《LDAP协议研究及》由会员分享,可在线阅读,更多相关《LDAP协议研究及(55页珍藏版)》请在金锄头文库上搜索。
1、LDAP协议研究及校园网统一认证系统下的目录服务设计及web管理第一章 引言11 项目背景对于一些计算机资源,只有经过授权的合法用户才能访问,而如何正确鉴别用户的真实身份是问题的关键。用户认证,也称为用户鉴别,就是用户向服务系统以一种安全的方式提交自己的身份证明,由服务系统确认用户的身份是否真实。在传统的校园网络应用环境下,存在网络服务的多样性,以及资源的分散性等特点。以交大为例,就建立了多个信息系统及各种网络资源,为学校领导、各部门及全校教师、学生提供多种服务,如ftp、mail服务,教务管理系统,选课系统,人事管理系统等等。今后还会不断增加新的应用系统,用户数量也会不断增加。这些服务器分散
2、在校园各地。这就带来一些问题。一是上网的信息资源越多,受黑客攻击的可能性越大(尤其是一些敏感数据);二是用户在每一个服务器上都有其帐户和口令,无论每人的多个帐户和口令是否相同,当面对多个系统时都要输入相应的帐号、口令等信息。 这样做不仅繁琐,不利于用户的高效管理,更造成应用系统数据库重复开发带来的网络资源和人力浪费,同时还会带来信息安全的诸多问题。因此,信息系统急需有一个统一的、具有较高安全控制的身份验证系统,以减少数据冗余、保证数据安全和提高管理质量,便利用户操作。开发本系统的目的之一就是要解决不同的网络应用系统用户名和口令不统一的问题,期望提供一种方便、安全的口令认证方法,理想的情况是所有
3、的应用服务器使用同一套用户数据库,实现统一认证,用户只需使用同一个帐户/口令,就可对所有服务器进行权限以内的访问。目录服务是实现该理想的途径。如果各种应用系统都遵从同一种目录访问标准,能与同一目录服务器交互,则可将其认帐户、口令、权限包括资料等信息保管于该目录服务器,从而实现统一认证。12 目录121 什么是目录 提起目录,人们会想起unix的树状目录,目录中包含文件和子目录,目录和文件的安全由ACL(Access Control List)控制。其实unix的树状目录就是这里说的目录一种,文件系统中的全称路径就是后文提到的DN名(Distinguished Name),相对路径名对应的就是R
4、DN(Relative Distinguished Name ) 。在Uinx系统中,所有的资源都是以文件的形式来管理的,例如打印机、串口、用户和网卡等等。如果增添设备,那么一定也会以文件的形式来管理。这就给了我们一种启示,把unix文件系统的目录进行推广,将计算机网络中的资源以一致的目录形式来管理,作为一种网络协议来规范目录访问协议。 目录可以理解为一种协议,也可认为是一种特殊的数据库,因为目录服务器往往挂接了后台数据库,它保存数据供客户机查询,这与数据库的数据存取功能是相似的,它的特殊之处,在后文分析LDAP协议时可以看到。122 目录服务的用途简单的说,目录是用于保存资源信息的。很常见的
5、一种方式就是保存用户帐户、口令用于验证,而且是统一认证的主要解决途径。目录服务还常用于保存单位、部门、个人的公共信息,如电话号码、电子邮件、通信地址等,以及保存各种软硬件资源的信息,如应用服务器的IP、端口号、位置等。13 目录访问协议131 x.500 DAP X.500是由ITU推荐的一个标准,于1988年发布。它全面描述了目录服务的工作模型,包括目录服务器的目录结构、命名方法、搜索机制以及用于客户机与访问器通信的协议DAP(Directory Access Protocal)。然而在实际应用的过程中,X.500存在不少障碍。X.500目录是多用途的、特点丰富的,但也是很复杂的实体。DAP
6、这种应用层协议是严格遵照复杂的OSI七层协议模型制定的,不仅使操作具有较高的系统开销,而且因为要得到其下六层协议的全面支持,因此在许多小系统上无法使用。而TCP/IP协议的普及使得DAP协议越来越不适应需要,毕竟TCP/IP对于internet访问是必需的。在这种情况下,LDAP协议应运而生,它是一个较为简单的、消耗更少资源的协议。132 LDAPLDAP由密歇根大学开发,最初是作为一个简化的访问X.500目录服务的协议提出的;然而经过发展,LDAP不仅成为通过TCP/IP网络访问目录服务的事实标准,而且也成了一个和操作系统独立的目录。 14 LDAP 目录141 LDAP 目录的优势和特性L
7、DAP目录具有以下特性:开放性、分布性、可伸缩性和跨平台性易于定制 可以方便地提供不同的LDAP目录服务,其策略很容易实现。快速搜索 LDAP目录有很强地过滤器功能,并且搜索速度很快。安全特性 管理员可以根据需要使用ACL对目录强制使用安全特性,以便保护目录信息不被非法获取和篡改。平台和开放性 LDAP是跨平台和标准的协议,应用程序无需考虑LDAP目录放在何种服务器上。事实上,LDAP 得到了业界的广泛认可,众多产品都加入了对LDAP的支持。可以在任何计算机平台上,用很容易获得的而且数目不断增加的LDAP的客户端程序访问LDAP目录。分布特性 通过复制或参考指针(referral),目录可放在
8、不同的网络主机上,实现分布式数据库。复制特性 提高目录的可靠性,通过将目录复制到本地服务器,可提高用户请求相应速度,最后,复制也是可实现一种安全策略。 142 LDAP 的应用场合LDAP对于存储这样的信息最为有用,即数据需要从不同的地点读取,但是不需要经常更新。 例如,这些信息存储在LDAP目录中是十分有效的: l 公司员工的电话号码簿和组织结构图 l 客户的联系信息 l 计算机管理需要的信息l 软件包的配置信息l 公用证书和安全密匙 大多数的LDAP服务器都为读密集型的操作如检索、浏览等进行了专门的优化。因此,当从LDAP服务器中读取数据的时候会比从专门为OLTP优化的关系型数据库中读取数
9、据快一个数量级。也是因为专门为读的性能进行优化,大多数的LDAP目录服务器并不适合存储需要需要经常改变的数据。例如,用LDAP服务器来存储帐号是一个不错的选择,但是它显然不适合作为电子商务站点的数据库服务器。 143 为什么是LDAP?综合以上两节所述,出于资源统一管理的需要,以及认证中查询操作所占的比重的考虑,在统一认证系统中采用LDAP目录作为认证信息服务器就成为必然的选择。 5 本文内容 本文对LDAP协议作了较为深入的研究,包括协议模型、数据模型、应用模型,探讨了LDAP目录管理当中复制、安全性、配置文件等重要概念,详细分析了LDAP目录管理中关于模式扩展、访问控制的应用方法。论述了校
10、园网统一认证体系的框架和实现思想以及目录服务在当中的作用,提出目录服务器DIT的初步设计和要解决的问题,并对于安全认证做了初步设计。最后实现了一个简单的基于web的目录管理系统。第二章 LDAP协议综述 21 LDAP协议模型 LDAP协议采用客户机/服务器模型。客户机构造一个LDAP协议请求,LDAP服务器必须分配一个端口来监听客户端请求,通过TCP/IP传递给LDAP服务器,在服务器执行完请求的操作后,把包含结果或者错误信息的相应回传给客户机。LDAP协议请求的PDU是一个LDAPMessage结构,响应的PDU是一个LDAPResult结构。LDAP的PDU都直接映射到TCP的字节流在网
11、上传输。 LDAP客户和LDAP服务器的一般交互过程如下: 图21 LDAP 会话1)客户端与LDAP服务器建立连接,要求客户端指定服务器的主机名或IP地址和伺服端口号。服务器将返回一个连接句柄,它指向了这次连接的所有信息。2)客户端与服务器建立一个会话(session),称为绑定。客户端提供用户名和口令进行认证,也可以建立一个具有缺省访问权限的匿名会话,还可以建立一个使用加密的安全会话。3)客户端发送操作请求,服务器执行操作。4)客户端结束所有请求后,关闭和服务器的会话,称为解除绑定。5)断开与服务器的连接。LDAP客户端的请求可以是同步的,也可以是异步的。在LDAPMessage结构中的m
12、essgeID整型变量唯一的标识一个请求,因此服务器通过messageID可以识别客户机发出的请求并正确返回该请求的响应,这是异步操作实现的原理。22 数据模型221条目的构成目录中存放数据的基本单位是条目。条目代表了真实世界中的对象,例如人、服务器、组织等等,是具有区别名DN(Distinguished Name)的属性(Attribute)集合,每个属性由一个类型(Type)和多个值(Values)构成,条目的逻辑结构如图22所示图22 条目的逻辑结构类型通常是容易记忆的名称,比如“cn”是通用名称(common name),或者“mail”是电子邮件地址。条目的值的语法取决于属性类型。比
13、如,cn属性可能具有一个值“Jia Chen”。一个mail属性可能包含值“”。一个jpegphoto属性可能包含一幅JPEG(二进制)格式的图片。另外,LDAP通过使用一个特殊的,叫做objectClass的属性来允许您控制哪一个属性必须出现或者允许出现在一个条目中。objectClass属性的值决定了该条目必须遵守的模式规则。一般来说,大多数属性的取值对于服务器并无意义,而由客户去解释和使用,但有一类属性叫操作属性(Operational Attribute),它们往往由服务器自动生产和修改,用户无法修改。222 DIT的组织和命名在LDAP中所有的条目以目录信息树(Directory I
14、nformation Tree,DIT)组织。图2-3表示了了一个目录树,它由位于不同层次的节点组成。LDAP不允许悬挂条目(即没有父节点的条目)存在于DIT中。在创建一个DIT之前,必须先定义根节点,即基准DN,也称为DSE(DSA-specific Entry 目录服务代理条目),它描述了LDAP服务器自身的信息。目录对象必须有名字以便无歧义的由客户端引用或识别,相对区别名RDN和可区别名DN是两种识别目录对象的主要方法。 图23RDN由一个称为命名属性的项目属性构成,它在父节点下的子树范围内唯一的识别每一个项目。每一个对象类都定义了一组属性充当命名属性,但在一个对象类的任何实例中只能由一
15、个命名属性。要在整个目录层次中唯一的识别一个目录对象,就必须使用DN。每一个LDAP记录项的DN是由两个部分组成的:相对DN(RDN)和记录在LDAP目录中的位置。RDN是DN中与目录树的结构无关的部分。可以看出,DN的定义是递归的,目录对象的DN就是其RDN与目录对象所在父条目DN的简单连接。23 LDAP模式schema及其扩展(重点难点)2.3.1 schema概述LDAP中关于属性、对象类文法和匹配规则等的规定构成所谓schema。模式信息在目录中通过objectclass为subschema的条目来表示,通常在DIT中占据一个独立的分支,可以对模式信息进行同其他目录对象一样的搜索操作。在LDAP中,schema居于核心地位,模式管理和扩展也是最复杂和具有挑战性的工作。Openldap随软件发布了一组模式定义,要使用任何一个模式文件,只需在slapd.conf文件中的全局定义部分包含所需要的文件。如:include /usr/local/etc/openldap/s
