導(dǎo)語：商業(yè)企業(yè)局域網(wǎng)建設(shè)論文一文來源于網(wǎng)友上傳，不代表本站觀點，若需要原創(chuàng)文章可咨詢客服老師，歡迎參考。

[摘要]隨著網(wǎng)絡(luò)技術(shù)的高速發(fā)展，越來越多的網(wǎng)絡(luò)應(yīng)用系統(tǒng)在商業(yè)企業(yè)局域網(wǎng)中得到了普及應(yīng)用。然而如何集中的管理商業(yè)企業(yè)局域網(wǎng)中各應(yīng)用系統(tǒng)的用戶，成了每個商業(yè)企業(yè)局域網(wǎng)管理者必須面對的問題。本文闡述了一種利用LDAP和RADIUS服務(wù)結(jié)合的商業(yè)企業(yè)局域網(wǎng)統(tǒng)一認(rèn)證系統(tǒng)，并對其詳細(xì)設(shè)計方案及實現(xiàn)過程進行了說明。

[關(guān)鍵詞]統(tǒng)一認(rèn)證LDAPRADIUS

隨著大型商業(yè)企業(yè)信息化的全面啟動，很多商業(yè)企業(yè)正積極的構(gòu)建各種信息化應(yīng)用的系統(tǒng)。然而，用戶在商業(yè)企業(yè)局域網(wǎng)的各個不同的應(yīng)用系統(tǒng)中又不同的權(quán)限，因此用戶會在每個系統(tǒng)中獲得一個獨立的賬號。這樣會給企業(yè)網(wǎng)絡(luò)管理者和用戶帶來諸多不便，因此建設(shè)整個企業(yè)的以目錄服務(wù)為核心的中央認(rèn)證系統(tǒng)和用戶管理系統(tǒng)，將完成為網(wǎng)絡(luò)中的所有應(yīng)用、硬件和網(wǎng)絡(luò)資源提供統(tǒng)一的身份管理，從而可以在在很大程度上方便了每個用戶的操作,同時也提高了整個網(wǎng)絡(luò)管理的能力。利用輕型目錄訪問協(xié)議LDAP,可以解決商業(yè)企業(yè)局域網(wǎng)統(tǒng)一認(rèn)證的問題。但是很多應(yīng)用直接使用LDAP認(rèn)證比較困難。因此，利用RADIUS（遠(yuǎn)程用戶撥號認(rèn)證系統(tǒng)）這樣被廣泛支持的認(rèn)證協(xié)議和LDAP相結(jié)合的方式，可以滿足大多數(shù)應(yīng)用系統(tǒng)的統(tǒng)一認(rèn)證需求。

一、系統(tǒng)功能設(shè)計

系統(tǒng)功能如圖所示。

二、系統(tǒng)的實現(xiàn)

1.目錄結(jié)構(gòu)設(shè)計

根據(jù)商業(yè)企業(yè)局域網(wǎng)應(yīng)用的具體情況和LDAP服務(wù)器的特點和功能,設(shè)計一個LDAP服務(wù)器的目錄結(jié)構(gòu)。在這個LDAP目錄結(jié)構(gòu)中,dc=cdut,dc=edu,dc=cn作為整棵樹的根DN。其中包括用戶子樹、部門子樹、系統(tǒng)子樹和證書子樹。用戶(ou=user)子樹中存放統(tǒng)一認(rèn)證系統(tǒng)的所有用戶信息,包括用戶的姓名、密碼、性別、單位等內(nèi)容,另外還要包括用戶權(quán)限列表。部門(o=org)子樹,存放的是按照一般部門的分級結(jié)構(gòu)的部門,直觀反映了部門間的上下級關(guān)系。部門包括的屬性有名稱、辦公電話、部門性質(zhì)等。不再有子部門的部門子樹下應(yīng)包含屬于該系的人員列表,這里每個人只是一個索引,指向人員子樹下具體的某個人員。資源(ou=res)子樹下主要是分為商業(yè)企業(yè)局域網(wǎng)內(nèi)使用統(tǒng)一認(rèn)證的各個應(yīng)用系統(tǒng)，這棵子樹控制著訪問的權(quán)限。例如銷售系統(tǒng)、物流系統(tǒng)等。每個系統(tǒng)的各個實現(xiàn)功能都可以設(shè)定某一用戶組的來控制訪問權(quán)限,其中控制上層樹的用戶組也可以控制下層樹所需要的權(quán)限。每個系統(tǒng)的管理員就可以控制屬于該系統(tǒng)子樹下所有的權(quán)限,充分將每個系統(tǒng)地管理權(quán)限分散到各個管理員手中。證書(ou=cert)子樹下主要是存放整個系統(tǒng)中所有與身份認(rèn)證的票據(jù)相關(guān)的內(nèi)容,比如用戶證書、數(shù)字簽名等。

2.LDAP和RADIUS的配置

在用作LDAP的服務(wù)器上安裝OPENLDAP，并按照3.1的構(gòu)建目錄樹。然后在用在RADIUS服務(wù)器上安裝完成FREERADIUS后需要將LDAP服務(wù)器的相關(guān)信息寫入。編輯radiusd.conf，加入以下配置。認(rèn)證系統(tǒng)就可以正常運行了。

ldap{

server=“”

identity=“cn=root，dc=cdut，dc=edu，dc=cnw”

password=password

basedn=“dc=cdut，dc=edu，dc=cn”

}

3.應(yīng)用系統(tǒng)使用統(tǒng)一認(rèn)證

很多通用系統(tǒng)都可以直接使用RADIUS提供的認(rèn)證服務(wù)，如大部分的上網(wǎng)認(rèn)證系統(tǒng)、802.1x認(rèn)證系統(tǒng)等。而商業(yè)企業(yè)局域網(wǎng)中很多網(wǎng)絡(luò)應(yīng)用系統(tǒng)是采用Web應(yīng)用程序的方式開發(fā)實現(xiàn)的。對于不同的Web應(yīng)用程序可以采用不同的功能函數(shù)模塊來使用RADIUS提供的認(rèn)證功能。以PHP為例，要使用RADIUS認(rèn)證功能需要在編譯安裝時執(zhí)行./configure—enable-radius，在編譯時加入對RADIUS的支持，這樣就可以在PHP中使用RADIUS支持函數(shù)，進行認(rèn)證操作了。

三、結(jié)束語

LDAP目錄服務(wù)數(shù)據(jù)以目錄的方式存儲,并且可以建立索引,因此LDAP的讀取速度大大快于經(jīng)過一般的關(guān)系型數(shù)據(jù)庫,查詢效率也更高。所以對于一個大型的統(tǒng)一認(rèn)證系統(tǒng)來說它更高效。同時LDAP本身為安全認(rèn)證設(shè)計，提供了更高的安全性，通過和RADIUS的結(jié)合，能夠更方便的為各種應(yīng)用系統(tǒng)和平臺提供統(tǒng)一認(rèn)證服務(wù)，從而保證了系統(tǒng)的安全性和通用性，同時也提高了系統(tǒng)的效率，因此非常適合在大型商業(yè)企業(yè)局域網(wǎng)中使用。

參考文獻:

[1]付云俠薛田良:身份認(rèn)證中基于LDAP的統(tǒng)一目錄服務(wù)的研究與實現(xiàn).福建電腦,2008(3)

[2]胡勝豐蔣平:基于LDAP的企業(yè)統(tǒng)一資源管理研究.微計算機應(yīng)用,2008(3)

[3]劉永亮張衛(wèi)紅周駿:基于LDAP的校園網(wǎng)統(tǒng)一身份認(rèn)證的設(shè)計.計算機與數(shù)字工程,2008(4)

[4]陽富民劉軍平:統(tǒng)一認(rèn)證技術(shù)研究與實現(xiàn).計算機工程與科學(xué),2007(2)

[5]袁善鵬楊波:基于Linux的LDAP應(yīng)用環(huán)境研究與目錄服務(wù)實現(xiàn).信息技術(shù)與信息化,2006(5)

LDAP采用開源的OPENLDAP來實現(xiàn)。通過建立一個LDAP主目錄服務(wù)作為整個認(rèn)證系統(tǒng)的核心，同時建立一個從屬LDAP目錄服務(wù)保證系統(tǒng)的安全性以及實現(xiàn)一定程度的性能負(fù)載均衡，通過目錄同步保證數(shù)據(jù)的一致性。建立一套基于Web的LDAP管理系統(tǒng)，實現(xiàn)對LDAP的管理。對于部分可以直接采用LDAP服務(wù)進行認(rèn)證的系統(tǒng)，例如郵件系統(tǒng)、垃圾郵件網(wǎng)關(guān)、Shell登陸等直接通過LDAP提供統(tǒng)一認(rèn)證。其它的不能直接使用LDAP服務(wù)進行統(tǒng)一認(rèn)證的系統(tǒng)，如各種Web應(yīng)用系統(tǒng)、企業(yè)網(wǎng)上網(wǎng)認(rèn)證系統(tǒng)、遠(yuǎn)程訪問系統(tǒng)等。系統(tǒng)利用RADIUS對LDAP的直接訪問，獲得用戶認(rèn)證及權(quán)限等信息，再為這些系統(tǒng)提過認(rèn)證服務(wù)。