黄秀芳,王 海
(1.江苏科技大学校办,江苏镇江212003)
(2.南京邮电大学信息化建设与管理办公室,江苏南京211100)
基于LDAP的高校数字化校园统一身份认证集成实施方案
黄秀芳1,王 海2
(1.江苏科技大学校办,江苏镇江212003)
(2.南京邮电大学信息化建设与管理办公室,江苏南京211100)
随着高校信息化建设的不断发展,统一身份认证平台可实现单点登录,从而提高了整个信息系统的安全性和用户的工作效率.文中就统一身份认证平台架构及其集成方式展开了研究,根据统一身份认证平台的特点,提出了基于LDAP的校园统一身份认证架构方案;研究了统一身份认证平台集成体系,分析集成方式和集成原理,提出了统一身份认证集成的实施方案.该实施方案有效实现了对校园网中用户的统一身份管理和统一身份认证.
信息化建设;单点登录;校园网;身份管理
随着信息技术的发展,各个高校都高度重视信息化建设工作,校园数字化网络建设已初具规模,各个业务部门也已经建设了相当数量的以人、财、物为管理核心的业务系统.然而,由于业务系统建设的参差不齐又带来了信息安全威胁、信息孤岛以及管理责权不清等难题,所以,现在的信息化校园建设已由原来的网络基础建设和部分孤立应用系统的构建,逐渐向集成的全局信息系统建设方向转变[1-3].
在多系统并存的情况下,校园网内每个用户拥有多个密码,用户需要逐一登录自己所要使用的应用系统,使得用户使用不便,存在安全隐患.同时,用户的信息分散存储于各个应用系统中,这也为应用系统的管理和维护增加了麻烦,导致工作效率低下.因此,需要在多应用系统并存的情况下,实现应用系统间的用户统一认证和信息共享具有现实意义[4-6].
随着IT应用的迅速发展,各种业务系统数量和用户数量在不断增加,网络规模也逐日扩大,访问控制和信息安全问题愈见突出,原有分散的独立认证、独立授权、独立账号管理的模式已经不能满足目前及未来发展的要求[7-8].轻量目录访问协议(lightweight directory access protocol,LDAP)是关于从目录中创建、访问、移除对象和数据的一种IETF协议.LDAP提供了搜索、比较、添加、删除、修改目录对象以及修改对象名的功能;同时LDAP也支持会话绑定、解绑定以及丢弃等操作[9-10].因此,文中基于LDAP,提出了构建完整统一、高效稳定、安全可靠的集中身份管理和身份认证的平台集成实施方案,以提高信息应用系统的使用和管理效率.
1.1 统一身份认证平台特点
高校统一身份认证平台具有以下几个特点.
1)标准化:高校统一身份认证平台以国际上流行的单点登录认证解决方案为基础开发,符合行业标准,具有很好的开放性,支持不同的应用服务器环境和不同的开发语言的认证集成.
2)高稳定性:成熟的目录服务器技术,支持双机备份,可实现远程灾备的部署要求.
3)海量用户数据存储:统一身份认证平台所管理的用户数据量庞大,并将逐年快速增长,离校用户将作为校友长期保存,需集中有效地存储管理用户身份信息,便于长期使用以及服务推送.
4)简单易用性:统一身份认证平台需建立集中安全的策略存储、管理、设置.不仅要提供用户账号维护,还要提供便捷的批量操作功能以及与业务系统数据库账号同步的功能,更为关键的是需要提供自助功能以及监控管理功能.
1.2 统一身份认证平台架构方案
基于以上特点,高校统一身份认证平台的总体架构如图1.
图1 高校统一身份认证平台的总体架构Fig.1 General framework of the campus unified identity authentication platform
高校统一身份认证平台主要分为4个部分,分别是对外服务、身份管理、平台基础服务和数据存储,以下对每个部分分别进行简单介绍.
1)对外服务:又称使用层,主要是为第三方业务系统提供集成接口服务,以及为个人用户提供自助服务.
2)身份管理:又称管理维护层,主要实现统一身份认证平台的账号管理、认证管理、审计管理、授权管理、监控管理服务.
3)平台基础服务:主要描述了平台的基础组成单元,包括任务调度、密码策略,系统管理、监控设置等功能模块.
4)数据存储:统一身份认证平台的数据存储在LDAP数据库中,对于一些需要同步交换的数据则需要存储在oracle,sql之类的关系型数据库上.
2.1 集成方式
将高校的各个业务系统与身份管理平台连接,通过身份管理平台实现用户身份认证和单点登录功能.这个过程即各个应用系统与身份管理平台的集成,主要包括以下几种集成方式.
2.1.1 认证接口
这是各个应用系统与身份管理平台集成的最主要的方式.各应用将认证接口的客户端部署在各自的系统上,替换自身原有独立的身份认证功能,通过身份管理平台实现身份认证和单点登录过程.该接口目前涵盖的类型主要包括JAVA,COM,PHP和C语言等,适合于不同语言和平台的应用程序.目前高校统一身份认证集成主要应用到的认证接口分别为中心认证服务(central authentication service,CAS)接口和金智公司开发的私有认证ICE接口.
2.1.2 LDAP接口
对于选课、选宿舍这样的高并发应用,使用LDAP接口可以满足认证的性能需求.该接口直接通过LDAP向应用系统提供认证服务.
2.1.3 门户伪认证
由于学校内应用系统建设起步比较早,因此会有一部分应用系统无法通过更改代码来实现集成,甚至用户的账号也无法统一至校内的身份管理平台.对于这种情况,可以通过在门户内实现伪认证的方法实现应用系统的认证集成.
高校统一身份认证平台集成方式可以展现为图2:
图2 高校统一身份认证平台集成方式Fig.2 Integration of the campus unified identity authentication platform
2.2 集成原理
高校统一身份认证平台为第三方提供认证接口、LDAP接口,这两种接口分别采用不同的集成原理,各接口的使用原理分别介绍如下.
2.2.1 认证接口
认证接口分为CAS中心认证接口和ICE认证接口两种模式,其集成原理有所不同.
1)CAS中心认证接口:中心认证服务的单点登录架构由一个CAS Server和多个CAS Client组成.通过CAS认证的用户将获得CAS颁发的一个证书,使用这个证书,用户可以在server端的承认CAS证书的各个系统上自由穿梭访问,不再需要登录认证,即实现所谓的单点登录.
2)ICE认证接口:当用户访问认证服务器,通过认证后,认证服务器产生一个单点登录会话令牌,该令牌记录着用户的身份,同时产生一个相关联的随机数tokenID,该随机数发送给用户的浏览器作为一个cookie保存.当用户登录到同一个域下的另外一个服务器,这个服务器读取cookie中的令牌信息,如果读到此cookie中的身份信息,则认证通过.
2.2.2 LDAP接口
对于高校中的一些高并发的认证型需求,例如教务的选课、上网认证等,可以直接开放LDAP认证目录接口,应用系统通过其开发语言自带的或者开源的LDAP连接方法直接连接到目录服务器进行用户名、密码的绑定校验,由于绕过了AM,所以能够在短时间内满足上万人次的身份校验.
在高校统一身份认证集成的实施过程中,主要运用认证接口和LDAP认证两种方式实现,实现流程如下图3:
图3 高校统一身份认证集成实现流程Fig.3 Flow chart of the campus unified identity authentication platform
高校的统一身份认证平台一般都具备开发好的认证接口,根据第三方应用系统的语言不同,认证接口的编译方式也不同,认证接口主要支持C语言、JAVA、.net和PHP等几种语言.下面就高校中各主流语言接口程序包的具体实施以及开发等展开说明.
3.1 Java客户端部署
将“认证接口ICEClientJavalib”下所有的jar文件拷贝到客户端应用所在服务器中,并将存放这些jar包的路径设置到应用的classpath中.
jar包中主要包括:接口语言客户端程序包和client.properties文件样例.配置文件密码加密工具是对配置文件中的口令进行加密的工具.
3.1.2 修改client.properties文件
将client.properties文件拷贝到与jar包相同目录下,并编辑以下内容
ids.UserName=amadmin(需转码加密)
ids.Password=12345678(需转码加密)
驮子盯着周小羽,周小羽的眼睛里充满了水,但他却咬着嘴唇,硬是没让眼泪滴下来。在眼泪没滴下来的时候,周小羽的嘴巴里终于有了声音——
IdentityManager.Proxy=IdentityManager:tcpp 20000-h xxx.xxx.xxx.xxx(注意修改IP地址和端口号)
修改成实际应用中的用户名/密码,以及服务监听端口.在部署Client端的时候,要根据需要,配置上面的几个属性值.其中在设置ids.UserName和ids.Password字段的时候要进行base64转码加密;在设置IdentityManager.Proxy字段的时候,设置的端口以及主机IP要和服务器端的一致.
3.2 Com客户端部署
3.2.1 拷贝开发包
将“认证接口ICEClientWin32COM”下所有的文件拷贝到客户端应用所在服务器中的某一个目录下,目录名称要求为英文且全路径无空格.修改组件所在文件夹下的client.properties文件,按照部署Java客户端的方法修改其中的参数.
3.2.2 注册COM组件
运行组件目录下的Registe或者直接输入命令regsvr32 idstar.dll进行注册.可以使用UnRegiste脚本进行反注册.COM对象接口的ProgID为Idstar.IdentityManager.当COM组件应用在IIS服务器上的asp或者asp.net的时候,如果重新启动了Server端或者修改了Client端的配置,都要重新启动IIS服务器.必须先修改client.properties再注册组件,修改该文件后需要重新注册.
3.3 PHP客户端部署
3.3.1 拷贝开发包并注册
PHP开发包与客户端应用的操作系统环境严格相关,当前提供的Linux和Solaris客户端分别对应不同的操作系统、PHP、gcc版本以及CPU类型,在部署前要慎重选择客户端.如果客户环境与所有提供的客户端的参考环境不同则必须进行重新开发.
3.3.2 安装
把安装包解开放在/opt/目录下,目录说明:
/opt/idstar/etc 配置文件目录
/opt/idstar/lib 库
/opt/idstar/include C 客户端头文件
/opt/idstar/doc php接口api说明
/opt/idstar/example php例程
拷贝client.properties到 c:下,并按照部署Java客户端的方法修改其中的参数.修改$(PHPHOME)/lib/php.ini,加入如下配置:
extension-dir=/opt/idatar/lib
extension=libIdstarPhp.so
3.3.3 启动Apache
在启动apache前需要设置库的加载路径,过程如下:
export LD_LIBRARY_PATH=/opt/idstar/lib
apachectl start
或者加入到系统的搜索路径中去
编辑/etc/ld.so.conf,加入/opt/idstar/lib
3.4 认证接口集成的代码示例
文中仅以Java为例,介绍统一身份认证的集成实施,具体参考以下代码:
//获取cookie
String loginURL=im.getLoginURL()+"?goto ="+java.net.URLEncoder.encode(gotoURL); //如果取到相应的cookie值,则可验证是否有效
SSOToken token=im.validateToken(decodedCookieValue);
//取得当前用户String curUser=im.getCurrentUser(decoded-CookieValue);
//注销本次登录
String gotoURL=HttpUtils.getRequestURL (request).toString();
String logoutURL=im.getLogoutURL()+"? goto="+java.net.URLEncoder.encode(gotoURL);
高校统一身份认证集成系统将成为整体数字化校园建设的一个重要支撑平台,不仅解决了用户使用各个系统需要重复记住登录用户名和密码的问题,而且还减轻了系统管理员的维护工作量,规范了校内用户的管理.文中就统一身份认证平台架构及其集成方式展开了研究,根据统一身份认证平台的特点,提出了基于LDAP校园统一身份认证架构方案;从认证接口、LDAP认证以及门户伪认证等几方面,研究了统一身份认证平台集成体系;通过分析集成方式和集成原理,提出了统一身份认证集成的实施方案,有效地实现了对校园网中用户的统一身份管理、统一身份认证.从实际的应用来看,统一身份认证平台集成系统取得的预期效益更多体现在用户使用各个信息系统的方便性方面,为内部信息系统以及外部信息系统集成整合打下坚实的基础,使得各部门以及软件系统操作更为方便、快捷,并且确保了系统的安全.所以,建设统一身份认证平台对高校整体数字化校园建设具有重要现实意义.
References)
[1] 张何烨,芦冏耀.我国高校校园信息化建设的现状研究[J].经济师,2014(12):202-203.
[2] 郑海英,郑雅良.我国高校信息化建设发展路径探析[J].沈阳工业大学学报:社会科学版,2010,3 (2):175-178.Zheng Haiying,Zheng Yaliang.Analysis on developing approaches of information construction in Chinese colleges and universities[J].Journal of Shenyang U-niversity of Technology:Social Science Edition,2010,3 (2):175-178.(in Chinese)
[3] 马丽君.对我国高校网络教学平台的现状分析与思考[J].青海师范大学学报:自然科学版,2015(2): 23-26.MA Lijun.Analysis and thoughts on present situation of our university network teaching platform[J].Journal of Qinghai Normal University:Natural Science Edition,2015(2):23-26
[4] 孙甲泉.基于LDAP的CAS的校园统一身份认证系统的研究[J].电脑知识与技术,2013,9(6):1318 -1320.Sun Jiaquan.LDAP-based CAS campus unified authentication system research[J].Computer Knowledge and Technology,2013,9(6):1318-1320.(in Chinese)
[5] 蒋东兴,王进展,袁芳,等.数字校园校级统一信息系统建设研究与实践[J].中山大学学报:自然科学版,2009,48(1):12-15.Jiang Dongxing,Wang Jinzhan,Yuan Fang,et al.Research and practice on the digital campus of university level unified information system[J].Acta Scientiarum Naturalium Universitatis Sunyatseni,2009,48 (1):12-15.(in Chinese)
[6] 周严英.基于LDAP的校园统一身份认证系统[D].广州:华南理工大学2014.
[7] 许柳威,田文雅.基于LDAP的统一身份认证平台的研究与应用[J].中国教育信息化,2013(11):82-85.
[8] 李多,范钦志.高校数字化校园建设中的统一身份认证研究[J].吉林师范大学学报:自然科学版,2012(3):154-156.Li Duo,Fan Qinzhi.Discussion on the unified authentication of digital campus[J].Journal of Jilin Normal University:Natural Science Edition,2012(3):154-156.(in Chinese)
[9] 邹春生.LDAP在企业统一认证项目过程中的初步实践[J].电子技术与软件工程.2014(7):43.
[10]吴焱军.云技术下的校园学习平台设计与实现[D].长沙:湖南大学2014.
(责任编辑:童天添)
Integrated implementation scheme of college digital campus unified identity authentication based on LDAP
Huang Xiufang1,Wang Hai2
(1.President Office,Jiangsu University of Science and Technology,Zhenjiang Jiangsu 212003,China)
(2.Information Construction and Management Office,Nanjing University of Posts and Telecommunications,Nanjing Jiangsu 211100,China)
With the development of college information construction,the unified identity authentication platform plays a more and more important role with benefit of single sign in,security and efficiency in digital campus system.The unified identity authentication platform architecture and integration ways based on LDAP were studied.According to the characteristics of unified identity authentication platform,the architecture of unified identity authentication was proposed.The integration system of unified identity authentication platform was studied.The integration mode and integration theory were analyzed.The integrated implementation scheme of the campus unified identity authentication was put forward.Thus,it can realize the unified identity management and authentication of users on campus network.
information construction;single sign in;campus network; identity management
TP311
A
1673-4807(2015)06-0580-05
10.3969/j.issn.1673-4807.2015.06.013
2015-05-30
黄秀芳(1964—),女,副研究员,研究方向为行政办公管理.E-mail:wqi003@126.com
黄秀芳,王海.基于LDAP的高校数字化校园统一身份认证集成实施方案[J].江苏科技大学学报(自然科学版),2015,29(6):580-584.