蒋 华 刘 娟 胡荣磊 田萌萌

(1.西安电子科技大学 通信工程学院，陕西 西安710071；2.北京电子科技学院，中国 北京100070)

1 LDAP 访问控制的概述

随着近年来电子公文系统的广泛发展和应用，处理公文的功能实现越来越需要逼近现实。 处理公文的电子化势不可挡，建立电子公文系统也呈现白热化趋势。 而网络带给大家很多信息安全隐患，因此电子公文系统中也存在很多安全问题。访问控制是指按用户身份及其归属的某项定义组来限制用户对某些信息项的访问，或限制对某些控制功能的使用。访问控制通常用于系统管理员控制用户对服务器、目录、文件等网络资源的访问。 LDAP 的访问控制是指管理员对服务器中资源被浏览、修改、删除权限的配置。论文背景的课题系统中LDAP 服务器用在公文系统和数据库之间，作为用户管理服务器使用。 LDAP 服务器的应用在很大程度上保证了数据库的安全，进而保障了公文系统的安全可靠。

访问控制权限是确定用户只能做到权限规定范围之内的操作，任何用户都不能越权操作。对公文系统中的用户管理服务器进行动态配置访问控制权限是保证OA 系统相对安全行之有效的方法之一。 OA系统中，访问控制是保证公文系统中数据库中的目录信息安全性的一种重要措施。在LDAP 服务器中既可以发挥轻型目录访问协议本身的优势，进行快速的查询，修改，增加删除用户和资源的功能，还能进行配置用户的访问控制权限，即对服务器中的资源进行特定操作的权限的配置。 在一个完整安全的OA 系统中，实现访问控制是该系统必须实现的功能，它不仅能设置用户的访问权限，而且提高了系统查询，运行的效率。 动态的实现访问控制技术又是目前最灵活方便，有效的方式，它避免了静态配置方式中时间，地域的限制。

一般的，配置用户管理服务器的访问控制权限是通过静态的控制服务器的启动和停止，配合修改slapd.conf 文件配置实现的。但是很多用户使用这种静态配置的方法都会遇到这样的问题：这种静态实现的方法是一种操作的方法，需要考虑实现周期，这是越来越不能被接受的。 所以下面我们引入一种动态实现配置的方法，这样用户不用去刻意的修改slapd.conf 文件配置，解决了时间地域工作状态的局限性。

2 公文系统中访问控制模型

2.1 配置模型

如图1 所示OA 系统中访问控制权限配置模型，其中用户管理服务器提供存储用户信息和文件信息，数据服务器存储公文文件和日志信息。 我们进行的操作是对用户管理服务器进行配置，对于指定的用户基于一定的身份给予相应的操作权限，比如可读、可写、添加、删除、修改等。

2.2 动态配置原理

动态的通过访问控制链表来实现访问控制，相当于间接配置文件slapd.conf 中的访问策略语句来设置，访问策略语句的格式如下：

Access to ＜what＞

[by ＜who＞＜access＞ ]＋

这里尖括号的内容是设置的参数内容， 方括号的内容是可选的，方括号后面的“＋”表示方括号的内容可以出现一次或者多次。 访问策略语句意义是： 由＜who＞所制定的访问主体可以对＜what＞所制定的被访问的对象进行由＜access＞所制定的访问操作。

例如：access to *

by * read

表示的语法意义是： 任何被访问的对象可以被任何访问主体以“读”的访问方式进行访问。

2.3 动态配置实现

基本思想：将配置文件slapd.conf 中所有配置信息分别以LDIF 格式编辑成文件slapd.d，并根据其内容生成一颗根条目为“cn=config”的目录信息树，该目录信息树的属性保存访问控制信息等。 目录服务器管理员可以直接通过标准的LDAP 浏览器对访问控制进行动态修改，并能立即生效。 接下来我们介绍的配制实现方法是基于Openldap server 和一个LDAP Administer Browers 2012.2 版本的浏览器实现的动态配置访问控制。

2.3.1 动态配置步骤

1）新建schema 文件，文件如下图所示：在*.schema 文件中定义了数据库服务器中存储的文件的对象类型，和文件对象类中定义的属性类型和属性值, 为了模拟访问控制的实现， 新建两个对象类：user，wenjian；user 对象类中包含usersName，post 两个必选属性；wenjian 对象类中包含wenjianming，printTimes，content 三个属性；

2）在slapd.conf 文件中添加定义好的上面的*.schema 文件；

3）重启服务器；

4）新建条目；

在根节点下新建条目并对添加的模式下的对象类下的属性类型赋予相应的属性值。

5） 设置访问权限， 对新添加的条目配置访问控制权限，在olcDatabase={1}bdb 中添加OlcAccess 属性，然后把控制语句作为属性值；如下图为添加了访问控制权限之后的效果图：

使用了标准LDAP Browser 客户端进行截图。

2.3.2 属性值参考，“olcAccess:” 后面的内容是olcAccess 这个属性的属性值每一条是一个属性值；

使用标准LDAP 规范描述的安全访问控制参考代码。

其实静态配置服务器的访问权限和动态实现服务器的访问权限本质上是相同的， 都是通过一定的操作对服务器的slapd.conf 文件进行配置修改。不同的是静态实现访问控制是通过直接去修改服务器的配置文件，这种方法受到了时间空间地域的限制，但如果服务器近在咫尺的话，这是最简单有效的方法。 动态配置服务器是通过用户使用client brower 进行上述的操作进行配置实现，间接的修改slapd.conf 文件。 最终结果都是通过修改配置文件实现的，但是动态实现的方法可以解决静态配置的地域限制问题，即使客户端距离服务器很远也能设置访问权限，解决了配置要求的便利性和实时性。

3 总结

本文结合了前人总结的访问控制操作中的探索，在“万变不离其宗”的原理下，即基本符合其语法规定的操作的范围内，动态的实现对公文系统中访问控制权限的配置。解决了电子公文系统中系统管理员和系统部属单位在时间空间差异性导致配置不方便不够及时的缺点，也节省了系统维护运营成本。

［1］黄金华.OpenLDAP 性能与安全研究[D].2007.

［2］RFC 3698 Lightweight Directory Access Protocol (LDAP) Additional Matching Rules[Z].

［3］RFC 2252 Lightweight Directory Access Protocol (LDAP)[Z].

［4］周源,李生红.基于LDAP 的访问控制及存储方案研究[D].2005.

［5］李少春,蒋泽军,王丽芳,张羽.J2EE 环境下基于LDAP 的访问控制的设计与集成[D].2005.

［6］汪奕君,张兴元.OpenLDAP 中访问控制机制的分析[D].2005.

［7］陈岳斌.LDAP 技术的应用[D].2008.

［8］李健,唐文忠,宋长福.角色访问控制技术在管理信息系统中的应用[D]. 2003.

［9］http://www.zytrax.com/books/ldap/ape/core-schema.html[OL].

［10］ http://www.ldapadmin.org/screenshots/index.html[OL].

［11］http://blog.sina.com.cn/s/blog_61c2e5530100eonb.html[OL].

［12］http://www.openldap.org/doc/admin24/access-control.html[OL].

［13］http://bbs.chinaunix.net/thread-926041-1-1.html[OL].