您的位置:360文档中心› LDAP环境下的统一用户管理系统的研究与实现

LDAP环境下的统一用户管理系统的研究与实现

合集下载

单点登录CAS与LDAP整合的实现

单点登录CAS与LDAP整合的实现

单点登录CAS与LDAP整合的实现单点登录(Single Sign-On,SSO)是一种身份验证和访问控制机制,允许用户使用一组凭据(如用户名和密码)登录到一个应用程序,然后在登录后访问其他应用程序而无需再次提供凭据。

这种机制的实现需要集成不同的身份验证系统,例如,CAS(Central Authentication Service)与LDAP(Lightweight Directory Access Protocol)。

CAS是一种基于Web的身份验证协议,它提供了一种单点登录解决方案,允许用户在一次登录后访问多个Web应用程序,并且不需要再次输入凭据。

CAS通过提供一个认证服务器来实现这一功能,该服务器负责验证用户的凭据,并生成一个票据(Ticket)以表示用户的身份。

LDAP是一种用于访问和维护分布式目录信息服务(Directory Information Services)的协议。

目录服务用于存储和组织用户和组的信息,包括用户名、密码和其他属性。

LDAP提供了一种标准化的方式来查找、添加、修改和删除目录条目,提供了对用户身份信息的集中存储和访问。

要将CAS和LDAP整合,首先需要配置CAS服务器以使用LDAP作为其用户存储和验证机制。

下面是实现此集成的步骤:1. 配置LDAP服务器:首先,需要在LDAP服务器上创建一个目录以存储用户和组的信息。

可以使用开源的LDAP服务器,如OpenLDAP或Microsoft的Active Directory。

2.配置LDAP属性映射:CAS需要将LDAP中的用户属性映射到CAS的用户模型中。

这些属性包括用户名、密码、姓名、角色等。

需要根据LDAP服务器的架构和CAS的用户模型进行正确的属性映射。

3.配置LDAP身份验证器:CAS使用一个或多个身份验证器来验证用户的凭据。

应该配置一个LDAP身份验证器来使用LDAP服务器进行用户身份验证。

4.配置CAS服务器:在CAS服务器上,需要配置CAS以使用LDAP身份验证器进行用户身份验证。

统一用户认证和单点登录解决方案

统一用户认证和单点登录解决方案

统一(tǒngyī)用户认证和单点登录解决方案随着信息技术和网络技术的迅猛发展,企业内部的应用系统越来越多。

比如在媒体行业,常见的应用系统就有采编系统、排版系统、印刷系统、广告管理系统、财务系统、办公自动化系统、决策支持系统、客户关系管理系统和网站发布系统等。

由于这些系统互相独立,用户在使用每个应用系统之前都必须按照相应的系统身份进行登录,为此用户必须记住每一个系统的用户名和密码,这给用户带来了不少麻烦。

特别是随着系统的增多,出错的可能性就会增加,受到非法截获和破坏(pòhuài)的可能性也会增大,安全性就会相应降低。

针对于这种情况,统一用户认证、单点登录等概念应运而生,同时不断地被应用到企业应用系统中。

统一用户管理的基本原理。

一般来说,每个应用系统都拥有独立的用户信息管理功能,用户信息的格式、命名与存储方式也多种多样。

当用户需要使用(shǐyòng)多个应用系统时就会带来用户信息同步问题。

用户信息同步会增加系统的复杂性,增加管理的成本。

多大例如,用户X需要同时使用A系统与B系统,就必须在A系统与B系统中都创建(chuàngjiàn)用户X,这样在A、B任一系统中用户X的信息更改后就必须同步至另一系统。

如果用户X需要同时使用10个应用系统,用户信息在任何(rènhé)一个系统中做出更改后就必须同步至其他9个系统。

用户同步时如果系统出现意外,还要保证数据的完整性,因而同步用户的程序可能会非常复杂。

解决用户同步问题的根本办法是建立统一用户管理系统(UUMS)。

UUMS统一存储所有应用系统的用户信息,应用系统对用户的相关操作全部通过UUMS 完成,而授权等操作则由各应用系统完成,即统一存储、分布授权。

UUMS应具备以下基本功能:1.用户信息规范命名、统一存储,用户ID全局惟一。

用户ID犹如身份证,区分和标识了不同的个体。

2.UUMS向各应用系统提供用户属性列表,如姓名、电话、地址、邮件等属性,各应用系统可以选择本系统所需要的部分或全部属性。

统一用户和权限管理设计

统一用户和权限管理设计
异常登录监控
监控用户的登录行为,发现异常登录及时进行处 理,如异地登录、频繁登录失败等。
单点登录实现
统一认证中心
建立统一的认证中心,负责用户的身份认证和授权管理。
单点登录协议
采用标准的单点登录协议,如OAuth、SAML等,实现不同应用之 间的单点登录。
令牌管理
通过令牌管理机制,在用户通过认证后颁发令牌,用户持令牌访问其 他应用时无需再次认证。
未来扩展方向预测及建议
微服务架构支持
随着微服务架构的普及,系统应考虑支持 微服务架构下的用户和权限管理,实现细
粒度的服务授权和访问控制。
跨平台与移动端支持
适应跨平台和移动端的发展趋势,提供跨 平台和移动端的用户和权限管理解决方案。
AI与机器学习应用
利用AI和机器学习技术,实现智能权限推 荐、异常行为检测等高级功能,提高系统 的智能化水平。
05
数据安全与隐私保护设计
数据加密传输与存储
01
采用SSL/TLS协议对传输的数据进行加密,确保数据在传输过 程中的安全性。
02
对存储的敏感数据进行加密处理,如密码、信用卡信息等, 以防止数据泄露。
03
使用强密码策略,并定期更换密码,减少密码被猜测或破解 的风险。
防止恶意攻击和篡改措施
01 部署防火墙和入侵检测系统,实时监测和防御恶 意攻击。
统一用户和权限管理设计
• 引言 • 用户管理设计 • 权限管理设计 • 统一认证与授权设计 • 数据安全与隐私保护设计 • 系统集成与扩展性考虑
01
引言
目的和背景
提高系统安全性
通过统一用户和权限管理,可以 严格控制用户对系统资源的访问, 防止未经授权的访问和数据泄露。

运用LDAP实现FTP系统的认证与管理

运用LDAP实现FTP系统的认证与管理

l l■运用L DA P实现FTp系统的认证与管理林国辉1陈宇先2(1.广东教育学院现代教育技术与网络信息中心广东广州510303;2.广州市信息工程职业学校广东广州510370)科学[摘要】在简要介绍L D A P和FT P相关技术的基础上,提出一套基于L D A P和FTP技术的统一身份认证方案和账号管理系统方案,解决FT P系统的统一认证、访闯控制和B/S模式下FT P账号管理等问题。

【关键词]FT P LD A P认证账号管理’中图分类号:T P3文献标识码;A文章编号:1671--7597(2008)0620043--01F TP(F i l e T r ans f er P r ot oc01)是I nt er net中广泛使用的一种网络服务,主要用于网络主机中的文件传输。

FT P是一种基丁|客户机/服务器模式的服务系统,用户需要在FT PJ J&务器上建立账号并拥有合法的权限方可进行有效的连接和登录。

由于FT P是基于c/s的工作模式。

有着c/s模式的特点,即传统的FT P账号和权限管理需在服务器端进行操作,而且,。

次只能对单个用户进行管理操作,在用户数量频繁增减情况下,使得FT P服务器的管理和维护非常繁琐,效率却较低。

L D A P(L i ght w ei ght D i r ec t or y A cce s s Pr ot o c01)是一种基于X.500标准的跨平台的轻量级目录访问协议。

它运行在TC P/I P协议上,对I nt er ne t有着良好的支持性,采用树状的层次结构来存储数据,具有数据读取速度快,管理方便等特点。

L D A P多用,构建统一身份认证系统,集中管理应用信息系统的账号,实现统一用户管理,身份认证、访问控制等功能;可解决多应用系统用户的统一管理、统一认证和统一授权;有助于减少数据冗余,提高数据安全和便J:用户操作。

一、O pe nLD A P与Pur eFT P认证一曩(--)O penL D A P简介O penL D A P是一款开源的L D A P目录服务产品,可以运行于L i nux,U i n X等操作系统。

基于LDAP的数字校园统一身份认证系统的实现

基于LDAP的数字校园统一身份认证系统的实现
不 可缺少 的。在传 统 的数字 化校 园建 设 中各 应 用系统 是孤 立设 计 的 。身
unf r i e t y a t e t ai n i h y t e lz to fd gtlc m p s T n b a i g t e e a p e o i m d n i u h n i t st e ke o r aiai n o iia a u . he y t k n h x m l f o t c o
a u i e c e s c n r l y tm s p o tn sn l —i n o n f d a c s o to s se i u p ri g ig e sg — n- we fe i y o i d a c s c nr l f aI xbl c mbne c e s o tos o J l
1 统 一身份 认证 系统 和 目录服务
身 份管 理服 务和 用户 身份认 证 服务 。 目录服 务器 是对 校 园 网用 户进 行统一 认证 平 台 的基础 , 用户 进行信 息 的统一 管理 , 对 保证 数据 一致 性 和完 整 性 , 过 L A Lgte h Dr t ces 通 D P( i w i t ic r A cs h g eo y Poc1目录服 务将 校 内 的用 户 或 组织 的 信 息 以层 rt o) o 次结 构 、 向对 象 的数 据 库 方 式 加 以 收集 和 管 理 。 面 作 为一个 开放 、 立 于 任何 厂 商 的标 准 ,D P为 分 独 LA 布式 系统 和服 务 中所要 求 的 中央化信 息存储 和 管理 提供 了一 个可 扩展 的结 构 。事实 上 L A D P已经成 为 目录信息的标准方式 , 目前包括 SnNtaeMc sf u ,ecp, io t s ro 等公 司都 已支 持该协 议 并 推 出 了相 应 的产 品 ,D P L A 支持 T P I, 对访 问 I e t C /P 这 n me 是非 常重要 的。L A t DP 最大 的优势 在于它是跨 平台和标准 的协议 , 以在任 可

基于LDAP和PKI的Intranet统一身份认证系统研究

基于LDAP和PKI的Intranet统一身份认证系统研究
idsu sd n d a e rl bee ce t c e r p s d tepo e s f u e tcto n tr g f ii l et c t.Th c e s ic se ,a w i l f in h me s o o e . h r c s a t niaina dso a eo dgt ri ae n ea i s ip o h ac f i e h me s
(.De at n f lcrc l e h oo y 1 p rme t e t a c n lg ,Nig oUnv ri f e h oo y oE i T n b iest o c n lg ,Nig o3 0 ,Chn ; y T n b 1 1 5 6 ia
2 olg f n omain .C l e I fr t ,Do g u ies ,S a g a 2 1 0 ,Chn ) e o o n h aUnv ri y t hn hi 0 6 0 ia
基于 L A D P和 P I It nt K 的 nr e统一身份认证系统研究 a
于 华 蔡 海 滨 2 刘 良旭 ,
(. 1 宁波3程 学院 电子技 术系, 浙江 宁波 4 50; 2 - - 10 0 .东华大学 信 息学院, 上海 2 10 ) 06 0
摘 要 :n re/ t nt 引入 为企 业 实现 信 息化 , It ntnr e 的 e Ia 提供 了一个快 捷 、 高效 、 方便 的 网络 环境 , 网络信 息安 全 中的用 户身份 但 认证 问题是 必须 解决 的关键 问题之 一 过对 当前 lt nt 通 nr e 身份 认证 系统存 在 的安 全性 问题 分析 , a 首先探 讨 基于 P I L A K和 D P 技 术 的身份 认证 的模 型 , 出了一 种可 靠 的、高效 的 Itn t 提 nr e 统一 身份认证 方案 , 点论述 了其认 证 过程 和数 字证 书的存储 a 重 备 份 问题 该 方案在 某个 大型企 业 网具体 实现 , 果 良好 , 当前 具有 广注 的应用 前景 。 效 在 关键 词 :nrnt It e;公钥 基础 设施 ; L AP;认 证模 型; 数字 证 书 a D 中图法分 类号 : P 9 T 33 文献标 识码 : A 文章编号 :0 07 2 20 ) 0 l6・4 10 -04(0 6 1一8 30

LDAP概念和原理介绍

LDAP概念和原理介绍相信对于许多的朋友来说,可能听说过LDAP,但是实际中对LDAP的了解和具体的原理可能还⽐较模糊,今天就从“什么是LDAP”、“LDAP的主要产品”、“LDAP的基本模型”、“LDAP的使⽤案例”四个⽅⾯来做⼀个介绍。

我们在开始介绍之前先来看⼏个问题:1. 我们⽇常的办公系统是不是有多个?2. 每个系统之间是不是都有独⽴的账号密码?3. 密码多了,有时候半天想不起来哪个密码对应哪个系统?4. 每次新项⽬的开发,都需要重新开发和维护⼀套⽤户密码?5. 维护多套系统的⽤户是不是⾮常头疼?So,如今⼤家再也不⽤为上⾯的的问题头疼了,因为“LDAP统⼀认证服务”已经帮助⼤家解决这些问题了。

那么相信⼤家对“LDAP统⼀认证服务”是⼲嘛的已经有⼀个⼤概的了解了吧?那我们开始今天要讲解的内容吧!⼀、什么是LDAP?(⼀)在介绍什么是LDAP之前,我们先来复习⼀个东西:“什么是⽬录服务?” 1. ⽬录服务是⼀个特殊的数据库,⽤来保存描述性的、基于属性的详细信息,⽀持过滤功能。

2. 是动态的,灵活的,易扩展的。

如:⼈员组织管理,电话簿,地址簿。

(⼆)了解完⽬录服务后,我们再来看看LDAP的介绍:LDAP(Light Directory Access Portocol),它是基于X.500标准的轻量级⽬录访问协议。

⽬录是⼀个为查询、浏览和搜索⽽优化的数据库,它成树状结构组织数据,类似⽂件⽬录⼀样。

⽬录数据库和关系数据库不同,它有优异的读性能,但写性能差,并且没有事务处理、回滚等复杂功能,不适于存储修改频繁的数据。

所以⽬录天⽣是⽤来查询的,就好象它的名字⼀样。

LDAP⽬录服务是由⽬录数据库和⼀套访问协议组成的系统。

(三)为什么要使⽤LDAP是开放的Internet标准,⽀持跨平台的Internet协议,在业界中得到⼴泛认可的,并且市场上或者开源社区上的⼤多产品都加⼊了对LDAP的⽀持,因此对于这类系统,不需单独定制,只需要通过LDAP做简单的配置就可以与服务器做认证交互。

ldap单点登录原理

ldap单点登录原理LDAP单点登录原理是通过使用LDAP协议实现用户信息的统一管理和认证,实现用户在同一域名下的多个应用系统中进行单点登录的功能。

下面将从LDAP单点登录的原理入手,详细介绍其实现步骤。

一、用户登录过程用户在访问系统之前,需要先通过身份认证,通常是通过输入用户名和密码进行认证。

在LDAP单点登录中,认证一般是由LDAP服务器来完成,用户输入LDAP服务器提供的用户名和密码后,LDAP服务器会验证其有效性,并将相关信息返回给应用系统。

如果认证通过,则用户可以被授权登录应用系统。

如果认证失败,则用户被拒绝登录。

因此,LDAP单点登录的关键在于认证过程的实现。

二、应用系统的接入过程对于一个LDAP单点登录系统,应用系统需要实现LDAP接口进行访问,以便向LDAP服务器发出认证请求和获取用户信息等操作。

应用系统一般也需要通过配置文件获取相应的LDAP服务器参数,包括LDAP 服务器地址、端口号、用户名和密码等。

在认证过程中,应用系统会向LDAP服务器发出认证请求,LDAP服务器会验证该请求的有效性,并根据其认证结果返回相关信息。

应用系统根据返回的信息,判断用户是否被授权登录系统。

如果被授权登录,则系统会通过创建一个会话来保持用户的身份信息,以供后续访问。

如果未被授权,则用户必须重新进行认证。

三、单点登录的实现过程对于LDAP单点登录系统,由于用户的身份信息被统一管理,因此在不同的应用系统中,用户只需要进行一次身份认证即可实现单点登录。

具体实现过程如下:1. 用户访问应用系统,应用系统通过LDAP协议向LDAP服务器发出认证请求。

2. LDAP服务器接收到应用系统的认证请求后,会验证该请求的有效性,并根据其认证结果返回相关信息。

3. 应用系统根据返回的信息,判断用户是否被授权登录系统。

如果被授权,则系统会通过创建一个会话来保持用户的身份信息,以供后续访问。

如果未被授权,则用户必须重新进行认证。

基于LDAP+Squid的多用户认证上网系统研究

3.2 系统部署 1冤系统环境
2018 年 第 8 期
论文选粹
Squid 对用户账号和密码能对接认证成功遥
图 4 LDAP+Squid 认证功能测试
图 3 LDAP+Squid 认证技术架构
应用软件院Openldap袁Squid曰 操作系统院FreeBSD曰 2冤LDAP 核心参数 LDADD = -LMYM 渊top_builddir冤/lib -L/usr /local/lib 渊此项增加冤 -lmiscutil -lldap -llber MYM 渊XTRA_LIBS冤 INCLUDES = -IMYM 渊top_srcdir冤/include -I/ usr/local/include渊此项增加冤 3冤Squid 核心参数 auth_param basic program/usr/local/squid/bin/ squid_ldap_auth -b o=zju -f \渊uid=%s\冤 10.10.8.32 渊增加 NTLM也NT LAN Manager页论证袁避免 NTLM 论证错误冤 port袁cache袁mem袁maximum_object_size袁cache_ access_log袁 cache_store_log袁 none袁 cache_effective_ user nobody袁cache_effective_group nobody袁cache_ dir null /tmp袁 visible_hostname 渊修改 cache 容量袁观察文件可打开句柄袁单进程最 大可用内存冤 --enable-storeio=aufs --enable-removal-policies=heap袁lru --enable-auth=basic袁ntlm --enable-default-err-language=Simplify_Chinese --enable-dlmalloc --enable-delay-pools --enable-snmp --enablecachemgr-hostname --enable-basic-auth-helpers =LDAP --enable-ntlm-fail-open--enable-async-io=50 渊使用磁盘缓存安装配置冤 3.3 功能与性能测试 1冤用户认证功能测试 域内用户对 Squid 服务器发出上网认证请求 后袁Squid 服务器将用户账号与密码传递至 LDAP 数据服务器进行认证 咱5暂袁 图 4 结果显示 LDAP +

基于LDAP的单点登录方案的分析、设计与实现

式 的
的系统传 使快速建
随着 网络访 问速度 的大幅提升 , 以网络为基础 的应用程 序 正在激 增。W b应用程序的优势很 明显 , e 首先, 客户端不 需 要任何安装和配置, 只要安装浏览器就可 以运行 。其次 , 于 基
打 开 网页 时 , 以不 用输 入 用 户 名 和 密 码 。但 是 , 果用 户 不 可 如
用户名和密码而直接进入相应的字系统 。 每一个系统有一个身份认证模块,不仅用户操作繁琐 ,
而且还影 响数据的一致性 。因为用户 的身份随时都在发生改 变, 如果用户 的信息分散到各个子系统 之中 , 么 , 那 当更改用 户信息 时, 就需 要对每一 个系统 逐一进 行更 改, 据 的安全 数 性、 完整性得不到保 障。 因此, 需要设计一个通用的系统 , 对用
户身份进行统一认证 , 并且 , 身份认证 以后 , 用户在一 定的时
间 内, 以无缝的访问其他 系统 , 可 即一 次登录就可访 问分布在 不 同地理位置、 不同部门的服务 器。这也是基于 LA D P的单点 登录系统 的设计 目标 。
2 身份 认 证 与 单 点登 录 方 案 .
允许应用程 序使用 C o i , o k e 那么 , 可能导 致系统 无法进 行 有 正常的工作。同时 , 一个服务器生成 的 C o i, o k e 也不 能很容易 地运用到另一个 W b应用程序中去。 e 另 外 ,e Wb服 务器 常用 到 另外 一个 会 话 变量 :e so 。 S s in S s in变量可 以保持本应用系 统中的一 些变量 的值 , eso 但是 , 它不能直接将取 出来 的值用于另外一个系统之中。 从上 面 的 分 析我 们 可 以 看 出 ,用 户 的 登录 问题 , 用 Co i o k e或 S s in来解 决 比较 方 便 , 关键 问题 是 要 解 决 e so Co i o k e或 S s in不能跨 W B服务器 的问题 。因此 , 们构 e so E 我 想 了一个 新的系统,即所有需要保持状态的变量都在一个单
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

角 色 ,一 个 用 户 可 以 是 多 个 角 色 的 成 员 ,一 个 角 色 也 可 以 有 很 多 个 权 限 ,而 同 样 的 权 限 可 以 分 配 给 多 个 角 色 ,系 统 管 理 员 可 根 据 用 户 的 岗 位 对 权 限 进 行 注 册 ,分 配 角 色 ,并 给 角 色 授 予 权 限 ,用 户 若 对 某 业 务 应 用 系 统 进 行 操 作 必 须 对 用 户 进 行 认 证 才 可 进 入 各 个 业 务 应 用 系 统 的 相 应 的 操 作 。例 如 南 昌 市 房 改 办 中 的 张 三 需 对 住 房 业 务 系 统 进 行“审 核 住 房”操 作 ,首 先 系 统 管 理 员 要 根 据 他 的 工 作 责 任 和 职 位 分 配 相 应 的 角 色 为“checkHouse”,而 角 色“checkHouse”与 权 限“house@ check”相 关 联 ,也 可 以 拥 有 多 个 权 限 ,然 后 张 三 在 访 问 住 房 业 务 系 统 时 通 过 认 证 只 能 进 入“checkHouse”这 一 角 色 的 可 操 作 界 面 ,同 时 在“审 核 住 房”操 作 时 也 要 进 行 认 证 。 3.2 LDAP 管 理
全 认 证 的 一 个 中 间 层 软 件 系 统 。它 包 括 统 一 用 户 和 部 门 管 理 、 统一认证和授权两个部分。统一用户和部门管理提供了用户 和部门之间的从属关系,支持部门之间的各种关系。统一认证 和授权提供了对用户的认证、授权、加密等管理,并将所有功 能 组 织 成 树 状 结 构 ,分 别 授 权 给 不 同 的 人 员 、部 门 和 角 色 ,提 供应用程序接口,能够以 XML 文件的形式导出,能够在界面 上以树状结构的形式显示。统一用户管理系统结构如图 1 所示。
用户信息 业务系统
用户信息 业务系统
图 1 统一用户管理系统结构
用户信息 业务系统
是统一用户管理系统构架图 (如图 2 所示) 和系统 组件图(如图 3 所示)。
该系统的构架我们运用 RBAC 的概念进行设 计,其中组织机构当中的用户具有对应不同权限的
(5) 安全认证管理:提供安全认证相关接口,实现电子政 务的 CA 证书的签发机构职能与证书库管理,满足电子政务的 有 效 性 、机 密 性 、完 整 性 、不 可 抵 赖 性 与 审 查 能 力 五 个 方 面 的 安全需求。
第 28 卷 第 4 期 Vol. 28 No. 4
计算机工程与设计
Computer Engineering and Design
2007 年 2 月 Feb. 2007
LDAP 环境下的统一用户管理系统的研究与实现
胡立春 1, 武友新 1, 张 烨 2, 姜晓东 2 (1. 南昌大学 信息工程学院,江西 南昌 330029;2. 江西思创科技集团,江西 南昌 330029)
Research and implementation of unified user management system in environment of LDAP
HU Li-chun1, WU You-xin1, ZHANG Ye2, JIANG Xiao-dong2 (1. Information Engineering School, Nanchang University, Nanchang 330029, China;
LDAP (lightweight directory access protocol,LDAP) 轻型目 录访问协议是目录访问协议的一种,它是对 X.500 的目录访问 协议的移植,但是简化了实现方法,所以称为轻量级的目录服 务。同时 LDAP 是一种标准、开放、可扩展的目录访问协议,它 把网络环境中的各种资源(用户、硬件设备、网络设备、数据、信 息等)都作为目录信息,在目录树结构中分层存储,对这些信息 可以存储、访问、管理并使用,是为有效的集成管理网络目录中 的信 息 提供 服 务,是 支持 网 络 系统 的 重要 底 层基 础 技 术之 一 。
- 823 -
门户网页
身份认证
CA 中心
件包和查询命令与 LDAP 服务器进行交互。
3 系统实现方案
访问控制
用户 统 一 用 户 管 理 系 统架 构 统 一 用 户 管 理 系 统 包 括 :组 织 机 构 管 理 、用 户
管理、权限管理、授权管理、安全认证管理。 以下
1 统一用户管理系统概述
该统一用户管理系统是国家 863 计划软件重大专项项目 “基于 Linux 的业务基础组件平台的研究与应用”中基础组件 之 一 ,主 要 是 为 整 个 电 子 政 务 平 台 及 各 种 应 用 系 统 提 供 统 一 的组织结构管理、人员用户管理、角色权限配置、授权管理、安
0引 言
目 前 ,随 着 各 大 型 企 事 业 单 位 部 门 及 人 员 关 系 调 整 的 越 来越频繁,部门及人员要对应用系统要求有不同权限,在许多 企 事 业 单 位 中 ,不 同 的 应 用 系 统 都 拥 有 一 套 独 立 的 用 户 管 理 系统,造成用户管理系统重复开发,同时各系统之间的集成也 存在问题,很难实现用户单点登陆,给用户管理带来了很大的 困 难 ,如 何 提 高 管 理 效 率 ,减 少 重 复 开 发 ,很 好 的 管 理 组 织 机 构、部门、用户及角色,灵活支持企业的安全策略,对企业的变 化有很大的伸缩性,为此我们采用统一的安全管理设计思想, 规 范 化 设 计 和 先 进 的 技 术 架 构 体 系 ,构 建 一 个 通 用 的 、完 善 的 、安 全 的 、易 于 管 理 的 、可 扩 展 的 统 一 用 户 管 理 系 统 。
LDAP 目录服务具有广泛的数据整合和共享能力,支持 分 布 式 的 信 息 访 问 和 数 据 操 作 功 能 ,它 有 着 强 大 的 授 权 认 证 机制和精细的访问控制,比一般的数据库更具安全性,同时元 目 录 功 能 允 许 快 速 、简 洁 的 与 企 业 现 存 基 础 结 构 进 行 集 成 ,从 而使用户信息方便管理,访问起来速度快捷,而使用传统数据 库 来 存 储 用 户 信 息 会 造 成 大 量 的 冗 余 信 息 ,使 得 对 用 户 信 息 数据库各种操作的效率降低,LDAP 目录服务的特性有效地解
该系统主要实现: (1) 组织机构管理:包括部门与工作组管理,使用户能统 一 地 对 机 构 与 多 级 部 门 相 关 信 息 进 行 关 联 配 置 ,从 而 是 政 务 应用系统适应不同的机构及部门。 (2) 用户管理:对组织中各部门的用户个人信息进行统一 管 理 ,包 括 用 户 账 号 、密 码 、真 实 姓 名 性 别 等 人 事 信 息 。 (3) 权限管理:包括资源基权限管理及角色管理,基权限 将所有应用程序中各个管理模块最基本的功能权限作为元素 进行设计与安排,在角色管理中对角色进行基权限的配置组合。 (4) 授权管理:为用户提供相关资源权限的机制,并根据 该用户所担任角色的相关权限进行配置。
2. Jiangxi Strong Technological Group, Nanchang 330029, China)
Abstract:In order to solve the problem better to the user, organization and department's management of large enterprise, reduce the complexity to the authentication management, make the E-government application system to adapt different organization and department, and make the user management to be more effective and safe, the unified user management system is designed and implemented, which is universal, safe, and extensible by the concept of RBAC (role-based access control) and the LDAP (lightweight directory access protocol) technology. Key words:unified user management; RBAC; directory service; LDAP; directory information tree
收稿日期:2006-01-16 E-mail:hulc1983@ 基金项目:国家 863 高技术研究发展计划基金项目 (2004AA1Z2080)。 作者简介:胡立春 (1983-),男,江西鄱阳人,硕士研究生,研究方向为数据库、软件工程、电子政务; 武友新 (1963-),男,教授,研究方 向为数据库、软件工程、电子政务; 张烨 (1978-),男,工程师,研究方向为电子政务; 姜晓东 (1978-),男,工程师,研究方向为电子政务。
2 系统应用的关键技术
2.1 基 于 角 色 访 问 控制 基于角色的访问控制 (role-based access control,RBAC) 是
为 防 御 越 权 使 用 资 源 提 出 的 授 权 方 案 ,它 的 访 问 决 策 是 基 于 角 色 的 。 若 用 户 是 某 个 组 织 的 一 部 分 ,用 户 权 限 的 授 予 是 通 过 给 用 户 指 派 某 种 特 定 的 角 色 来 完 成 。定 义 角 色 的 过 程 应 该 基 于 对 组 织 运 转 的 彻 底 分 析 ,对 不 同 部 门 或 人 员 的 工 作 责 任 和 资 历 来 考 虑 。 访 问 权 限 按 角 色 名 分 组 ,也 就 是 说 权 限 和 角 色 相 关 ,用 户 对 信 息 的 访 问 在 指 派 角 色 的 基 础 上 被 管 制 ,这 样 实现了部门或人员与访问权限的逻辑分离。RBAC 的策略和 结 构 是 灵 活 的 ,它 的 一 个 最 大 优 点 是 支 持 管 理 性 能 ,可 以 适 应 不 同 的 安 全 政 策 要 求 ,得 到 了 广 泛 应 用 。 2.2 LDAP 目 录 服 务
相关文档
最新文档