的實(shí)現(xiàn)就會(huì)有兩種做法：一種是完全實(shí)現(xiàn)一套NTLM/Kerberos協(xié)議，從而完成與AD的交互。另外一種做法是利用現(xiàn)有的組件來(lái)實(shí)現(xiàn)。當(dāng)前，實(shí)現(xiàn)的較好的組件是Jespa。該組件能夠較好實(shí)現(xiàn)對(duì)于NTLMv1和NTLMv2的實(shí)現(xiàn)，對(duì)于當(dāng)前windows7以后的平臺(tái)支持較好。

具體的，在JAVA應(yīng)用中，需要引入Jespa的filter，通過(guò)filter來(lái)獲取當(dāng)前具有訪問(wèn)權(quán)限的用戶名，同時(shí)，Jespa還有一個(gè)配置文件，用于配置AD的相關(guān)屬性信息，包括domain的信息，需要進(jìn)行過(guò)濾的URL，認(rèn)證失敗后需要調(diào)整的URL等信息。

2.3 PHP應(yīng)用

PHP應(yīng)用在實(shí)現(xiàn)基于AD的單點(diǎn)登錄時(shí)，在很多的時(shí)候，和JAVA應(yīng)用類似的，需要一個(gè)實(shí)現(xiàn)NTLM協(xié)議的組件，從而能夠溝通PHP應(yīng)用和AD，實(shí)現(xiàn)用戶身份的合法驗(yàn)證。PHP應(yīng)用基于的應(yīng)用組件是mod-ntlm。很多的PHP應(yīng)用都是基于Linux服務(wù)器，而在Linux平臺(tái)上，也同樣需要加域才能完成與AD的通信。

對(duì)于Linux服務(wù)器加入域，主要步驟包括安裝samba，winbind，進(jìn)行samba和kerberos和winbaind的配置。最后，還需要安裝mod-ntlm組件，從而完成整個(gè)配置的步驟。具體的步驟，就不在這里詳細(xì)描述。

3 不足和發(fā)展方向

基于AD的單點(diǎn)登錄從技術(shù)上來(lái)講，是目前企業(yè)信息化過(guò)程中的一種較為現(xiàn)實(shí)的選擇方案?；谠摲桨?，企業(yè)可以靈活選擇不同的信息化的軟件產(chǎn)品，也無(wú)需限定特定的軟件開(kāi)發(fā)語(yǔ)言和平臺(tái)，可以說(shuō)是一種較為理想的技術(shù)方案。但是從其本身的角度出發(fā)，也存在著一定的不足和局限性：

1） 該技術(shù)主要基于microsoft的Acitve Directory，因此，對(duì)于微軟的平臺(tái)具有一定的依賴性，同時(shí)，其他的平臺(tái)實(shí)現(xiàn)起來(lái)也沒(méi)有IIS平臺(tái)上配置簡(jiǎn)單

2） 對(duì)于身份信息存儲(chǔ)部分，因?yàn)槭腔谖④浧脚_(tái)，所以本身需要一定的微軟產(chǎn)品的投入，未來(lái)，微軟公司本身的產(chǎn)品和技術(shù)路線，以及微軟公司本身的穩(wěn)定性也會(huì)對(duì)整體的技術(shù)架構(gòu)帶來(lái)一些潛在的風(fēng)險(xiǎn)

3） 因?yàn)槲④洰a(chǎn)品的封閉性，在企業(yè)的規(guī)模發(fā)展到一定程度后，如果出現(xiàn)系統(tǒng)的性能問(wèn)題，擴(kuò)展性的問(wèn)題時(shí)，只能依賴微軟來(lái)進(jìn)行分析和解決。

考慮到上面的幾個(gè)局限性，理想的企業(yè)應(yīng)用統(tǒng)一身份認(rèn)證架構(gòu)，應(yīng)該是基于統(tǒng)一、開(kāi)放的標(biāo)準(zhǔn)來(lái)實(shí)現(xiàn)的，各廠家可以基于該標(biāo)準(zhǔn)實(shí)現(xiàn)自己的產(chǎn)品，同時(shí)，始終由開(kāi)源組織來(lái)維護(hù)開(kāi)源的參考實(shí)現(xiàn)，同步提供低成本的解決方案。

在移動(dòng)應(yīng)用快速發(fā)展的今天，如何兼顧移動(dòng)端應(yīng)用安全性和使用便利，是未來(lái)企業(yè)統(tǒng)一認(rèn)證方式需要考慮的一個(gè)問(wèn)題。

對(duì)于企業(yè)來(lái)講，為了解決地域分布的問(wèn)題，企業(yè)應(yīng)用很多的都發(fā)布在互聯(lián)網(wǎng)上，此時(shí)，系統(tǒng)的安全問(wèn)題帶來(lái)了新的挑戰(zhàn)，而基于AD且實(shí)現(xiàn)NTLM協(xié)議的統(tǒng)一認(rèn)證方式，在一定程度上，能夠提高企業(yè)內(nèi)部信息系統(tǒng)的安全性，相對(duì)于用戶名/密碼保存在數(shù)據(jù)中的方式，安全性更高。

4 結(jié)論

對(duì)于一個(gè)企業(yè)來(lái)講，眾多應(yīng)用系統(tǒng)的用戶認(rèn)證，對(duì)于用戶來(lái)講，統(tǒng)一認(rèn)證意味著可以保持單一用戶ID和密碼；對(duì)于IT運(yùn)維人員來(lái)講，可以避免重復(fù)的勞動(dòng)，因此，對(duì)于企業(yè)內(nèi)部應(yīng)用系統(tǒng)的運(yùn)維具有非常重要的意義。適度提前且規(guī)劃良好的企業(yè)統(tǒng)一認(rèn)證策略，可以推動(dòng)企業(yè)信息化的進(jìn)程，特別是對(duì)新的企業(yè)，可以帶來(lái)良好的用戶體驗(yàn)和事半功倍的效果。同時(shí)，采用統(tǒng)一身份認(rèn)證方式也有助于提高企業(yè)內(nèi)部的信息化安全水平。

參考文獻(xiàn)：

[1] 孫韓林，劉建華. 公眾網(wǎng)絡(luò)統(tǒng)一身份認(rèn)證服務(wù)及標(biāo)準(zhǔn)研究[J]. 電信科學(xué)，2013（2）.

[2] 歐陽(yáng)榮彬，樊春，來(lái)天平. 一種面向單點(diǎn)登錄的統(tǒng)一身份認(rèn)證框架[J]. 武漢大學(xué)學(xué)報(bào)（理學(xué)版），2012（S1）.

[3] 王逸軍，耿海飛，施彤年，等. NTLM身份驗(yàn)證協(xié)議詳解[J] 計(jì)算機(jī)與網(wǎng)絡(luò)，2009（18）.