基于ldap的单点登录方案的设计实现分析.doc

-
. z.
基于LDAP的单点登录案的设计与实现
1工程背景
随着信息技术和网络技术的广泛普及，政府、公司、学校等公共系统的部出现了各种各样的应用管理系统。这些管理系统中最重要网络平安性。系统中使用的身份认证机制提供了加密等多种法，可以防止大局部的网络攻击。同时由于新的身份认证机制使用户的账号信息记忆量减少，使系统由于用户信息的泄露而导致平安事故出现的时机大大减少。
。

：网络用户访问不同的应用系统时，只需在统一认证入口(即单点登录中的单点)登录，取得身份认证系统的身份标识，从而到达了单点登录，多点应用的目的。
目前SSO的模型主要有三种:基于经纪人(Broker)的SSO案；基于代理(Agent)的SSO案；基于网关(Gateway)的SSO案。
(1)基于经纪人的单点登录案(Broker-BasedSSO)
在Broker-BasedSSO案中，有一个完成集中认证、用户账号管理的效劳器和一个公共、统一的用户数据库。Broker为用户提供一个能够被用户进一步访问请求的电子身份凭证。Broker-basedSSO案的主要优点是有一个中央用户数据库，易于对用户数据进展管理。主要缺点是需要修改原有应用。
(2)基于代理的单点登录案(Agent-BasedSSO)
在Agent-BasedSSO案中，有一个代理程序，自动为不同的应用程序认证用户。代理程序可以用不同的式实现。假设Agent部署在客户端，它能装载获得用户名口令列表，自动替用户完成登录过程，减轻客户端程序的认证负担。Agent部署在效劳器端，它就是效劳器的认证系统和客户端认证法之间的“翻译〞。当软件供应商提供了大量的与原有应用程序通信的Agent时,Agent-BasedSSO案可使应用迁移变得十分容易。
(3)基于网关的单点登录案(Gateway-BasedSSO)
在基于Gateway-BasedSSO案中，用户对受限网络效劳的访问都必须通过网关。网关可以是防火墙，或者是专门用于通信加密的效劳器。所有需要保护的网络效劳器都放在被网关隔离的受信网段里。客户通过网关认证后获得访问效劳的授权。如果在网关后的效劳能够通过IP地址进展识别，就可以在网关上建立一个基于IP的规则表。将规则表与网关上的用户数据库相结合，网关就可以被用于单点登录。由于网关可以监视并改变传给应用效劳的数据流
-
. z.
,所以它能够改变认证信息以适应适当的访问控制，而不用修改应用效劳器。网关作为一个别离的部件，安装和设置便；但是如果存在多个平安网关，则用户数据库并不能自动地被同步。Gateway-BasedSSO案不适用于用户端使用代理的情况。
本文设计并实现的基于LDAP目录效劳的校园身份管理系统，采用的是较为简单的Broker-BasedSSO案。
5LDAP目录访问协议

目录效劳概述
目录是一种专门被优化用于执行读、浏览、搜索等操作的数据库，可以包含网络以及在网络上运行的应用程序所需的信息。它倾向于包含具有描述性的、基于属性的信息，并且支持高