No.5 微处理机 第5期 2013年1O月 Oct..2013 MICROPR0CESSORS 基于LDAP的统一用户管理研究与实现 董文炜 (中航工业金城南京机电液压工程研究中心,南京211106) 摘 要:为了解决企业中各应用系统用户信息独立、分散而导致的用户信息不一致问题,实现 统一的用户管理与认证,结合目录服务的LDAP技术,设计了一个集中的用户管理系统作为所有应 用系统唯一的用户信息验证系统,构建了企业内部统一的用户管理中心。 关键词:目录服务;用户管理;系统集成 DOI编码:10.3969/j.issn.1002—2279.2013.05.018 中图分类号:TP311 文献标识码:A 文章编号:1002—2279(2013)05—0060—03 Research and Implementation of Unified Users Management Based on LDAP DONG Wen—wei (Nanjing Engineering Institute ofAircraa跏 ,AVIC,Nanjing 211106,China) Abstract:In order to solve the problem of independence,dispersion and inconsistency of user information in enterprise application system and achieve a uniifed user management and authentication, this paper designs a centralized user management system for all applications as the unique user information verification system and builds the enterprise unified user management center with the LDAP technology of directory service. Key words:Directory Services;User Management;System integration 1现状分析 随着企业信息化建设的不断投入和深化应用, 统共享一套用户信息数据库,建立一个独立统一的 用户管理和验证系统替换掉原来各个应用系统的用 户验证模块。所有应用系统在登录验证时都到这个 统一集中的用户管理系统上验证其有效性以实现系 统登录。 实际上一个企业内所有的应用系统就是一个大 企业内信息化应用系统的数量不断增加,逐步覆盖 企业所有的业务。然而这些应用系统的用户信息都 相互独立,用户的管理和维护模式也不尽相同。这 就导致了用户在每个系统中都有独立的账号和口 令,用户进入不同的系统,需要输入不同的账号和口 令。虽然用户可以人为的在所有应用系统中设置相 型的分布式数据管理系统,各个系统的业务模块随 着应用的不同而不尽相同,但是其用户验证部分都 是基于用户名/密码定义的,而其授权部分基于角色 /权限定义。基于这一相同点,可以设计一个通用的 同的用户名和密码,但系统管理员无法保证所有系 统内用户状态的一致性。因此这种情况不仅给用户 自身带来许多不便,而且也会造成安全隐患和资源 统一用户管理系统来帮助所有系统完成登录验证和 角色授权工作。 浪费。同时大部分的信息系统都有复杂的访问控制 关系,比如直接对用户授权,以及用户角色权限的多 元关系等,也会给系统管理带来许多问题。 3基于LDAP的企业统一用户管理系统实 现 通过分析企业现有应用系统用户管理模块的共 2统一集中用户管理 如果要解决这些问题,必须要实现所有应用系 同点和相似点,提取其公共的部分集中到一个系统 上实现用户验证和角色授权。从而有效解决用户多 作者简介:董文炜(1982一),男,安徽天长人,硕士研究生,主研方向:企业信息技术架构和数据库技术。 收稿日期:2013—05—10 ・62・ 微处理机 2013拒 有用户,确定该用户可以登录的系统,以及该用户在 其能够登录的系统中的角色。最后把配置好的信息 内容发布到目录服务上。 (2)接口程序 本系统基于.NET平台开发,利用微软提供的 活动目录服务接口技术,可以很方便的开发应用程 序访问活动目录,使用.NET平台封装的Directory— Entyr和DirectorySearcher两个组件类可以从托管代 码中直接访问活动目录,同时为了其他平台的应用 程序能够方便集成,用户管理模块提供了标准的 Web服务接口访问活动目录,该接口就是封装了访 问活动目录的各种方法和接口。 Web服务的接口部分程序如下: public class WsUserAuth:System.Web.Services. WebService { public WsUserAuth() {} string domainName=”10.1 1.30.180”;//LDAP 服务器,根据实际情况可以修改 [WebMethod] //确定该用户在该系统中的角色,userRoles列 表为空则拒绝访问, //userRoles列表有返回值,则可以登录该系统 //同时各应用系统根据返回值,即角色,确定用 户权限 public ArrayList userRoles(string uname,string psw,string appName) { ArrayList roles=null; bool flag=null; DirctoryAccess da=new DirctoryAccess(); lfag da.Authenticate(domianName,uname, psw); //确定该用户名和密码是否合法 if(flag) { roles=da.CheckUserGroup(appName); //确定该用户进入的应用系统角色集 roles=da.SearchUserGmup(unarne,allroles); //在该应用系统对应的角色集中寻找哪些角色 包含了该用户 } return roles; } } 3.3应用系统集成 应用系统只需要经过少量的改造就可以与此系 统集成。无论是B/S还是C/S系统,只要根据自身 的开发环境和开发语言,在登录界面的登录验证按 钮触发事件删除以前必须到自身数据库中验证的程 序代码,添加引用远程服务器(统一用户管理系统) 提供的Web服务接口程序,就可以将输入的用户名 和密码传递到活动根目录的数据库中进行验证,并 返回结果。应用系统根据返回结果作进一步的判断 来控制用户是否进入系统。 4结束语 统一用户管理系统的建设,解决了多个应用系 统之间用户账号不统一、访问繁琐、无法有效管理的 问题,实现了不同系统的用户信息统一管理,并能够 在一个平台上对用户的所有登录行为进行监控审 计。经过一段时间的测试和用户试用,统一用户管 理系统不仅给用户提供了极大的方便,同时也方便 了系统管理员的管理。 参考文献: [1] 夏明忠,夏以轩,姜丽萍.统一用户认证和授权管理的 实现[J].计算机与应用化学,2011,28(8):1087— 1090. [2] 杨修兰,蒋泽军,王丽芳.基于LDAP和双因素身份认 证的统一认证[J].计算机工程与科学,2008,30(7): 27—29.39. [3] 刘艳青,曹争,阮冬玲.一种面向大规模用户的组安全 管理体系[J].东南大学学报(自然科学版),2008 (S1):81—85. [4] 马国财,刘海雄.基于LDAP的政府采购统一用户管理 的研究与实现[J].微计算机信息,2011(3):125一 l27. [5] 吴昊,徐致远.活动目录在GIS用户管理中的应用 [J].测绘工程,2010,19(6):70—72.
