1、統(tǒng)一門戶解決方案V1.0修訂歷史記錄日期版本說(shuō)明作者/修改人審核批準(zhǔn)2013-12-04編寫(xiě)陳建 2013年12月目錄一、概述3二、用戶分類模型42.1基于部門崗位樹(shù)的角色模型42.2 級(jí)別分層樹(shù)模型5三、用戶信息存儲(chǔ)管理53.1 用戶信息存儲(chǔ)分類53.2LDAP目錄服務(wù)定義63.3、LDAP目錄的結(jié)構(gòu)73.4、LDAP目錄的存儲(chǔ)內(nèi)容10四、用戶身份認(rèn)證114.1、認(rèn)證類型114.2、用戶身份密碼驗(yàn)證114.3、與CA認(rèn)證接口134.4、用戶登錄控制14五、分布式用戶目錄管理155.1、分布式目錄服務(wù)體系155.2、目錄復(fù)制16六、統(tǒng)一用戶信息的方式分類16七、用戶信息同步17八、用戶生命周期

2、管理198.1、新建用戶198.2、密碼修改208.3、刪除用戶20一、 概述 目錄管理是為了方便用戶訪問(wèn)組織機(jī)構(gòu)內(nèi)所有的授權(quán)資源和服務(wù)，簡(jiǎn)化用戶管理，基于LDAP或基于數(shù)據(jù)庫(kù)，對(duì)組織機(jī)構(gòu)內(nèi)中所有應(yīng)用實(shí)行統(tǒng)一的用戶信息的存儲(chǔ)、認(rèn)證和管理。 統(tǒng)一用戶目錄管理要遵循以下兩個(gè)基本原則： 統(tǒng)一性原則：實(shí)現(xiàn)對(duì)目前已知用戶類型進(jìn)行統(tǒng)一管理；對(duì)包括分支機(jī)構(gòu)在內(nèi)的整個(gè)組織機(jī)構(gòu)內(nèi)的所有用戶進(jìn)行用戶目錄復(fù)制和統(tǒng)一管理；對(duì)門戶的用戶體系和各應(yīng)用系統(tǒng)各自獨(dú)立的用戶體系進(jìn)行統(tǒng)一管理；對(duì)新進(jìn)員工/用戶到員工/用戶離開(kāi)進(jìn)行整個(gè)生命周期的管理。 可擴(kuò)充性原則：能夠適應(yīng)對(duì)將來(lái)擴(kuò)充子系統(tǒng)的用戶進(jìn)行管理。二、 用戶分類模型2.1基

3、于部門崗位樹(shù)的角色模型基于部門崗位樹(shù)的角色模型是組織機(jī)構(gòu)內(nèi)最常見(jiàn)的模型，提供了用戶目錄管理、目錄復(fù)制、權(quán)限控制的多種屬性。角色管理是用戶權(quán)限管理的重要基礎(chǔ)?；诓块T崗位樹(shù)的角色模型如下所示：在部門崗位角色樹(shù)狀模型中，用戶職位稱為崗位，或稱用戶角色，包含崗位角色的組織機(jī)構(gòu)稱為部門，大部門可以包含小部門。其最重要的特點(diǎn)是： 用戶隸屬于崗位/角色(可以隸屬于多個(gè)崗位/角色)； 崗位/角色具有時(shí)間范圍； 部門包含下屬部門及崗位/角色中的所有用戶。用戶信息以組織/部門/ 崗位角色以樹(shù)狀的層次結(jié)構(gòu)來(lái)組織和管理，有以下好處： 同實(shí)際組織機(jī)構(gòu)體系相一致； 同LDAP目錄對(duì)數(shù)據(jù)的組織方式保持一致，便于利用LDA

4、P 目錄服務(wù)的強(qiáng)大進(jìn)行用戶目錄的管理； 有利于將某個(gè)地域/分支機(jī)構(gòu)或某個(gè)部門/下屬單位的用戶信息定制推送到單獨(dú)的用戶目錄服務(wù)器上，提高相關(guān)應(yīng)用對(duì)用戶信息的訪問(wèn)效率； 有利于根據(jù)目錄樹(shù)的結(jié)構(gòu)給予不同的員工/用戶組不同的權(quán)限。2.2 級(jí)別分層樹(shù)模型級(jí)別分層樹(shù)模型如下圖所示，是對(duì)部門崗位角色樹(shù)狀層次模型的補(bǔ)充。在級(jí)別分層樹(shù)模型中，不同層次的節(jié)點(diǎn)具有上下級(jí)或涵蓋關(guān)系。相同層次的節(jié)點(diǎn)相互獨(dú)立，之間沒(méi)有上下級(jí)或涵蓋關(guān)系。其最重要的特點(diǎn)是： 用戶只能屬于一個(gè)級(jí)別； 在同一層次節(jié)點(diǎn)下可以有多個(gè)級(jí)別； 可用大于、小于或等于，以上、以下等詞匯來(lái)指定多個(gè)或一個(gè)層次的級(jí)別。利用級(jí)別分層樹(shù)模型，可輔助實(shí)現(xiàn)更為靈活的用戶

5、授權(quán)控制。三、用戶信息存儲(chǔ)管理 3.1 用戶信息存儲(chǔ)分類統(tǒng)一的用戶信息存儲(chǔ)可基于： 數(shù)據(jù)庫(kù)方式：支持將統(tǒng)一的用戶信息存儲(chǔ)于各大主流數(shù)據(jù)庫(kù)中，如Oracle、 DB2、SQL Server、Sybase、MySQL 等； LDAP目錄方式：支持將統(tǒng)一的用戶信息存儲(chǔ)于LDAP 目錄中，如Domino、 LDAP、Sun One Directory Server、OpenLDAP、MS Active Directory、Novell、 NDS、Netscape Directory Server 等。 此外，可以基于LDAP 目錄或數(shù)據(jù)庫(kù)方式，新建一個(gè)用戶信息目錄庫(kù)，供門戶和應(yīng)用系統(tǒng)使用； 也支持可以

6、使用現(xiàn)存應(yīng)用系統(tǒng)的已有用戶數(shù)據(jù)庫(kù)，作為門戶和其他應(yīng)用統(tǒng)一的用戶信息存儲(chǔ)管理庫(kù)，如可以考慮基于現(xiàn)存的OA 辦公自動(dòng)化系統(tǒng)、或者HR人事系統(tǒng)、或者一卡通系統(tǒng)等現(xiàn)有系統(tǒng)的 RDBMS 用戶數(shù)據(jù)庫(kù)或 LDAP 用戶目錄進(jìn)行用戶信息管理和身份驗(yàn)證。 鑒于基于LDAP目錄服務(wù)存儲(chǔ)和管理用戶的身份認(rèn)證等信息，可更有效更靈活地管理用戶及資源，我們推薦采用LDAP目錄服務(wù)作為各組織機(jī)構(gòu)信息化建設(shè)統(tǒng)一用戶管理的基礎(chǔ)平臺(tái)。下面主要闡述LDAP 目錄服務(wù)的相關(guān)內(nèi)容。3.2 LDAP目錄服務(wù)定義LDAP協(xié)議： 輕量級(jí)目錄訪問(wèn)協(xié)議(LDAP) ，英文全稱是 Lightweight Directory Access Pro

7、tocol，是一個(gè)用于訪問(wèn)存儲(chǔ)在信息目錄中的信息的 Internet協(xié)議，是目錄服務(wù)在TCP/IP 上的實(shí)現(xiàn)（RFC 1777 V2 版和RFC 2251 V3 版）。它是對(duì)X500 的目錄協(xié)議的移植，但是簡(jiǎn)化了實(shí)現(xiàn)方法，所以稱為輕量級(jí)的目錄服務(wù)。 LDAP 協(xié)議是跨平臺(tái)的和標(biāo)準(zhǔn)的協(xié)議；實(shí)際上，LDAP 作為一種 Internet 標(biāo)準(zhǔn)，得到了業(yè)界的廣泛認(rèn)可。 LDAP 的核心規(guī)范在RFC 中進(jìn)行了定義，LDAP 協(xié)議集規(guī)定了區(qū)別名(DN)的命名方法、存取控制方法、搜索格式、復(fù)制方法、URL 格式、開(kāi)發(fā)接口等，描述了客戶端應(yīng)該如何訪問(wèn)存儲(chǔ)在服務(wù)器上的數(shù)據(jù)，但沒(méi)有定義應(yīng)該如何存儲(chǔ)數(shù)據(jù)。通過(guò)使用L

8、DAP，可以在信息目錄的正確位置讀?。ɑ虼鎯?chǔ)）數(shù)據(jù)。 目錄服務(wù)：所謂目錄服務(wù)是在分布式計(jì)算機(jī)環(huán)境中，定位和標(biāo)識(shí)用戶以及可用的各網(wǎng)絡(luò)元素和網(wǎng)絡(luò)資源，并提供搜索功能和權(quán)限管理功能的服務(wù)機(jī)制。各組織機(jī)構(gòu)為了實(shí)現(xiàn)各個(gè)分立的“信息孤島”走向連通和融合，一方面業(yè)務(wù)系統(tǒng)需要將自身的職能和業(yè)務(wù)協(xié)作要求公布出去；另一方面，也希望能夠檢索并獲取其他業(yè)務(wù)系統(tǒng)的信息和公共的信息資源。這些需求采用目錄服務(wù)都能夠得到滿足。 目錄服務(wù)是其對(duì)象具有屬性及名稱的命名服務(wù)，是命名服務(wù)的自然擴(kuò)展。目錄服務(wù)與命名服務(wù)的關(guān)鍵區(qū)別在于，目錄服務(wù)允許屬性（比如用戶的電子郵件地址）與對(duì)象相關(guān)聯(lián)。 目錄服務(wù)的核心是一個(gè)樹(shù)狀結(jié)構(gòu)的信息目錄，由一

9、系列具有屬性和名稱的目錄入口對(duì)象(Entry)組成，將網(wǎng)絡(luò)中的數(shù)據(jù)資源、數(shù)據(jù)處理資源和用戶信息按有次序的結(jié)構(gòu)進(jìn)行組織，并且專門針對(duì)海量查詢的使用情況進(jìn)行了優(yōu)化，極大地提高了數(shù)據(jù)讀取和查詢性能。 目錄服務(wù)不僅可以提供分布式計(jì)算網(wǎng)絡(luò)的視圖，以邏輯的觀念來(lái)管理網(wǎng)絡(luò)，而且它能實(shí)現(xiàn)以人為本的網(wǎng)絡(luò)管理方式。它可以記載網(wǎng)絡(luò)的所有文件以及所有在網(wǎng)絡(luò)上運(yùn)行的資源，以及使用者帳號(hào)、身份口令、密碼、卷、文檔，應(yīng)用程序以至于域名服務(wù)器 DHCP、IP 地址以及認(rèn)證的公鑰等。此外，目錄軟件還保存和管理對(duì)包括人員、業(yè)務(wù)過(guò)程和供內(nèi)部使用的資源等有關(guān)組織機(jī)構(gòu)詳細(xì)信息的訪問(wèn)。 目錄服務(wù)樹(shù)中的一個(gè)目錄對(duì)象可以通過(guò)它的名字檢索，或

10、者通過(guò)使用一組搜索標(biāo)準(zhǔn)（表示目錄對(duì)象的名字和屬性）檢索。 在分布式計(jì)算環(huán)境中，各單位對(duì)其他單位有用的信息可以在目錄服務(wù)注冊(cè)、解除注冊(cè)和查詢。在整個(gè)組織機(jī)構(gòu)范圍內(nèi)部署和實(shí)現(xiàn)LDAP，可以讓運(yùn)行在幾乎所有計(jì)算機(jī)平臺(tái)上的所有的應(yīng)用程序從LDAP 目錄中獲取信息。3.3、LDAP目錄的結(jié)構(gòu)LDAP目錄以樹(shù)狀的層次結(jié)構(gòu)來(lái)組織和存儲(chǔ)數(shù)據(jù)，目錄由目錄入口對(duì)象(Entry)組成，目錄入口對(duì)象(Entry)相當(dāng)于關(guān)系數(shù)據(jù)庫(kù)中表的記錄，可直接成為L(zhǎng)DAP目錄記錄，是具有區(qū)別名DN（Distinguished Name ）的屬性（Attribute ）集合，DN相當(dāng)于關(guān)系數(shù)據(jù)庫(kù)表中的關(guān)鍵字（PrimaryKey ）

11、；屬性由屬性類型（Type）和多個(gè)值（Values ）組成，相當(dāng)于關(guān)系數(shù)據(jù)庫(kù)中的域（Field）由域名和數(shù)據(jù)類型組成，只是為了方便檢索和靈活性的需要，LDAP 中的Type 可以有多個(gè) Value，而不是關(guān)系數(shù)據(jù)庫(kù)中為降低數(shù)據(jù)的冗余性要求實(shí)現(xiàn)的各個(gè)域必須是不相關(guān)的。 這樣，有以下好處： 一般按照地理位置和組織關(guān)系進(jìn)行組織數(shù)據(jù)，同現(xiàn)實(shí)世界相一致，非常的直觀； 有利于根據(jù)目錄樹(shù)的結(jié)構(gòu)給予不同的員工/用戶組不同的權(quán)限； 屬性類型可以多個(gè)屬性值，LDAP目錄就有很大的靈活性，不必為加入一些新的數(shù)據(jù)就重新創(chuàng)建表和索引； LDAP把數(shù)據(jù)存放在文件中，可以使用基于索引的文件數(shù)據(jù)庫(kù)，大大方 便了檢索，提高了檢

12、索效率； 有利于將某個(gè)地域/分支機(jī)構(gòu)或某個(gè)部門/下屬單位的用戶信息定制推送 到單獨(dú)的用戶目錄服務(wù)器上，提高相關(guān)應(yīng)用對(duì)用戶信息的訪問(wèn)效率； 把 LDAP存儲(chǔ)和復(fù)制功能結(jié)合起來(lái)，可以定制目錄樹(shù)的結(jié)構(gòu)以降低對(duì)WAN 帶寬的要求。 LDAP目錄記錄的標(biāo)識(shí)名(Distinguished Name，簡(jiǎn)稱DN)是用來(lái)讀取單個(gè)記錄，以及回溯到樹(shù)的頂部。 基準(zhǔn)DN： LDAP目錄樹(shù)的最頂部就是根，也就是所謂的“基準(zhǔn)DN”?；鶞?zhǔn)DN 通常使用下面的格式，如：o= (用組織機(jī)構(gòu)的域名/Internet 地址作為基準(zhǔn)DN，這種格式很直觀，這也是現(xiàn)在最常用的格式)。 在目錄樹(shù)中怎么組織數(shù)據(jù)：

13、 LDAP 目錄樹(shù)的最頂部就是根。在根目錄下，因?yàn)闅v史上(X.500)的原因，大 多數(shù)LDAP 目錄用OU 從邏輯上把數(shù)據(jù)分開(kāi)來(lái)。 OU 表示“Organization Unit”，在X.500 協(xié)議中是用來(lái)表示單位內(nèi)部的機(jī)構(gòu)部門?，F(xiàn)在LDAP 還保留ou=這樣的命名規(guī)則，但是擴(kuò)展了分類的范圍，可以分類為：ou=people, ou=groups, ou=devices，等等。更低一級(jí)的OU 有時(shí)用來(lái)做更細(xì)的歸類。例如：LDAP 目錄樹(shù)(不包括單獨(dú)的記錄)可能會(huì)是這樣的： o= ou=employees ou=office ou=hr ou=finance ou=s

14、ales ou=rd ou=groups ou=customers ou=china ou=asia ou=europe ou=rooms ou=assets-mgmt 單獨(dú)的LDAP 記錄： DN 是LDAP 記錄項(xiàng)的名字。在LDAP 目錄中的所有記錄項(xiàng)都有一個(gè)唯一的 “Distinguished Name”，也就是DN。每一個(gè)LDAP 記錄項(xiàng)的DN 是由兩個(gè)部分組成的：相對(duì)DN（RDN ）和記錄在LDAP目錄中的位置。RDN 是DN 中與目錄樹(shù)的結(jié)構(gòu)無(wú)關(guān)的部分。在LDAP 目錄中存儲(chǔ)的記錄項(xiàng)都要有一個(gè)名字，這個(gè)名字通常存在cn （Common Name）這個(gè)屬性里。在LDAP中存儲(chǔ)的對(duì)象都

15、用它們的cn 值作為RDN 的基礎(chǔ)。 完整的DN，比如，為一個(gè)員工“張三”設(shè)置一個(gè)DN： cn=zhang san, ou=employees, o= （基于姓名） uid=szhang, ou=employees, o= （基于登錄名，推薦） 推薦采用基于登錄名的方式設(shè)置DN，因?yàn)榛谛彰@種格式有一個(gè)很明顯的缺點(diǎn)-如果名字改變了，LDAP 的記錄就要從一個(gè)DN 轉(zhuǎn)移到另一個(gè)DN，但是，我們應(yīng)該盡可能地避免改變一個(gè)記錄項(xiàng)的DN；而大多數(shù)單位都會(huì)給每一個(gè)員工唯一的登錄名，因此用這個(gè)辦法可以很好地保存員工的信息，而不用擔(dān)心以后還會(huì)有一個(gè)叫“

16、張三”的加入，或者“張三”改變了名字，也用不著改變LDAP記錄項(xiàng)的DN。 記錄項(xiàng)： LDAP 目錄以一系列“屬性對(duì)”的形式來(lái)存儲(chǔ)記錄項(xiàng)，每一個(gè)記錄項(xiàng)包括屬性類型和屬性值（這與關(guān)系型數(shù)據(jù)庫(kù)用行和列來(lái)存取數(shù)據(jù)有根本的不同）。 例如，機(jī)構(gòu)單位 的員工“張三”的LDAP 記錄。這個(gè)記錄項(xiàng)的格式是LDIF，用來(lái)導(dǎo)入和導(dǎo)出LDAP 目錄的記錄項(xiàng)。 dn: uid=szhang, ou=employees, o= objectclass: person objectclass: organizationalPerson objectclass: in

17、etOrgPerson objectclass: orgnamePerson uid: szhang givenname: zhang sn: san cn: Zhang San cn: Zhang Shan cn: 張三cn: 張總 telephonenumber: 8610- roomnumber: 122G o: orgname, Inc. dept: sales role: salesmanager mailRoutingAddress: mailhost: userpassword: crypt3x12

18、31v76T89N uidnumber: 1234 gidnumber: 1200 homedirectory: /home/szhang loginshell: /usr/local/bin/sh LDAP目錄可以定制成存儲(chǔ)任何文本或二進(jìn)制數(shù)據(jù)，到底存什么要由你自己決定。LDAP 目錄用對(duì)象類型（object classes）的概念來(lái)定義運(yùn)行哪一類的對(duì)象使用什么屬性。在幾乎所有的 LDAP服務(wù)器中，你都要根據(jù)自己的需要擴(kuò)展基本的LDAP 目錄的功能，創(chuàng)建新的對(duì)象類型或者擴(kuò)展現(xiàn)存的對(duì)象類型。 屬性的值在保存的時(shí)候是保留大小寫(xiě)的，但是在默認(rèn)情況下搜索的時(shí)候是不 區(qū)分大小寫(xiě)的。某些特殊的屬性（例如

19、，password ）在搜索的時(shí)候需要區(qū)分大小寫(xiě)。 請(qǐng)注意 LDAP目錄被設(shè)計(jì)成允許某些屬性有多個(gè)值，如一個(gè)員工可能擁有 多個(gè)名字，可以用其任何一個(gè)名字檢索都可以找到該員工的電話號(hào)碼、電子郵件 和辦公房間號(hào)，等等；而不是在每一個(gè)屬性的后面用逗號(hào)把一系列值分開(kāi)。 因?yàn)橛眠@樣的方式存儲(chǔ)數(shù)據(jù)，所以 LDAP目錄就有很大的靈活性，不必為 加入一些新的數(shù)據(jù)就重新創(chuàng)建表和索引。更重要的是，LDAP 目錄不必花費(fèi)內(nèi)存或硬盤(pán)空間處理“空”域，也就是說(shuō)，實(shí)際上不使用可選擇的域也不會(huì)花費(fèi)你任何資源。3.4、LDAP目錄的存儲(chǔ)內(nèi)容LDAP目錄是有關(guān)用戶、系統(tǒng)、分組、網(wǎng)絡(luò)、服務(wù)和標(biāo)識(shí)的集合；LDAP目錄中可以存儲(chǔ)各種

20、類型的數(shù)據(jù)，LDAP 對(duì)于這樣存儲(chǔ)這樣的信息最為有用，也就是數(shù)據(jù)需要從不同的地點(diǎn)讀取，但是不需要經(jīng)常更新。例如，這些信息存儲(chǔ)在LDAP 目錄中是十分有效的： 單位員工的人力資源數(shù)據(jù)：?jiǎn)T工的姓名、登錄名、口令、員工號(hào)、主管經(jīng)理的登錄名、郵件地址、等等； 電話號(hào)碼簿和組織結(jié)構(gòu)圖； 用戶、系統(tǒng)、分組； 電子郵件地址、郵件路由信息； 公用證書(shū)和安全密匙； 客戶聯(lián)系列表：客戶的單位名稱、主要聯(lián)系人電話、傳真和電子郵件等； 資產(chǎn)管理信息：計(jì)算機(jī)名、IP 地址、標(biāo)簽、型號(hào)、所在位置，等等。 會(huì)議室信息：會(huì)議室的名字、位置、可以坐多少人、電話號(hào)碼、是否有投影機(jī)，等等； 計(jì)算機(jī)管理需要的信息，包括網(wǎng)絡(luò)資源、DN

21、S 域名系統(tǒng)、NIS 映射等等； 軟件包的配置信息； 以及其他，如食譜信息：菜的名字、配料、烹調(diào)方法以及準(zhǔn)備方法； 等等。 對(duì)于用戶管理而言，LDAP 目錄中存儲(chǔ)的信息可包括： 用戶UserID(或LoginID、使用者帳號(hào))； 用戶身份：用戶角色(可以多個(gè)角色)、用戶組； 用戶名稱Name ：正式名稱、常用名、別名、中英文名等； 用戶口令/密鑰Pswd(加密存儲(chǔ)，區(qū)分大小寫(xiě)，禁止任何人查詢，但是可以允許用戶改變他或她自己的口令)； 認(rèn)證公鑰； 員工號(hào)、部門名稱、部門號(hào)、房間號(hào)、工位號(hào)、工作崗位、職務(wù)名稱、上級(jí)主管經(jīng)理；聯(lián)系電話、手機(jī)、分機(jī)； 家庭聯(lián)系信息：家庭住址、郵編、家庭電話、其他聯(lián)系人

22、信息； 電子郵件地址、郵件服務(wù)器、郵件路由地址； 員工計(jì)算機(jī)信息：計(jì)算機(jī)名、IP 地址、標(biāo)簽、型號(hào)、所在位置，等等； 驗(yàn)證用戶的LDAP 地址 用戶在LDAP 中的標(biāo)識(shí)碼-路徑 用戶其他信息等。四、用戶身份認(rèn)證4.1、認(rèn)證類型統(tǒng)一用戶目錄管理系統(tǒng)支持多個(gè)安全級(jí)別的身份認(rèn)證方式，參與 SSO 的各個(gè)應(yīng)用系統(tǒng)和受保護(hù)資源可以根據(jù)自身的安全需要設(shè)置安全等級(jí)，通過(guò)低級(jí)別登錄的用戶在訪問(wèn)高級(jí)別的應(yīng)用時(shí)需要進(jìn)行高級(jí)別的登錄。身份認(rèn)證方式的安全級(jí)別由低到高分別為： 普通口令級(jí)：用戶輸入用戶名和口令進(jìn)行身份認(rèn)證； 動(dòng)態(tài)密碼級(jí)：用戶使用動(dòng)態(tài)密碼卡來(lái)輸入動(dòng)態(tài)密碼； 數(shù)字證書(shū)級(jí)：用戶使用智能卡等設(shè)備通過(guò)數(shù)字證書(shū)和數(shù)

23、字簽名進(jìn)行身份認(rèn)證；生物測(cè)量級(jí)：用戶使用指紋儀、虹膜儀等生物物理測(cè)量設(shè)備進(jìn)行身份認(rèn)證； 生物測(cè)量+數(shù)字證書(shū)級(jí)：數(shù)字證書(shū)和生物測(cè)量的結(jié)合使用。 支持多種身份驗(yàn)證方式：支持多個(gè)生產(chǎn)商的動(dòng)態(tài)密碼卡、數(shù)字證書(shū)卡、DSA Key 和指紋儀等設(shè)備。 身份認(rèn)證模塊是以插件方式配置的，確?？焖俚膶?shí)施和靈活的調(diào)整。 系統(tǒng)可以使用客戶現(xiàn)存應(yīng)用系統(tǒng)的已有用戶數(shù)據(jù)庫(kù)或 LDAP 用戶目錄進(jìn)行身份驗(yàn)證；通過(guò)配置即可實(shí)現(xiàn)通過(guò)LDAP 或JDBC 進(jìn)行用戶身份驗(yàn)證。4.2、用戶身份密碼驗(yàn)證LDAP 作為存儲(chǔ)用戶信息的目錄服務(wù)，可提供基本的用戶身份密碼驗(yàn)證。 為了加強(qiáng)用戶口令信息的安全，將口令信息采用國(guó)際標(biāo)準(zhǔn)的MD5 摘要加

24、密 算法進(jìn)行摘要加密，使摘要信息可明文存儲(chǔ)且不可逆。門戶或使用該用戶目錄的應(yīng)用系統(tǒng)在驗(yàn)證口令時(shí)，首先將用戶輸入的口令進(jìn)行 MD5 處理，再與存儲(chǔ)的MD5 加密摘要信息進(jìn)行匹配比較，如下圖所示。 用戶身份密碼驗(yàn)證的流程如下： （1）用戶在門戶首頁(yè)中輸入用戶名/ 口令，進(jìn)行登錄。 （2） 門戶調(diào)用用戶身份驗(yàn)證Web Service，通過(guò)對(duì)加密后的密碼摘要匹配，進(jìn)行用戶身份驗(yàn)證。 （3） 如果驗(yàn)證用戶非法，提示錯(cuò)誤信息并返回（1）。（4） 用戶身份驗(yàn)證Web Service 返回該用戶的ID，該ID 將作為通過(guò)門戶訪問(wèn)應(yīng)用系統(tǒng)的會(huì)話標(biāo)識(shí)。4.3、與CA認(rèn)證接口 門戶通過(guò)CA 認(rèn)證網(wǎng)關(guān)支持用戶數(shù)字證書(shū)

25、的驗(yàn)證，如下圖所示； 系統(tǒng)提供BJCA、協(xié)卡SheCA、中國(guó)金融認(rèn)證中心CFCA、吉大正元CA 等主流CA 系統(tǒng)接口的支持。4.4、用戶登錄控制 用戶登錄控制包括： 系統(tǒng)無(wú)操作時(shí)間限制：超過(guò) 10 分鐘，系統(tǒng)將自動(dòng)退出，所有進(jìn)一步操 作必須重新登錄。 IP限制：登錄IP 限制（特別是管理員用戶）；相同用戶同時(shí)登錄IP 數(shù)限制； 密碼錯(cuò)誤次數(shù)限制：密碼連續(xù)輸入錯(cuò)誤次數(shù)超過(guò)比如3 次或累計(jì)次數(shù)超過(guò)比如6 次，強(qiáng)制退出，不允許登錄，直至系統(tǒng)管理員為直重置密碼； 強(qiáng)制口令修改： 第一次登錄時(shí)強(qiáng)制口令修改； 用戶口令被重置后登錄時(shí)強(qiáng)制口令修改； 口令期限：超期口令強(qiáng)制口令修改。五、分布式用戶目錄管理5.

26、1、分布式目錄服務(wù)體系分布式目錄服務(wù)體系如下圖所示?？膳渲眉心夸?，將所有員工信息保存到一臺(tái)中央目錄服務(wù)器上。中央目錄信息可以向所有用戶和所有應(yīng)用提供，為所有用戶和組信息提供單個(gè)身份認(rèn)證中心。集中目錄服務(wù)可提供更多的控制，可以降低開(kāi)銷，并可以易于管理，具有較大的優(yōu)勢(shì)。 可創(chuàng)建多機(jī)構(gòu)目錄，確保用戶只能訪問(wèn)到其所屬機(jī)構(gòu)的信息，如針對(duì)某個(gè)下屬單位，可創(chuàng)建該下屬單位的目錄服務(wù)；再如，針對(duì)大學(xué)，可專門創(chuàng)建可允許學(xué)生訪問(wèn)的目錄服務(wù)。中央目錄服務(wù)器與某類用戶/下屬單位/部門/分支機(jī)構(gòu)/遠(yuǎn)程辦公室子目錄服務(wù)器之間可進(jìn)行選擇性復(fù)制，可節(jié)約磁盤(pán)空間和復(fù)制周期。5.2、目錄復(fù)制復(fù)制技術(shù)是內(nèi)置在LDAP 目錄服務(wù)器中

27、的而且很容易配置。 LDAP 服務(wù)器可以使用基于“推”或者“拉”的技術(shù)，用簡(jiǎn)單或基于安全證書(shū)的安全驗(yàn)證，復(fù)制一部分或者所有的數(shù)據(jù)。 例如：可以把數(shù)據(jù)“推”到遠(yuǎn)程的上海的辦公室，可以建立從中央LDAP 服務(wù)器:1389 到:389 的有選擇的數(shù)據(jù)復(fù)制，不復(fù)制需要隱藏的信息，像下面這樣： periodic pull: ou=northchina,ou=customers,o= periodic pull: ou=hk,ou=customers,o= immediate

28、push: ou=eastchina,ou=customers,o= “拉”連接每15 分鐘同步一次，在上面假定的情況下足夠了。為了保持?jǐn)?shù)據(jù)始終是最新的，主目錄服務(wù)器被設(shè)置成即時(shí)“推”同步?！巴啤边B接保證任何華東的聯(lián)系信息發(fā)生了變化就立即被“推”到上海。 用上面的復(fù)制模式，用戶為了訪問(wèn)數(shù)據(jù)只需簡(jiǎn)單地連接到本地服務(wù)器。如果改變了數(shù)據(jù)，本地的 LDAP 服務(wù)器就會(huì)把這些變化傳到主 LDAP 服務(wù)器，以保持?jǐn)?shù)據(jù)的同步。這對(duì)本地的用戶有很大的好處，因?yàn)樗械牟樵儯ù蠖鄶?shù)是讀）都在本地的服務(wù)器上進(jìn)行，速度非?？?。 當(dāng)需要改變信息的時(shí)候，最終用戶不需要重新配置客戶端的軟件，因?yàn)長(zhǎng)D

29、AP目錄服務(wù)器為他們完成了所有的數(shù)據(jù)交換工作。我們推薦中央主 LDAP目錄服務(wù)器與子LDAP 目錄服務(wù)器選用同一目錄服務(wù)產(chǎn)品。不同目錄服務(wù)器之間的數(shù)據(jù)移植和同步：對(duì)于中央主 LDAP目錄服務(wù)器與子LDAP目錄服務(wù)器選用不同廠商的產(chǎn)品時(shí)，首先可考慮將原有的 LDAP目錄服務(wù)器的數(shù)據(jù)移植到新的LDAP 目錄服務(wù)器中；此外，目前，有些不同廠商的 LDAP目錄服務(wù)器之間也可以實(shí)現(xiàn)目錄同步和復(fù)制。比如，若您正在使用Windows 2000，可在Domino LDAP 目錄與MS 活動(dòng)目錄AD 之間同步管理用戶和分組；如在活動(dòng)目錄中執(zhí)行此操作，ADSync 允 許您注冊(cè)、同步屬性和口令、重命名和刪除Dom

30、ino LDAP 目錄中的用戶和分組。六、統(tǒng)一用戶信息的方式分類門戶基礎(chǔ)平臺(tái)建立一個(gè)中央統(tǒng)一用戶目錄管理系統(tǒng)，并支持所有應(yīng)用的合法性訪問(wèn)。 有兩種方法可以完成所有應(yīng)用的統(tǒng)一用戶目錄管理。 第一種：完全重新定制應(yīng)用，改變應(yīng)用自身的用戶體系為中央統(tǒng)一用戶 管理系統(tǒng)。 第二種：用戶信息同步：在應(yīng)用的用戶管理系統(tǒng)與中央統(tǒng)一用戶管理系 統(tǒng)之間，建立用戶用戶組同步復(fù)制關(guān)系。即在統(tǒng)一用戶管理系統(tǒng)中發(fā)生任何變更，則及時(shí)反映到應(yīng)用用戶管理系統(tǒng)。（同步更新用戶數(shù)據(jù)） 第一種方法可以獲得最大的靈活性，但是由于要對(duì)應(yīng)用系統(tǒng)的用戶認(rèn)證進(jìn)行變更，工作量較大。并且僅適用于應(yīng)用系統(tǒng)提供用戶管理系統(tǒng)接口的前提下。 第二種方法優(yōu)

31、點(diǎn)在于開(kāi)發(fā)較為便捷，但在后期的實(shí)際運(yùn)行過(guò)程中，由于用戶信息的頻繁更新，有可能造成系統(tǒng)實(shí)際運(yùn)行過(guò)程中的效率低下。 在應(yīng)用系統(tǒng)提供用戶管理接口的前提下，建議采用第一種方法：基于LDAP目錄實(shí)現(xiàn)統(tǒng)一用戶目錄管理。七、用戶信息同步隨著信息技術(shù)和網(wǎng)絡(luò)技術(shù)在組織機(jī)構(gòu)中的廣泛應(yīng)用，很多機(jī)構(gòu)單位已經(jīng)擁有了各種各樣的應(yīng)用系統(tǒng)，如OA 辦公自動(dòng)化系統(tǒng)、HR 人力資源管理系統(tǒng)、財(cái)務(wù)系統(tǒng)、CRM 客戶關(guān)系管理系統(tǒng)、企業(yè)ERP 系統(tǒng)、政府網(wǎng)上審批系統(tǒng)、學(xué)校一卡通系統(tǒng)、以及各種業(yè)務(wù)應(yīng)用系統(tǒng)。 而通常情況下，各個(gè)應(yīng)用系統(tǒng)都存在自己獨(dú)立的用戶信息數(shù)據(jù)庫(kù)和授權(quán)管理機(jī)制，故而如何實(shí)現(xiàn)中央用戶目錄數(shù)據(jù)、門戶用戶數(shù)據(jù)與各應(yīng)用系統(tǒng)用戶

32、數(shù)據(jù)之間的同步是信息化建設(shè)面臨的重要挑戰(zhàn)之一。 基于用戶信息同步技術(shù)，只需在單點(diǎn)進(jìn)行增加新用戶、修改用戶信息、或者刪除老用戶，其他相關(guān)應(yīng)用系統(tǒng)的用戶信息和基于用戶角色等的用戶授權(quán)信息都能同步發(fā)生變化，并且能夠立即生效，從而簡(jiǎn)化了用戶管理工作，避免了安全隱患的發(fā)生。 中央用戶目錄、門戶與各應(yīng)用系統(tǒng)之間的用戶信息交換體系架構(gòu)如下圖所 示。用戶信息總線是基于 EAI 技術(shù)的數(shù)據(jù)總線技術(shù)，支持用戶信息數(shù)據(jù)的發(fā)布/訂閱、請(qǐng)求/應(yīng)答模式；發(fā)布/訂閱通信模式完全是一種“推”（Push ）的技術(shù)；而請(qǐng)求/應(yīng)答通信模式是對(duì)傳統(tǒng)Client/Server 通信模式的支持，即支持“拉”（Pull ） 技術(shù)；可以根據(jù)

33、具體應(yīng)用的信息處理流程來(lái)選擇合適的通信模式。 用戶信息總線提供靈活可擴(kuò)展的適配器框架結(jié)構(gòu)，支持應(yīng)用系統(tǒng)的動(dòng)態(tài)加入或卸載，只需編寫(xiě)或定制該應(yīng)用系統(tǒng)相應(yīng)的適配器即可，即插即用。 應(yīng)用系統(tǒng)適配器用來(lái)完成用戶信息的基于XML 標(biāo)準(zhǔn)的封裝和解析、發(fā)送和接收；同時(shí)，實(shí)現(xiàn)中央 LDAP 用戶目錄與應(yīng)用系統(tǒng)之間用戶組、角色、級(jí)別等同一語(yǔ)義不同數(shù)據(jù)格式的轉(zhuǎn)換。這樣，對(duì)于基于用戶角色、用戶組、級(jí)別等對(duì)用戶進(jìn)行授權(quán)控制的應(yīng)用系統(tǒng)而言，在實(shí)現(xiàn)用戶信息同步的同時(shí)，實(shí)現(xiàn)了授權(quán)信息 的傳遞。 此外，對(duì)于門戶和平臺(tái)的應(yīng)用功能如CMS 內(nèi)容管理等，無(wú)單獨(dú)的用戶信息存儲(chǔ)，而直接使用LDAP 用戶目錄數(shù)據(jù)，無(wú)需參與用戶信息交換。八、用戶生命周期管理8.1、新建用戶如果有新員工加入，系統(tǒng)提供通過(guò) LDAP目錄管理工具登記注冊(cè)新用戶；同時(shí)，通過(guò)用戶信息同步和授權(quán)信息傳遞，系統(tǒng)自動(dòng)在與其相關(guān)的每個(gè)應(yīng)用系統(tǒng)中增加一套用戶賬號(hào)，并且能夠立即生效，從而簡(jiǎn)化了用戶管理工作，避免了安全隱患的發(fā)生。 通過(guò) LDAP目錄管理工具登記用戶基本信息，設(shè)置用戶口令，并為該用戶分配一個(gè)注冊(cè)名。該注冊(cè)名是訪問(wèn)應(yīng)用系統(tǒng)的用戶名，只能包含大小寫(xiě)英文字母和數(shù)字，并且是唯一的。建議采用用戶中文名的漢語(yǔ)拼音作為用戶的注冊(cè)名。 在 LDAP目