基于LDAP域?qū)崿F(xiàn)統(tǒng)一身份認(rèn)證

文/宋文文

基于LDAP域?qū)崿F(xiàn)統(tǒng)一身份認(rèn)證

文/宋文文

目前在校園網(wǎng)中，很多應(yīng)用系統(tǒng)開始使用基于LDAP(Lightweight Directory Access Protocol,輕量級目錄訪問協(xié)議)開發(fā)的統(tǒng)一身份認(rèn)證服務(wù)，如一卡通、數(shù)字化校園、辦公信息系統(tǒng)的用戶身份認(rèn)證服務(wù)等。

簡單而言，LDAP就是采用目錄方式保存數(shù)據(jù)，所消耗資源小于專門的數(shù)據(jù)庫，并可以跨平臺使用。作為用戶管理、授權(quán)及認(rèn)證系統(tǒng)的Dr.COM 寬帶接入認(rèn)證計費系統(tǒng)，能與用戶的LDAP認(rèn)證服務(wù)器實現(xiàn)的統(tǒng)一認(rèn)證和數(shù)據(jù)同步，將會對用戶信息系統(tǒng)的使用與維護(hù)提供很大的便利。

中國石油大學(xué)青島校區(qū)辦公區(qū)基于LDAP域技術(shù)，建立一個安全、高效、可管理的認(rèn)證平臺，采用LDAP域認(rèn)證模式，為辦公區(qū)域師生、多媒體用戶、實驗室等用戶提供統(tǒng)一身份認(rèn)證。

方案設(shè)計與實現(xiàn)

系統(tǒng)基于2166 B-RAS認(rèn)證網(wǎng)關(guān)，采用雙進(jìn)雙出多模光口，單臺最大轉(zhuǎn)發(fā)雙向4G，2166 B-RAS采用橋接透明模式，架設(shè)在內(nèi)網(wǎng)核心交換機(jī)（辦公區(qū)）和出口路由器之間，2166 B-RAS負(fù)責(zé)對石油大學(xué)青島校區(qū)辦公區(qū)域接入的用戶提供LDAP統(tǒng)一認(rèn)證服務(wù)，辦公區(qū)域用戶Windows域登錄成功后即允許授權(quán)訪問外網(wǎng)。

LDAP統(tǒng)一認(rèn)證與2166 B-RAS聯(lián)動認(rèn)證流程如下：

1. 辦公區(qū)域用戶Windows域登錄時，2166 B-RAS會把用戶的認(rèn)證信息轉(zhuǎn)送到石油大學(xué)的LDAP統(tǒng)一認(rèn)證服務(wù)器進(jìn)行賬號校驗，認(rèn)證通過即允許用戶通過并連接外網(wǎng)。

2. 在LDAP統(tǒng)一認(rèn)證服務(wù)器上安裝Dr.COM watch程序，實時讀取LDAP域登錄信息表，如果發(fā)現(xiàn)用戶在LDAP認(rèn)證服務(wù)器登錄成功后，Dr.COM watch程序會通過認(rèn)證URL接口自動告知守護(hù)進(jìn)程和認(rèn)證網(wǎng)關(guān)。

3. 根據(jù)預(yù)先在后臺設(shè)置的辦公區(qū)域源IP地址表，自動幫該域用戶分配到其所屬的2166 B-RAS進(jìn)行自動上線，Dr.COM watch程序也會讀取LDAP認(rèn)證服務(wù)器的注銷日志表，當(dāng)其定期掃描到在線用戶在域注銷了，watch程序認(rèn)證URL接口自動告知2166 B-RAS，自動為該用戶進(jìn)行下線處理。

4. 生成其登錄日志，使用時長和流量等信息并存入Oracle數(shù)據(jù)庫后臺。

圖2 工作流程示意

統(tǒng)一數(shù)據(jù)庫后臺與管理平臺

Dr.COM 2166 B-RAS對辦公區(qū)域經(jīng)過的用戶進(jìn)行數(shù)據(jù)采集，系統(tǒng)生成日志等其他記錄后，回傳到后臺數(shù)據(jù)庫服務(wù)器，并計算生成系統(tǒng)日志信息、訪問記錄、登錄記錄等信息，但是不生成計費賬單。辦公區(qū)域2166 B-RAS和非辦公區(qū)域2166 BRAS均共用一套認(rèn)證計費業(yè)務(wù)支撐平臺，后臺數(shù)據(jù)庫（包含日常運營數(shù)據(jù)數(shù)據(jù)庫和訪問記錄服務(wù)器）服務(wù)器放置在數(shù)據(jù)存儲區(qū)，負(fù)責(zé)實時存儲Dr.COM 接入認(rèn)證網(wǎng)關(guān)運營產(chǎn)生的所有信息，方便各管理模塊的查詢。

地址漫游限制

通過在統(tǒng)一的認(rèn)證計費后臺配置辦公區(qū)域，2166 B-RAS內(nèi)外允許登錄IP地址段信息，后臺會下發(fā)辦公區(qū)域允許登錄的IP地址段到辦公區(qū)域2166 B-RAS，而非辦公區(qū)域IP地址段則剔除，從而實現(xiàn)辦公區(qū)域賬號無法在非辦公區(qū)域登錄，防止了辦公區(qū)域賬號免費使用的漏洞。

(作者單位為中國石油大學(xué)(華東))