統(tǒng)一用戶管理及認(rèn)證系統(tǒng)概要設(shè)計說明書

統(tǒng)一用戶管理及認(rèn)證系統(tǒng)概要設(shè)計說明書文件狀態(tài)：[]草稿[]正式發(fā)布[√]正在修改文件標(biāo)識：當(dāng)前版本：1.0作者：黃輝完成日期：2011-11-16保密級別：機(jī)密修改記錄日期版本作者/修改者描述審核人2011-11-161.0黃輝新建統(tǒng)一用戶管理系統(tǒng)概要設(shè)計說明書目錄TOC\o"1-3"\h\z第一章引言 11.1編寫目的 11.2背景 11.3定義 11.4參考資料 1第二章總體設(shè)計 12.1需求規(guī)定 12.2運(yùn)行環(huán)境 12.3基本設(shè)計概念和處理流程 12.4結(jié)構(gòu) 12.5功能器求與程序的關(guān)系 12.6人工處理過程 22.7尚未問決的問題 2第三章接口設(shè)計 23.1用戶接口 23.2外部接口 23.3內(nèi)部接口 2第四章運(yùn)行設(shè)計 24.1運(yùn)行模塊組合 24.2運(yùn)行控制 24.3運(yùn)行時間 2第五章系統(tǒng)數(shù)據(jù)結(jié)構(gòu)設(shè)計 25.1邏輯結(jié)構(gòu)設(shè)計要點(diǎn) 25.2物理結(jié)構(gòu)設(shè)計要點(diǎn) 25.3數(shù)據(jù)結(jié)構(gòu)與程序的關(guān)系 2第六章系統(tǒng)出錯處理設(shè)計 36.1出錯信息 36.2補(bǔ)救措施 36.3系統(tǒng)維護(hù)設(shè)計 3第一章引言1.1編寫目的在推進(jìn)和發(fā)展信息建設(shè)的進(jìn)程中，需要通過統(tǒng)一的規(guī)劃和設(shè)計，開發(fā)建設(shè)一套用戶統(tǒng)一的身份管理及單點(diǎn)認(rèn)證支撐平臺。利用此支撐平臺可以實(shí)現(xiàn)用戶一次登錄、網(wǎng)內(nèi)通用，避免多次登錄到多個應(yīng)用的情況，規(guī)范今后的應(yīng)用系統(tǒng)的建設(shè)。本文檔旨在依據(jù)此構(gòu)想為開發(fā)人員提出一個設(shè)計理念，解決在企業(yè)信息整合中遇到的一些問題。1.2背景招商局集團(tuán)綜合辦公系統(tǒng)需要集成內(nèi)部辦公系統(tǒng)及其它一些外部應(yīng)用，如ActivCard、CSMail、BBS、視頻會議系統(tǒng)等，由于用戶要求這些應(yīng)用能夠在企業(yè)信息門戶中實(shí)現(xiàn)單點(diǎn)登錄（SSO），這就要求我們具備一個集中統(tǒng)一的用戶管理機(jī)制，統(tǒng)一用戶管理（UUM）正是一套可以滿足用戶需求的，能夠組件化的，通用的解決方案；特別是在網(wǎng)絡(luò)資源查找、用戶訪問控制與認(rèn)證信息的查詢、新型網(wǎng)絡(luò)服務(wù)、網(wǎng)絡(luò)安全、商務(wù)網(wǎng)的通用數(shù)據(jù)庫服務(wù)和安全服務(wù)等方面，都需要應(yīng)用目錄服務(wù)技術(shù)來實(shí)現(xiàn)一個通用、完善、應(yīng)用簡單和可以擴(kuò)展的系統(tǒng)。第二章總體設(shè)計2.1需求規(guī)定系統(tǒng)提供統(tǒng)一的用戶管理、身份認(rèn)證及角色定制；一個全面的用戶管理基礎(chǔ)結(jié)構(gòu)應(yīng)該能夠幫助公司實(shí)時地維持統(tǒng)一的用戶特征，即便這些用戶是為不同的應(yīng)用系統(tǒng)而創(chuàng)建和使用。統(tǒng)一的用戶系統(tǒng)進(jìn)行統(tǒng)一帳號創(chuàng)建、修改和刪除，這使快速推出新的業(yè)務(wù)成為可能。一個公司應(yīng)該能擁有一個提供用戶全面集中管理的管理層，而不為每個新的應(yīng)用程序或服務(wù)建立分布的用戶管理層。企業(yè)各應(yīng)用的用戶通過一個全局唯一的用戶標(biāo)示及存儲于目錄服務(wù)中的靜態(tài)口令或由令牌獲得動態(tài)口令，到認(rèn)證服務(wù)器進(jìn)行驗(yàn)證，如驗(yàn)證通過即可可登錄到企業(yè)信息門戶中訪問集成的各種應(yīng)用；可以在系統(tǒng)中維護(hù)用戶信息并同步到各個應(yīng)用中；能夠根據(jù)其在企業(yè)的組織機(jī)構(gòu)中的身份定制角色。由于系統(tǒng)面向于企業(yè)的各種應(yīng)用，提供基于目錄的統(tǒng)一用戶管理及認(rèn)證；故必須具備標(biāo)準(zhǔn)通用，安全穩(wěn)定，響應(yīng)快捷等特點(diǎn)的高性能服務(wù)能力。2.2運(yùn)行環(huán)境由于占用資源少，系統(tǒng)對運(yùn)行環(huán)境的要求不高，理想的系統(tǒng)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)如圖[圖2.2]2.2.1服務(wù)器服務(wù)器可根據(jù)應(yīng)用的規(guī)模選定，可采用各種專用的服務(wù)器系統(tǒng)或PC服務(wù)器系統(tǒng)（如；SUN服務(wù)器，IBM服務(wù)器,HP服務(wù)器等），使用操作系統(tǒng)可以為SUNSolaris或Linux。2.2.2數(shù)據(jù)庫軟件流行的大中型數(shù)據(jù)庫軟件，如Oracle、MSSQLServer、DB2、PostgreSQL、SYSBASE等；2.2.3Web應(yīng)用服務(wù)器WebLogic6或以上版本W(wǎng)ebsphere4或以上版本JRun4或以上版本ResinTomcat4或以上版本2.2.4客戶機(jī)采用B/S結(jié)構(gòu)的子系統(tǒng)運(yùn)行于Web瀏覽器之上，硬件要求為Pentium133/32M以上配置。2.3基本設(shè)計概念和處理流程2.3.1企業(yè)級應(yīng)用的系統(tǒng)架構(gòu)[圖2.3.2基于目錄服務(wù)的系統(tǒng)設(shè)計目錄服務(wù)簡介目錄是一種特殊的數(shù)據(jù)庫，目錄服務(wù)就是按照樹狀信息組織模式，實(shí)現(xiàn)信息管理和服務(wù)接口的一種方法，目錄服務(wù)是軟件、硬件、策論以及管理的集合體；它服務(wù)于各種應(yīng)用程序，包括LDAP（輕量級目錄訪問協(xié)議）目錄和基于X.500的目錄。這些目錄都是通用的標(biāo)準(zhǔn)的目錄。它們不適合于特定的操作系統(tǒng)、應(yīng)用目的；目錄服務(wù)系統(tǒng)一般由兩部分組成：第一部分是數(shù)據(jù)庫，一種分布式的數(shù)據(jù)庫，且擁有一個描述數(shù)據(jù)的規(guī)劃；第二部分則是訪問和處理數(shù)據(jù)庫有關(guān)的詳細(xì)的訪問協(xié)議。雖然目錄也被稱為特殊的數(shù)據(jù)庫，但它不同于真正的數(shù)據(jù)庫。目錄的大部分操作為讀操作。假如應(yīng)用程序要寫大量的數(shù)據(jù)，就應(yīng)該考慮選擇使用數(shù)據(jù)庫來實(shí)現(xiàn)。目錄支持相對簡單的事務(wù)處理。與文件系統(tǒng)比較：目錄被認(rèn)為是很差的文件系統(tǒng)。文件通常很大，有幾兆甚至更大，雖然目錄被優(yōu)化成存取很小的信息。應(yīng)用程序以塊的方式存取文件。文件系統(tǒng)支持各種調(diào)用--像seek()，read()和write()，這樣可以寫大文件的一部分的信息。目錄不能提供這種隨機(jī)的存取訪問。目錄條目被分成各種屬性。你可以分別獲取各種屬性。你不能取得一個條目的部分值，如從第幾個字節(jié)開始。與web的比較：不像web服務(wù)器一樣，目錄不適合推送JPEG圖像或Java程序給客戶端。Web服務(wù)通常作為開發(fā)web應(yīng)用的跳板。這些平臺從CGI（公用網(wǎng)關(guān)接口）到更復(fù)雜的像Netscape應(yīng)用服務(wù)平臺。目錄一般不提供這種形式的應(yīng)用開發(fā)，甚至它不提供目錄應(yīng)用開發(fā)平臺服務(wù)。與FTP的主要區(qū)別在于：數(shù)據(jù)量的大小和客戶的類型。另外一點(diǎn)就是FTP是一個非常簡單的協(xié)議，它專于做一件事情并把它做好。假如你想做的是把文件從一個地方傳送到另一個地方，那么額外的目錄下層結(jié)構(gòu)也需要，如復(fù)制、查詢、更新等。與DNS比較：因特網(wǎng)的域名系統(tǒng)和目錄有相似之處，它們都提供對分層式數(shù)據(jù)庫的訪問。但其它一些不同把它們區(qū)分開來。DNS的主要目的是把主機(jī)名轉(zhuǎn)換成IP地址。比較而言，大多數(shù)目錄有更普通的作用。DNS有一套專門的、固定的計劃，而目錄允許被擴(kuò)展。DNS不允許更新它的信息，而目錄可以。DNS可通過UDP的無連接的方式訪問，而目錄通常是連接訪問的。目錄服務(wù)與關(guān)系型數(shù)據(jù)庫比較，目錄不支持批量更新所需要的事務(wù)處理功能，目錄一般只執(zhí)行簡單的更新操作，適合于進(jìn)行大量數(shù)據(jù)的檢索；目錄具有廣泛復(fù)制信息的能力，從而在縮短響應(yīng)時間的同時，提高了可用性和可靠性。目前，目錄服務(wù)技術(shù)的國際標(biāo)準(zhǔn)有兩個，即較早的X.500標(biāo)準(zhǔn)和近年迅速發(fā)展的LDAP標(biāo)準(zhǔn)。X.500：在八十年代中期，兩個不同的團(tuán)體--CCITT和ISO，各自開始在目錄服務(wù)方面的研究工作。最后，兩個國際性的目錄規(guī)范融合成一個規(guī)范，這就是X.500。X.500的優(yōu)勢在于它的信息模型，它的多功能性和開放性。LDAP：1993年7月，第一個LDAP規(guī)范是由密歇根大學(xué)開發(fā)的，也就是RFC1487。LDAP的開發(fā)者們簡化了笨重的X.500目錄訪問協(xié)議，他們在功能性、數(shù)據(jù)表示、編碼和傳輸方面做了改建。目前，LDAP的版本是第3版本，相對以前版本來說，第3版本在國際化、提名、安全、擴(kuò)展性和特性方面更加完善。1997年，第3版本成為因特網(wǎng)標(biāo)準(zhǔn)。由于LDAP所具有的查詢效率高、樹狀的信息管理模式、分布式的部署框架以及靈活而細(xì)膩的訪問控制，使LDAP廣泛地應(yīng)用于基礎(chǔ)性、關(guān)鍵性信息的管理，如用戶信息、網(wǎng)絡(luò)資源信息等。LDAP的應(yīng)用主要涉及幾種類型。信息安全類：數(shù)字證書管理、授權(quán)管理、單點(diǎn)登錄；科學(xué)計算類：DCE(DistributedComputingEnvirionment，分布式計算環(huán)境)、UDDI（UniversalDescription，DiscoveryandIntegration,統(tǒng)一描述、發(fā)現(xiàn)和集成協(xié)議）；網(wǎng)絡(luò)資源管理類：MAIL系統(tǒng)、DNS系統(tǒng)、網(wǎng)絡(luò)用戶管理、電話號碼簿；電子政務(wù)資源管理類：內(nèi)網(wǎng)組織信息服務(wù)、電子政務(wù)目錄體系、人口基礎(chǔ)庫、法人基礎(chǔ)庫。選擇目錄技術(shù)與否可參考以下幾個方面信息：*

信息量大小。目錄適合于存放相對小的信息量，而不是幾兆大小的文件;*

信息的類型。目錄通常是基于屬性的信息;*

讀寫比。目錄適合于讀操作更多的應(yīng)用。如需要用到大量的寫操作，數(shù)據(jù)庫是一個選擇;*

搜尋能力。目錄能搜尋他自身包含的信息;*

標(biāo)準(zhǔn)訪問。假如你需要標(biāo)準(zhǔn)的訪問信息,目錄是一個好的選擇;LDAPLDAP（輕量級目錄訪問協(xié)議，Lightweight

Directory

Access

Protocol)是實(shí)現(xiàn)提供被稱為目錄服務(wù)的信息服務(wù)。目錄服務(wù)是一種特殊的數(shù)據(jù)庫系統(tǒng)，其專門針對讀取，瀏覽和搜索操作進(jìn)行了特定的優(yōu)化。目錄一般用來包含描述性的，基于屬性的信息并支持精細(xì)復(fù)雜的過濾能力。目錄一般不支持通用數(shù)據(jù)庫針對大量更新操作操作需要的復(fù)雜的事務(wù)管理或回卷策略。而目錄服務(wù)的更新則一般都非常簡單。這種目錄可以存儲包括個人信息、web鏈結(jié)、jpeg圖像等各種信息。為了訪問存儲在目錄中的信息，就需要使用運(yùn)行在TCP/IP之上的訪問協(xié)議—LDAP。LDAP四種基本模型：信息模型：描述LDAP的信息表示方式。在LDAP中信息以樹狀方式組織，在樹狀信息中的基本數(shù)據(jù)單元是條目，而每個條目由屬性構(gòu)成，屬性中存儲有屬性值；LDAP中的信息模式，類似于面向?qū)ο蟮母拍?，在LDAP中每個條目必須屬于某個或多個對象類（ObjectClass），每個ObjectClass由多個屬性類型組成，每個屬性類型有所對應(yīng)的語法和匹配規(guī)則；對象類和屬性類型的定義均可以使用繼承的概念。每個條目創(chuàng)建時，必須定義所屬的對象類，必須提供對象類中的必選屬性類型的屬性值，在LDAP中一個屬性類型可以對應(yīng)多個值。在LDAP中把對象類、屬性類型、語法和匹配規(guī)則統(tǒng)稱為Schema，在LDAP中有許多系統(tǒng)對象類、屬性類型、語法和匹配規(guī)則，這些系統(tǒng)Schema在LDAP標(biāo)準(zhǔn)中進(jìn)行了規(guī)定，同時不同的應(yīng)用領(lǐng)域也定義了自己的Schema，同時用戶在應(yīng)用時，也可以根據(jù)需要自定義Schema。這有些類似于XML，除了XML標(biāo)準(zhǔn)中的XML定義外，每個行業(yè)都有自己標(biāo)準(zhǔn)的DTD或DOM定義，用戶也可以自擴(kuò)展；也如同XML，在LDAP中也鼓勵用戶盡量使用標(biāo)準(zhǔn)的Schema，以增強(qiáng)信息的互聯(lián)互通。在Schema中最難理解的是匹配規(guī)則，這是LDAP中為了加快查詢的速度，針對不同的數(shù)據(jù)類型，可以提供不同的匹配方法，如針對字符串類型的相等、模糊、大于小于均提供自己的匹配規(guī)則。

命名模型：描述LDAP中的數(shù)據(jù)如何組織。LDAP中的命名模型，也即LDAP中的條目定位方式。在LDAP中每個條目均有自己的DN和RDN。DN是該條目在整個樹中的唯一名稱標(biāo)識，RDN是條目在父節(jié)點(diǎn)下的唯一名稱標(biāo)識，如同文件系統(tǒng)中，帶路徑的文件名就是DN，文件名就是RDN。功能模型：描述LDAP中的數(shù)據(jù)操作訪問在LDAP中共有四類10種操作：查詢類操作，如搜索、比較；更新類操作，如添加條目、刪除條目、修改條目、修改條目名；認(rèn)證類操作，如綁定、解綁定；其它操作，如放棄和擴(kuò)展操作。除了擴(kuò)展操作，另外9種是LDAP的標(biāo)準(zhǔn)操作；擴(kuò)展操作是LDAP中為了增加新的功能，提供的一種標(biāo)準(zhǔn)的擴(kuò)展框架，當(dāng)前已經(jīng)成為LDAP標(biāo)準(zhǔn)的擴(kuò)展操作，有修改密碼和StartTLS擴(kuò)展，在新的RFC標(biāo)準(zhǔn)和草案中正在增加一些新的擴(kuò)展操作，不同的LDAP廠商也均定義了自己的擴(kuò)展操作。安全模型：描述LDAP中的安全機(jī)制。LDAP中的安全模型主要通過身份認(rèn)證、安全通道和訪問控制來實(shí)現(xiàn)。身份認(rèn)證在LDAP中提供三種認(rèn)證機(jī)制，即匿名、基本認(rèn)證和SASL（SimpleAuthenticationandSecureLayer）認(rèn)證。匿名認(rèn)證即不對用戶進(jìn)行認(rèn)證，該方法僅對完全公開的方式適用；基本認(rèn)證均是通過用戶名和密碼進(jìn)行身份識別，又分為簡單密碼和摘要密碼認(rèn)證；SASL認(rèn)證即LDAP提供的在SSL和TLS安全通道基礎(chǔ)上進(jìn)行的身份認(rèn)證，包括數(shù)字證書的認(rèn)證。通訊安全在LDAP中提供了基于SSL/TLS的通訊安全保障。SSL/TLS是基于PKI信息安全技術(shù)，是目前Internet上廣泛采用的安全服務(wù)。LDAP通過StartTLS方式啟動TLS服務(wù)，可以提供通訊中的數(shù)據(jù)保密性、完整性保護(hù)；通過強(qiáng)制客戶端證書認(rèn)證的TLS服務(wù)，同時可以實(shí)現(xiàn)對客戶端身份和服務(wù)器端身份的雙向驗(yàn)證。訪問控制雖然LDAP目前并無訪問控制的標(biāo)準(zhǔn)，但從一些草案中或是事實(shí)上LDAP產(chǎn)品的訪問控制情況，我們不難看出：LDAP訪問控制異常的靈活和豐富，在LDAP中是基于訪問控制策略語句來實(shí)現(xiàn)訪問控制的，這不同于現(xiàn)有的關(guān)系型數(shù)據(jù)庫系統(tǒng)和應(yīng)用系統(tǒng)，它是通過基于訪問控制列表來實(shí)現(xiàn)的，無論是基于組模式或角色模式，都擺脫不了這種限制。LDAP目錄中的信息是按照樹型結(jié)構(gòu)組織，具體信息存儲在條目(entry)的數(shù)據(jù)結(jié)構(gòu)中。條目相當(dāng)于關(guān)系數(shù)據(jù)庫中表的記錄；條目是具有區(qū)別名DN（Distinguished

Name）的屬性（Attribute），DN是用來引用條目的，DN相當(dāng)于關(guān)系數(shù)據(jù)庫表中的關(guān)鍵字（Primary

Key）。屬性由類型（Type）和一個或多個值（Values）組成，相當(dāng)于關(guān)系數(shù)據(jù)庫中的字段（Field）由字段名和數(shù)據(jù)類型組成，只是為了方便檢索的需要，LDAP中的Type可以有多個Value，而不是關(guān)系數(shù)據(jù)庫中為降低數(shù)據(jù)的冗余性要求實(shí)現(xiàn)的各個域必須是不相關(guān)的。LDAP中條目的組織一般按照地理位置和組織關(guān)系進(jìn)行組織，非常的直觀。LDAP把數(shù)據(jù)存放在文件中，為提高效率可以使用基于索引的文件數(shù)據(jù)庫，而不是關(guān)系數(shù)據(jù)庫。類型的一個例子就是mail，其值將是一個電子郵件地址。LDAP的信息是以樹型結(jié)構(gòu)存儲的，在樹根一般定義國家(c=CN)或域名(dc=com)，在其下則往往定義一個或多個組織(organization)(o=Acme)或組織單元(organizational

units)

(ou=People)。一個組織單元可能包含諸如所有雇員、大樓內(nèi)的所有打印機(jī)等信息。此外，LDAP支持對條目能夠和必須支持哪些屬性進(jìn)行控制，這是有一個特殊的稱為對象類別(objectClass)的屬性來實(shí)現(xiàn)的。該屬性的值決定了該條目必須遵循的一些規(guī)則，其規(guī)定了該條目能夠及至少應(yīng)該包含哪些屬性。例如：inetorgPerson對象類需要支持sn(surname)和cn(common

name)屬性，但也可以包含可選的如郵件，電話號碼等屬性。SUNiPlanetSUN的iPlanet電子商務(wù)解決方案中的統(tǒng)一用戶管理工具能夠適應(yīng)用戶管理基礎(chǔ)結(jié)構(gòu)的要求，

iPlanet統(tǒng)一用戶管理套件提供了對電子商務(wù)企業(yè)中所使用的各個系統(tǒng)進(jìn)行統(tǒng)一和集中用戶管理功能，該套件包括以下幾個部分：目錄服務(wù)器：作為統(tǒng)一用戶管理套件的核心，為企業(yè)中的多種應(yīng)用統(tǒng)一保存雇員、合作伙伴及供應(yīng)商的信息，為套件中的其它部件提供了可伸縮性、高性能和細(xì)致存取控制。元目錄服務(wù)：給從其它應(yīng)用系統(tǒng)增加的用戶信息提供統(tǒng)一管理方式，包括加入引擎、連接器、帳號管理合并、用戶帳號集成及消息系統(tǒng)集成等部件。加入引擎使用一個高度靈活的并且可擴(kuò)展的規(guī)則，決定怎樣從不同的信息來源來聯(lián)合用戶數(shù)據(jù)。這些規(guī)則能被用來控制數(shù)據(jù)更改的方向，為用戶數(shù)據(jù)的不同類型定義來源，進(jìn)行用戶數(shù)據(jù)的管理。連接器是一組軟件模塊，用來與特定的數(shù)據(jù)來源交換信息，并提供給加入引擎使用。這些模塊可以在不同的系統(tǒng)中配置和安裝。靈活的體系結(jié)構(gòu)使公司可以細(xì)致地調(diào)整元目錄服務(wù)，使之提供最好的性能和可伸縮性，便于快速開發(fā)網(wǎng)上應(yīng)用。帳號管理合并可以把多種來源信息集成帳號信息，包括顧客數(shù)據(jù)庫、網(wǎng)絡(luò)操作系統(tǒng)、郵件系統(tǒng)和電話交換機(jī)等。這種集成使基于Web的應(yīng)用程序統(tǒng)一掌握用戶信息，便于新的增值應(yīng)用的快速開發(fā)。用戶帳號集成可以自動完成用戶帳號和相關(guān)信息的增加、改變和刪除。例如，當(dāng)在一個系統(tǒng)中建立一個用戶時，元目錄服務(wù)能自動地在其它系統(tǒng)上產(chǎn)生用戶的帳號信息，因此用戶只須記住一個帳號，而且用戶的信息被所有系統(tǒng)所了解，也便于不同的系統(tǒng)對所有用戶進(jìn)行定制的管理，而不論用戶的信息來源如何。消息系統(tǒng)集成可以使企業(yè)方便地與不同系統(tǒng)中的用戶，如雇員、合作伙伴、供應(yīng)商和客戶之間建立聯(lián)系。證書管理系統(tǒng)：為應(yīng)用系統(tǒng)提供了根據(jù)適當(dāng)?shù)陌踩墑e來認(rèn)證用戶的方法，便于在公共的網(wǎng)絡(luò)上部署支持加密、認(rèn)證、篡改檢測和數(shù)字簽名等應(yīng)用。數(shù)字證書作為身份的證明，可使用戶在使用應(yīng)用或服務(wù)時被賦予適當(dāng)?shù)拇嫒?quán)限。證書管理系統(tǒng)包括3個獨(dú)立的分系統(tǒng)，并具有高度靈活地安裝和配置選擇，允許一個公司基于已存在的策略定制它的PKI（公共密鑰）部署。證書管理器作為證書發(fā)出、更新和廢除時使用的認(rèn)證授權(quán)證書。一個或多個注冊管理器可以安裝在防火墻外面用來代理證書的請求，可以被合作伙伴或供應(yīng)商所使用。當(dāng)用戶忘記口令或離開他們的工作時，數(shù)據(jù)恢復(fù)管理器保護(hù)加密的數(shù)據(jù)以免于丟失。2.3.3目錄設(shè)計設(shè)計目錄結(jié)構(gòu)是LDAP最重要的方面之一。下面我們將通過一個簡單的例子來說明如何設(shè)計合理的目錄結(jié)構(gòu)。假設(shè)有一個位于美國US(c=US)而且跨越多個州的名為Acme(o=Acme)的公司。Acme希望為所有的雇員實(shí)現(xiàn)一個小型的地址薄服務(wù)器。我們從一個簡單的組織DN開始：dn:

o=Acme,

c=US;Acme所有的組織分類和屬性將存儲在該DN之下，這個DN在該存儲在該服務(wù)器的目錄是唯一的。Acme希望將其雇員的信息分為兩類：管理者(ou=Managers)和普通雇員(ou=Employees),這種分類產(chǎn)生的相對區(qū)別名(RDN,relative

distinguishednames。表示相對于頂點(diǎn)DN)就是：dn:

ou=Managers,

o=Acme,

c=USdn:

ou=Employees,

o=Acme,

c=US在下面我們將會看到分層結(jié)構(gòu)的組成：頂點(diǎn)是US的Acme，下面是管理者組織單元和雇員組織單元。因此包括Managers和Employees的DN組成為：dn:

cn=Jason

H.

Smith,

ou=Managers,

o=Acme,

c=USdn:

cn=Ray

D.

Jones,

ou=Employees,

o=Acme,

c=USdn:

cn=Eric

S.

Woods,

ou=Employees,

o=Acme,

c=US為了引用Jason

H.

Smith的通用名(common

name

)條目，LDAP將采用cn=Jason

H.

Smith的RDN。然后將前面的父條目結(jié)合在一起就形成如下的樹型結(jié)構(gòu)：cn=Jason

H.

Smith+

ou=Managers+

o=Acme+

c=US->

cn=Jason

H.

Smith,

ou=Managers,

o=Acme,

c=U現(xiàn)在已經(jīng)定義好了目錄結(jié)構(gòu)，下一步就需要導(dǎo)入目錄信息數(shù)據(jù)。目錄信息數(shù)據(jù)將被存放在LDIF文件中，其是導(dǎo)入目錄信息數(shù)據(jù)的默認(rèn)存放文件。用戶可以方便的編寫Perl腳本來從例如/etc/passwd、NIS等系統(tǒng)文件中自動創(chuàng)建LDIF文件。下面的實(shí)例保存目錄信息數(shù)據(jù)為testdate.ldif文件，該文件的格式說明將可以在man

ldif中得到。在添加任何組織單元以前，必須首先定義Acme

DN：dn:

o=Acme,

c=USobjectClass:

organization這里o屬性是必須的o:

Acme下面是管理組單元的DN，在添加任何管理者信息以前，必須先定義該條目。dn:

ou=Managers,

o=Acme,

c=USobjectClass:

organizationalUnit這里ou屬性是必須的。ou:

Managers第一個管理者DN：dn:

cn=Jason

H.

Smith,

ou=Managers,

o=Acme,

c=USobjectClass:

inetOrgPersoncn和sn都是必須的屬性：cn:

Jason

H.

Smithsn:

Smith但是還可以定義一些可選的屬性：telephoneNumber:

010-222-9999mail:

"localityName:

Houston可以定義另外一個組織單元：dn:

ou=Employees,

o=Acme,

c=USobjectClass:

organizationalUnitou:

Employee并添加雇員信息如下：dn:

cn=Ray

D.

Jones,

ou=Employees,

o=Acme,

c=USobjectClass:

inetOrgPersoncn:

Ray

D.

Jonessn:

JonestelephoneNumber:

444-555-6767mail:

"localityName:

Houstondn:

cn=Eric

S.

Woods,

ou=Employees,

o=Acme,

c=USobjectClass:

inetOrgPersoncn:

Eric

S.

Woodssn:

WoodstelephoneNumber:

444-555-6768mail:

"localityName:

Houston目錄結(jié)構(gòu)如下圖所示：[圖2.3.4安全認(rèn)證系統(tǒng)的安全特性：(1)基于簡單認(rèn)證機(jī)制中的口令認(rèn)證機(jī)制，以用戶名和密碼為確認(rèn)用戶身份的標(biāo)志；(2)在認(rèn)證過程中，明文密碼絕不能在網(wǎng)絡(luò)上傳輸，防止竊聽導(dǎo)致泄密，保證用戶密碼的安全；(3)可以實(shí)現(xiàn)認(rèn)證客戶端和認(rèn)證服務(wù)器的雙向認(rèn)證，確保認(rèn)證雙方的身份；(4)能夠抵抗重放攻擊，既防止攻擊者使用竊聽到的過時的認(rèn)證數(shù)據(jù)包再次獲得認(rèn)證而冒充合法用戶的身份；應(yīng)用服務(wù)器既作為相對用戶的服務(wù)器，又作為統(tǒng)一口令認(rèn)證系統(tǒng)的客戶端。它們首先通過安全傳輸通道（如SSL通道）獲取用戶提交的用戶名和密碼，然后通過口令認(rèn)證系統(tǒng)提供的統(tǒng)一口令認(rèn)證模塊經(jīng)由安全認(rèn)證通道向口令認(rèn)證服務(wù)器提交認(rèn)證請求，并獲得認(rèn)證結(jié)果（成功或失?。罱K確定是否給該用戶提供服務(wù)；并引用LDAP的ACL（AccessControlList）機(jī)制。認(rèn)證算法：考慮到系統(tǒng)的安全和高效，要求設(shè)計的認(rèn)證算法亦是安全、高效。安全主要有三方面：(1)在認(rèn)證過程中傳輸?shù)臄?shù)據(jù)不怕被竊聽，通過對傳輸?shù)臄?shù)據(jù)進(jìn)行加密實(shí)現(xiàn)；(2)傳輸中的數(shù)據(jù)可以防止被篡改，通過對傳輸?shù)臄?shù)據(jù)進(jìn)行數(shù)字簽名實(shí)現(xiàn)；(3)可以抵抗重放攻擊，方法是在認(rèn)證數(shù)據(jù)包中打時戳，或在認(rèn)證過程中使用Challenge-Response方法實(shí)現(xiàn)。采用時戳需要各系統(tǒng)實(shí)現(xiàn)時間同步，增加了系統(tǒng)的不安全性，故一般實(shí)現(xiàn)多采用Challenge-Response方法。借鑒radius的CHAP認(rèn)證算法，提出下面的算法模型，其流程如下：C：Client，認(rèn)證客戶，一般為應(yīng)用服務(wù)器；S：Server，統(tǒng)一口令認(rèn)證服務(wù)器；K：C和S之間的共享秘密，即待認(rèn)證用戶的單向加密后的密碼；N：待認(rèn)證用戶的用戶名；R：S產(chǎn)生的隨機(jī)數(shù)；H{M}：對消息M做單向Hash消息摘要運(yùn)算，可使用MD5算法；CK{M}：以密鑰K使用對稱加密算法對消息M進(jìn)行對稱加密，可使用DES算法；r：認(rèn)證的結(jié)果，成功或失敗；1.C=>S：N,H{N+K+0}2.S=>C：CK{R},H{N+CK{R}+K+R}3.C=>S：N,CK{R,K},H{N+CK{R,K}+K+R}4.S=>C：CK{r,R},H{N+CK{r}+K+R}在認(rèn)證的每一個步驟中，無論客戶端還是服務(wù)器端，都要求對數(shù)據(jù)包中的H{}域做校驗(yàn)。由于H{}域中包含了C和S之間的共享秘密，所以對于不知道此秘密的攻擊者而言，是無法偽造合法的數(shù)據(jù)包的，也由此雙向證實(shí)了C或S的身份。認(rèn)證的過程分為預(yù)請求和正式請求兩部分，其中預(yù)請求是C向S獲取隨機(jī)數(shù)R的過程，在正式的認(rèn)證請求中C必須向S提交此憑據(jù)。由于R對于每次認(rèn)證請求都不同，且在S端有記錄，攻擊者即使竊聽到了一個成功的認(rèn)證請求包，在下次使用時卻失效了，所以可以很好的防重放攻擊。2.3.5功能擴(kuò)展需要進(jìn)一步的調(diào)研，根據(jù)管理對象的特點(diǎn)決定需要哪些新的對象類和屬性類型，來擴(kuò)展Schema。2.4系統(tǒng)結(jié)構(gòu)系統(tǒng)服務(wù)對象系統(tǒng)服務(wù)對象系統(tǒng)功能模塊目錄服務(wù)維護(hù)安全策略服務(wù)系統(tǒng)用戶中心組織機(jī)構(gòu)管理用戶角色定制服務(wù)部署維護(hù)系統(tǒng)維護(hù)認(rèn)證服務(wù)目錄服務(wù)應(yīng)用二應(yīng)用一應(yīng)用三應(yīng)用N[圖2.4]2.5功能需求與程序的關(guān)系功能需求的實(shí)現(xiàn)同各塊程序的分配關(guān)系矩陣圖：功能需求/程序模塊目錄服務(wù)維護(hù)安全策略服務(wù)系統(tǒng)用戶中心組織機(jī)構(gòu)管理用戶角色定制服務(wù)部署維護(hù)系統(tǒng)維護(hù)SSO實(shí)現(xiàn)√√√√用戶新增/刪除/修改√√組織機(jī)構(gòu)管理√√角色定制√√√應(yīng)用系統(tǒng)注冊√√√應(yīng)用接口√√√√√日志管理√√應(yīng)用協(xié)作管理[表2.5]2.6人工處理過程暫無2.7尚未解決的問題暫無第三章接口設(shè)計3.1用戶接口應(yīng)用管理接口；應(yīng)用部署接口；功能擴(kuò)展接口；3.2外部接口用戶信息同步接口；應(yīng)用組織機(jī)構(gòu)接口；應(yīng)用角色信息接口；應(yīng)用授權(quán)接口；應(yīng)用目錄服務(wù)接口；應(yīng)用認(rèn)證接口；3.3內(nèi)部接口LDAP接口；數(shù)據(jù)庫中間件接口；用戶與角色之間的接口；第四章運(yùn)行設(shè)計4.1運(yùn)行模塊組合暫無4.2運(yùn)行控制暫無4.3運(yùn)行時間由于系統(tǒng)是用戶與應(yīng)用的中間層，故運(yùn)行時間不宜過長，暫定于10s之內(nèi)；第五章系統(tǒng)數(shù)據(jù)結(jié)構(gòu)設(shè)計5.1邏輯結(jié)構(gòu)設(shè)計要點(diǎn)給出本系統(tǒng)內(nèi)所使用的每個數(shù)據(jù)結(jié)構(gòu)的名稱、標(biāo)識符以及它們之中每個數(shù)據(jù)項(xiàng)、記錄、文卷和系的標(biāo)識、定義、長度及它們之間的層次的或表格的相互關(guān)