文档介绍：电子科技大学
硕士学位论文
基于LDAP的统一身份认证目录服务系统研究与设计
姓名:杨跃鑫
申请学位级别:硕士
专业:计算机系统结构
指导教师:张建中
20090501
摘要随着企业信息化建设的加深,企业的应用系统也日益增多,系统的用户数量急剧增加,用户的角色与身份也更为复杂。分散的应用系统导致了分散的用户信息存储,同一用户在不同应用系统中对应了不一致的用户数据,不同步的用户生命周期,使得各应用系统的维护管理成为了企业信息化的一个瓶颈。对于企业应用系统管理人员而言,繁杂的用户信息管理和账户管理已经成为了系统管理员的巨大负担。虽然管理员付出了繁重的工作,其管理效率却没有得到实质性改善。对于用户而言,维护不同系统的账号密码带来了不小的负担,登录不同系统修改个人信息也使得用户进行着很多重复操作。改善管理员和用户的使用体验,需要从根本上改变各个应用系统独立维护用户信息的现状。为了解决这一问题,我们引入了统一目录管理平台课题。该课题以国家电网公司的“工程为依托,对四川〉缌镜南钟杏用鱿低辰姓希瓿闪怂拇ㄊ〉缌镜娜逵没畔⑹崂恚纬闪怂拇省电力公司的标准用户信息。本系统以轻量级目录访问协议为基础,对四川〉缌ο低车囊延邢低车挠没Ъ锹冀蟹治觯杓屏艘陨矸菽柯肌⑷现つ录、企业资源目录多种数据模式并存的四川省目录管理系统。在此系统上完成了身份同步子系统和认证管理子系统两个重要模块,实现了各应用系统中的身份同步及用户的多系统单点登录功能,成为了电力公司“毕钅恐匾5幕∑教ā本文对四川省统一目录管理平台的关键技术进行分析比对,深入解析了目录技术架构。通过对目录系统架构的分析设计,以四川省电力公司人力资源管理系统为基础系统,完成应用系统和权威数据源之间的数据同步,实现了以门户系统为前台的应用系统反向代理和单点登录。为了保证系统稳定高效的运行,本文还对影响整个系统效率的关键要点进行了性能测试和分析并获得预期结果。该系统已于年峦ü槭眨酵度朐诵小关键词:轻量级目录访问协议,目录服务,统一身份认证
瓼.”甅”,,瑂瓵甌琁猻猻琱盨,,甧.,瓼盨
琣篖珼;籬,··.,
渺’独创性声明关于论文使用授权的说明本人声明所呈交的学位论文是本人在导师指导下进行的研究工方外,论文中不包含其他人已经发表或撰写过的研究成果,也不包含为获得电子科技大学或其它教育机构的学位或证书而使用过的材料。签名:的规定,有权保留并向国家有关部门或机构送交论文的复印件和磁盘,允许论文被查阅和借阅。本人授权电子科技大学可以将学位论文焦作及取得的研究成果。据我所知,除了文中特别加以标注和致谢的地与我一同工作的同志对本研究所做的任何贡献均已在论文中作了明确的说明并表示谢意。日期:年月本学位论文作者完全了解电子科技大学有关保留、使用学位论文的全部或部分内容编入有关数据库进行检索,可以采用影印、缩印或扫描等复制手段保存、汇编学位论文。C艿难宦畚脑诮饷芎笥ψ袷卮斯导师签名日
第一章引言企业信息化发展是企业发展的必经之路。企业的信息化程度也是衡量一个企业发展前景的一个重要指标。随着企业信息化的发展,企业的应用系统数量也在急剧增加。几乎每个大型企业都有着多个应用系统,如,法律管理系统,财务系统,人力资源管理系统,办公自动化系统等。这些系统的使用,极大地提高了企业各部门的工作效率,增强了企业信息化能力,保证了企业的健康稳定持续发展。通过对现有企业系统状态的分析,我们不难发现,这些应用系统无一例外的都采用独立的数据库来维护管理系统的用户数据。一个企业员工往往需要使用多个应用系统。同一用户信息在不同系统中重复存储,而这些记录彼此独立,并不关联。企业员工需要维护其在不同应用系统中对应的用户帐号和密码,若用户信息发生变更,如邮箱地址变更,用户必须手动去每个应用系统更新用户信息。这样的手动更新的模式导致用户信息在各个应用系统中往往出现较大差异,同一用户在不同系统中具有不同的用户信息。同样,对于管理员而言,每个应用系统的管理员在维护业务模式的同时,还要管理大量的用户信息,用户的账号分配、回收、禁用等操作常常需要管理员进行独立设置,这使得管理员的用户管理负担加剧。由于各应用系统管理员之间并未建立有效的通信机制,因而用户的生命周期存在较大差异,如人力资源管理系统中已经处于离职状态的用户,在办公自动化系统中仍然处于活动状态可以查询办公信息,这样的生命周期的不同步导致了应用系统的安全性受到了极大威胁,这种威胁不是来源于技术,仅仅取决于管理员的操作的非同步性,而就是这种不同步性却成为了最常见也最无法避免的安全隐患。通过对历史数据的查看分析,我们发现在企业应用系统的安全隐患中,因为人为操作带来的安全隐患已经变成了安全隐患的首要原因。为了避免这一现象,最根本的策略就是对用户信息采用集中管理,然而现有的企