文/宋文文

基于LDAP域实现统一身份认证

文/宋文文

目前在校园网中，很多应用系统开始使用基于LDAP(Lightweight Directory Access Protocol,轻量级目录访问协议)开发的统一身份认证服务，如一卡通、数字化校园、办公信息系统的用户身份认证服务等。

简单而言，LDAP就是采用目录方式保存数据，所消耗资源小于专门的数据库，并可以跨平台使用。作为用户管理、授权及认证系统的Dr.COM 宽带接入认证计费系统，能与用户的LDAP认证服务器实现的统一认证和数据同步，将会对用户信息系统的使用与维护提供很大的便利。

中国石油大学青岛校区办公区基于LDAP域技术，建立一个安全、高效、可管理的认证平台，采用LDAP域认证模式，为办公区域师生、多媒体用户、实验室等用户提供统一身份认证。

方案设计与实现

系统基于2166 B-RAS认证网关，采用双进双出多模光口，单台最大转发双向4G，2166 B-RAS采用桥接透明模式，架设在内网核心交换机（办公区）和出口路由器之间，2166 B-RAS负责对石油大学青岛校区办公区域接入的用户提供LDAP统一认证服务，办公区域用户Windows域登录成功后即允许授权访问外网。

LDAP统一认证与2166 B-RAS联动认证流程如下：

1. 办公区域用户Windows域登录时，2166 B-RAS会把用户的认证信息转送到石油大学的LDAP统一认证服务器进行账号校验，认证通过即允许用户通过并连接外网。

2. 在LDAP统一认证服务器上安装Dr.COM watch程序，实时读取LDAP域登录信息表，如果发现用户在LDAP认证服务器登录成功后，Dr.COM watch程序会通过认证URL接口自动告知守护进程和认证网关。

3. 根据预先在后台设置的办公区域源IP地址表，自动帮该域用户分配到其所属的2166 B-RAS进行自动上线，Dr.COM watch程序也会读取LDAP认证服务器的注销日志表，当其定期扫描到在线用户在域注销了，watch程序认证URL接口自动告知2166 B-RAS，自动为该用户进行下线处理。

4. 生成其登录日志，使用时长和流量等信息并存入Oracle数据库后台。

图2 工作流程示意

统一数据库后台与管理平台

Dr.COM 2166 B-RAS对办公区域经过的用户进行数据采集，系统生成日志等其他记录后，回传到后台数据库服务器，并计算生成系统日志信息、访问记录、登录记录等信息，但是不生成计费账单。办公区域2166 B-RAS和非办公区域2166 BRAS均共用一套认证计费业务支撑平台，后台数据库（包含日常运营数据数据库和访问记录服务器）服务器放置在数据存储区，负责实时存储Dr.COM 接入认证网关运营产生的所有信息，方便各管理模块的查询。

地址漫游限制

通过在统一的认证计费后台配置办公区域，2166 B-RAS内外允许登录IP地址段信息，后台会下发办公区域允许登录的IP地址段到办公区域2166 B-RAS，而非办公区域IP地址段则剔除，从而实现办公区域账号无法在非办公区域登录，防止了办公区域账号免费使用的漏洞。

(作者单位为中国石油大学(华东))