摘要：信息化建设中应用服务层出不穷，导致多套认证机制，为校园网用户带来不便。本文详细阐述了整合资源的基于LDAP的统一身份认证模型，分析了LDAP认证的优点及其四种基本模型。此系统采用主从分离模式，提高了可用性，方便了校园网用户和管理员使用，从而提高了整个信息系统的安全性和用户的工作效率。

关键词：身份认证；高可用；LDAP

中图分类号：G434 文献标识码：A 论文编号：1674-2117（2019）01-0110-03

引言

“十三五”以来，高校内各种各样的应用服务层出不穷，導致多个系统拥有多套账号和密码，需要反复登录才可使用。根据以上情况，笔者提出建立一个能够服务于所有应用的系统，采用唯一的用户信息数据库系统对用户信息统一进行管理，每个应用系统都通过该认证系统来进行用户的身份认证，用户只需一次登录就可以访问网络中各应用系统相应权限内的资源。统一身份认证系统通过轻量级目录服务（LDAP）来完成身份认证。[1]选择采用LDAP协议，首先是因为LDAP目录服务采用一种分布式的目录树结构存储用户信息，具有读取速度快、扩展方便的特点[2]；其次LDAP也提供安全功能；最后，当用户的身份被识别后，它可以控制用户对网络资源、应用程序及其他网络服务的访问。

LDAP认证原理

目录服务器是统一身份认证平台的基础，对用户信息进行统一管理，保证数据的一致性和完整性。通过轻量级的目录服务协议（Lightweight Directory Access Protocol，LDAP）将各应用系统的用户或组织的信息以层次结构、面向对象的数据库的方式加以收集和管理。[3]LDAP实现了指定的数据结构的存储，是一种特殊的数据库，主要任务不是数据的存储和操作，并不像传统的数据库一样支持复杂的事务，它对查询进行了优化，与写性能相比LDAP的读性能要强很多。[4]

LDAP是基于X.500标准的，并且可以根据需要定制，LDAP支持TCP/IP协议，因此利用LDAP服务可以设计跨平台和应用的统一身份认证系统，它可以在任何计算机平台上访问LDAP目录。LDAP是一个安全的协议，它使用SASL（简单证明安全层）协议，提供访问控制。LDAP通过SSL/TLS认证机制来保护数据的完整性和私密性。所有的用户数据在LDAP服务器中被统一管理，所有的应用系统通过网络访问同一个用户数据库，数据的管理和安全保证放在LDAP服务器上进行统一维护。

LDAP的体系结构由四种基本模型组成。[5]其一，信息模型，描述LDAP的信息表示方式，定义能够在目录中存储的数据类型和基本的信息单位。在LDAP中信息以树状方式组织，基本数据单元是条目，每个条目由属性构成，属性中存储有属性值。其二，命名模型，描述LDAP的数据如何组织。所有目录条目按照层次模型进行排列，它是一个分级或类似树状的结构，能更好地存储和搜索目录树中的对象。目录信息树（Directory Information Tree，DIT）包含网络环境信息，子树能从主干上分枝。在LDAP中每个条目均有自己的标识名（Distinguished Name，DN）和相对标识名（Relative Distinguished Name，RDN）。DN是该条目在整个树中的唯一名称标识，RDN是条目在父节点下的唯一名称标识。其三，功能模型，描述LDAP的数据如何操作。在LDAP中共有查询、更新、认证和其他四类十种操作。其四，安全模型，主要通过身份认证、安全通道和访问控制来实现。身份认证：被用来在客户端和目录服务器之间建立会话，这个会话有无保障的匿名、基于明文的密码、基于SASL（Simple Authentication and Secure Layer）机制的加密等不同的安全级别。安全通道：在LDAP中提供了基于SSL/TLS的通信安全保障。访问控制：为了保护敏感信息资源，LDAP目录服务定义了一系列异常的灵活和丰富的访问控制规则，这些规则规定了不同实体访问目录系统的权限。

高可用的安全认证系统实现

1.开发平台

Openldap是一款优秀的开源软件，提供一个跨平台的轻量级目录访问服务器，能够进行主从备份；同时提供脱机数据库管理工具和联机数据库管理工具。BDB是一个开放源代码的内嵌式数据库系统，能够进行高性能的事务处理，并且具有较好的可扩展性，是Openldap缺省配备的后台数据库。

2.目录设计

LDAP把对象类、属性类型、语法和匹配规则统称为schema。这些系统schema在LDAP标准中进行了规定，不同的应用领域也定义了各自不同的schema，同时，用户在应用时也可以根据需要自定义schema。笔者利用自定义模式，针对统一身份认证系统的数据设计需求，对目录服务的schema设计作以如下扩展（如图1）。在配置文件slapd.conf文件的全局定义部分加入一行：include～/newschema.schema，即可引入新的模式文件。

LDAP是以目录信息（Directory Information Tree，简称DIT）为存储方式的树型存储结构，DN结构中，常用的属性有dc（组织域名）、ou（组织单元）、cn（项普通名）、uid（用户标识）。统一身份认证系统中的目录信息包括两个方面的信息：用户信息和应用系统信息。节点的属性包括这个人的身份信息以及一些认证机制中用到的控制信息，应用系统在注册时，根据这些信息决定用户是否可以使用该服务。

3.功能实现

在LDAP的实际应用中可根据实际需要进行各种操作，现以一个添加数据项的操作为例进行说明：创建一个属性对象确定添加项的DN，创建LDAPEntry对象添加数据项（如图2）。

4.安全机制

统一身份认证系统中包含师生的隐私、财务状况以及学校的各项事务等很多敏感信息，因此统一身份认证系统必须有高效并且完备的安全机制。LDAP通过TLS（Transport Layer Security：传输层安全）和SASL（Simple Authentication and Security Layer：简单认证和安全层）来保护数据的完整性和私密性。

5.高可用设计

随着目录服务器存储数据量和用户访问量的不断增长，单一集中式的目录服务器已不能满足现实需求，因此，可将对目录服务器的访问操作进行读写分离，同时设计一主多从的服务架构（如图3），这样不仅可以优化目录服务器的响应时间，而且提高了目录服务器的可用性。

结束语

LDAP具有简单易用和跨平台的特性，因此被大量使用在信息化建设中系统集成问题。本文详细阐述了基于LDAP的统一身份认证模型，运用此系统，可提高可用性，方便校园网用户和管理员使用。

参考文献：

[1]殷娜.数字化校园统一身份认证平台的构建[J].计算机技术与发展，2014，24（8）：139-142.

[2]苏国辉.基于CAS和LDAP的单点登录系统设计与实现[J].自动化与仪器仪表，2017（10）：101-103.

[3]李立.统一身份认证系统的设计与实现[D].成都：电子科技大学，2012.

[4]游伟倩，张予倩，盛乐标.高性能计算集群系统中的LDAP用户管理应用[J].电子技术与软件工程，2018（16）：129-131.

[5]贺宗平，李光瑞，张晓东.面向大数据安全访问认证的LDAP集成架构设计[J].智能计算机与应用，2018，8（1）：95-98.

作者简介：贺媛阁（1990.4—），女，助理工程师，工程硕士，毕业于长安大学计算机技术专业，现工作于西安科技大学信息网络中心信息管理科，主要研究方向为教育数据治理、数据安全。