基于LDAP的校园网统一身份认证的探索与研究

董涵

【摘 要】在信息化技术高速发展的今天，校园网内部充斥着各类系统，如何将各类子系统进行一个整合，利用统一身份认证平台对这些子系统进行一个集成，各子系统的数据库与平台的数据库实现共享调用，是我们目前遇到的比较多的一个问题。

【关键词】统一身份认证平台；LDAP；系统集成

在信息化技术高速发展的今天，智慧校园已经成为校园网建设的方向，各类的应用也随即而生，行政办公系统，邮件系统，财务管理系统，图书借阅管理系统，一卡通，科研管理系统等等，都在我们日常的工作和学习中扮演了重要的角色。这些系统都是独立的系统，各自都用于自身的一套密码系统，用户需要保存这些系统的用户名和密码，登陆哪个系统就需要随之输入相应的用户名和密码，大大增加了用户的使用难度，用户的体验度大大降低，记忆如此多的密码，随之而来的问题就是用户很容易丢失或者忘记这些密码，不得不找管理员去恢复密码，相应的也就增加了管理员的工作量。如何去解决这个问题将信息化的发展融入到教学中去，更好的为教学服务是我们迫切需要面对的一个问题。

基于以上原因，使得校园网统一身份认证变得尤为重要。统一身份认证主要实现的功能是，让用户在统一管理平台上只用输入一次账号密码，只进行一次认证，认证通过之后，就可以对平台内集成的所有系统进行调用，这样用户就不需要记录很多的密码，只需要在校园网内一套密码就可以满足教学、办公以及学习的需求，另外在进行统一身份认证之前，需要出台一套统一的密码编码规则，大家遵循该统一编码规则，对用户名进行编码，这样在后期的对接过程中，能够更加的顺利。系统主要的方法是通过集成各个系统的数据库，通过统一数据中心平台进行对接，前期需要对数据库进行清洗，统一数据的格式，让各家集成商开发统一的LDAP接口，讲系统集成到统一认证平台中去。用户在前端登录时，将其账号和密码传输到统一认证后台，验证通过之后，便可以对所有的应用系统进行调用，查询自己的代办事项，科研课题，工资情况，等等。

统一身份认证的流程描述如下。

（1）用户使用注册的统一平台账号密码去登陆统一身份认证平台。

（2）统一身份认证平台会根据该请求去创建一个临时会话，产生一个相应的密钥，该证书返回给用户。

（3）用户端获得密钥之后，利用该密钥去访问平台内集成的各类子系统。

（4）子系统接受到密钥之后，会在后台验证其真实有效性。

（5）验证通过之后，用户可以对系统内的资源进行调用和操作。

LDAP 协议简介

LDAP（Lightweight Directory Access Protocol）是一种标准的目录服务技术，它基于X.500 的一种模型，标录服务的模型也是基于OSI的一种模型，它具有自己的命名空间，以及用于查询的更新协议，由于协议是运行在OSI数据模型的第三层，也就是 网络协议层，所有它的功能非常强大，缺点是数据库过于庞大，运行缓慢。LDAP 相对X.500来说就相对简单，它支持对目录以及服务进行一个个性化的定制，对数据库可以进行扩展，2者的区别是后者是运行在网络层上，基于TCP/IP 协议来进行设计，LDAP对互联网的网络兼容性较好，另外它的关系型数据库运行更为高效，读取速度更快。LADP可以跨越各种应用子系统，各种应用平台，能够提供更安全完善的传输机制 ，它的数据层次清晰，数据的存储以及读写都更为快捷。

我校网络认证系统目前采用的是正方的统一认证身份系统，它是一种基于 Portal 页面的网络管理系统， 当用户在校园网主页登陆时，自动弹出身份认证的登陆界面，用户使用预设的用户名和密码登陆之后就自动进入了门户系统，门户内部集成了行政办公系统、邮件系统、一卡通系统、国资管理系统等等。用戶一次登陆之后可以自动调用所有的子系统，无需重复认证，大大提高了用户的使用效率，简化了办公流程。在统一身份认证平台上，所有的子系统都可以进行编辑，各个系统对用各自的按钮，另外按钮的排列方式，以及首页的展示信息，都是可以进行一个个性化的定制，直接通过后台数据库的调用，将用户需要展现的信息显示在主页面上，用户的体验度大大提升。

学校的电子邮件系统采用腾讯公司的邮件系统，为了将邮件与统一身份认证平台进行集成，首先要对原有的邮箱数据库进行清洗，统一格式，将原有的邮件迁移至新的邮件系统之上，对数据库系统进行集成，另外对原有的LDAP数据库中的目录要进行扩展，添加相应的数据属性， 使之与原有的系统保持一致，对应到用户的原始邮件数据中去。由于腾讯系统内部采用的也是 LDAP 系统，那么对接的时候相对来说就更为简单，用户的单点登录的时候跟原有方式类似，只是将用户输入的用户名和密码传输至现有的数据中心认证后台，在数据库中对用户名和密码进行匹对，如果错误则拒绝登陆，如果正确则返回正确的结果。在用户端对于验证的过程跟传统的方式，是无感知的，用户在验证之后直接可以进入平台，在调用邮箱的时候，只会对用户名进行校验，如果用户名存在，则认为用户是合法用户，可以对邮箱进行正常的操作，整个认证过程操作完毕。

一卡通管理系统是高校目前使用最广泛的一个系统，一卡通集成了饭卡系统、门禁系统、挂失解挂系统。一卡通通常的验证方式为卡的序列号加卡的PIN码，由于一卡通的PIN比较没有规律，而且各类序列号以及PIN码，会让数据库的规模变得很庞大，并且难以维护。为了让一卡通与现有的系统进行集成，需要进行如下2步工作：（1）统一编码将原有的PIN码对应学生的学生号，教工对应教工号，对数据重新进行清洗。（2）将一卡通数据库集成到统一身份认证平台中去，用户在统一数据中心认证平台登录之后，只需要输入一次密码，就可以对一卡通的信息进行调用以及查询。

行政办公系统我校使用的是致远公司开发的一个系统，该系统本身也采用的是LDAP架构，提供了LDAP接口，将该系统集成到平台之中，只需要对后台数据库进行格式的清洗和校验，利用接口统一对接到身份认证平台之上，用户在登陆平台之后，只需要点击该系统的超链接就能进行访问，密钥的传递方式也是先传递到统一平台的数据库进行校验，如果平台返回校验正确，那么用户则显示认证通过，能够直接调用办公系统的各类子模块，进行教学以及办公的一些列活动，大大简化了工作流程，提高了工作效率。

图书管理系统通过跟原有开发单位的协调，也统一集成到平台之上，利用LDAP接口，将数据库进行清洗编排之后进行对接，集成完毕之后，用户可以在平台内直接看到自己的读者信息，借阅的书籍等等，甚至可以一用上述集成过的一卡通系统，进行在线的逾期罚款的缴纳等等，大大方便了学生和广大教职工的学习和科研工作。

综上所述，将各类平台统一集成到认证中心平台，能够使用户用一套密码能够访问校园网内部集成过的所有子系统，各个子系统之间的数据库共享，数据格式统一，运行更为高效，提高了用户的工作效率，以及用户的体验度，减少了数据库的维护量，各类子系统运行更为稳定高效，是目前高校信息化校园建设的一个主方向。

[责任编辑：朱丽娜]endprint