LDAP的校园网多系统单点登录的设计与实现.doc

基于Domino LDAP的校园网多系统单点登录的设计与实现 范佳宁（宁波市翠柏中学 315010 87200158 jianing_fan）摘要为解决由于校园网内各个应用系统的开发平台和用户管理的相互独立性造成同一用户在访问不同应用系统时不得不多次进行身份认证和确认所带来的麻烦，本文从校园网现有应用系统的实际情况出发，在较深入地研究了各种单点登录现有技术基础上，提出了基于Domino LDAP(Lightweight Directory Access Protocol)的校园网多系统单点登录解决方案。该方案的基本思想是采用已有的LDAP目录服务提供用户身份数据，以Cookie作为系统间登录信息传递的手段。论文详细分析了校园网单点登录（SSO）所需的关键技术和具体实现方法，以已有的基于两个不同开发平台的应用系统（办公自动化系统和工资管理系统）间的单点登录为例，实现了基于LDAP的校园网多系统单点登录，并对系统性能进行了分析。关键词：LDAP；单点登录；统一身份认证；Cookie正文1 引言随着网络技术的日益普及、教育投入的不断增加，“数字化校园”和“无纸化办公”工作的不断推进，校园的信息化水平也在逐步提升。大部分学校在原有电子设备的基础上，又引进了诸多办公应用系统，如办公自动化系统，工资管理系统，学籍管理系统，校讯通系统，继续教育管理系统以及相关的FTP服务等等以满足不同的教育教学需求。每种应用系统都需要进行身份的识别认证并且对不同身份所拥有的操作权限进行授权。一般的方法是在每一个应用系统中建立独立的身份认证模块，使用独立的认证机制在各自的身份认证文件或数据库中认证。这种管理模式和方法暴露出许多问题：因为这些应用系统在建设的初期往往各自独立，特别是用户管理的功能各自为政，没有进行统一的规划，甚至连开发平台也不统一，这造成同个用户在不同系统中的用户名、密码和权限都各自独立，互不相关，在访问不同应用系统时不得不多次进行身份认证和确认。在学校统计办公系统使用情况时我们发现，由于校园网内教师们在信息技术应用水平上的差异性和局限性，更由于繁多的用户帐号，他们在使用这些应用系统时十分不便，各个系统的用户名和密码容易混淆甚至忘记，大多数用户会选择简单易记的用户名和密码，有人把用户帐号写在字条上，有人为了避免重复登录系统，干脆在不使用服务的情况下也不退出系统；更有甚者干脆就嫌麻烦而弃置不用。这样的系统既增加了用户的负担，也容易导致违反基本安全策略的事件发生，使系统更容易受到攻击，降低了系统的安全性。而且各处室部门对于办公系统的使用情况的不平衡也成了学校推行“数字化校园”的瓶颈，使得校园“数字化”进程缓慢。分析其原因，都是由于分散的用户管理造成的，各个系统间没有联系。这就迫使用户在进入每一个系统时都要提交相应的身份标识来通过系统认证。总之，基于效率和安全的因素，人们必须改变传统的认证机制，设计出一个更为高效、安全的网络认证机制，即校园网内一个统一的登录方案，使校园网络用户能在最初访问校园网络时的一次身份验证，对所有被授权的多系统网络资源进行无缝的访问，即校园网多系统单点登录系统。2 校园网多系统单点登录系统单点登录Single Sign-On(SSO)系统能够通过一次身份认证，进而透明登录所有授权应用。也就是用户只需要在网络中主动地进行一次身份认证过程，然后就可以访问其被授权使用的所有处在网络上的资源而不需要其主动参与其后的身份认证过程。校园网多系统单点登录系统的目的就是为校园内多个应用系统提供集中统一的身份认证，实现“一点登录、多点漫游”的目标，方便用户使用，减少系统管理开销，增强安全性能。具体来说，即建立规范、统一和科学的用户身份和网络资源基础信息结构；建立校园网络用户统一身份认证的基本模型，实现一个建立在上述基础信息结构基础上的校园网统一身份认证实验系统；实现基于Domino LDAP的校园网多系统单点登录，真正减轻校园网用户的负担。校园网多系统单点登录系统的设计应遵循如下原则：第一个原则是WEB环境：该模型的设计是为了解决单点登录的问题。即用户端使用通用的浏览器，并且该浏览器使用了Cookie技术。第二个原则是方便性：使用该模型能改善以前独立登录带来的问题，同时为了不给用户增加额外的负担，该模型也不会在用户方安装任何插件，即对用户来说完全是绿色的。第三个原则是安全性：该模型在设计过程中，既为用户带来了巨大的方便性，又考虑到了安全性。既保证了用户的秘密信息不被非法窃取，同时也保证了合法用户难以被冒充。校园网多系统单点登录系统的设计思路：不同的系统之间应该有信任关系的建立，这样才能不断重用用户的电子身份标识，免去其多次登录的苦恼。在协议中，信任关系的建立是基于客户端和应用服务器都信任的认证服务器。因为客户端与应用服务器的长期密钥都保存在认证服务器，从而可以通过正确的加/解密数据，来判定对方是一个可以被信赖的实体，从而达到相互信任的关系。另外单点登录系统的一个重要特点是统一了用户的管理，这在协议中体现为在认证服务器上的用户信息数据库。在那里保存有本系统所有用户的相关信息，系统对用户的管理都是通过这个数据库来完成的。正是有了这样一个集中的用户信息数据库，从而实现了统一用户管理的功能。图1 系统总体框架图整体的单点登录平台展现在用户（学生，教师，职员等）面前的是一个总体的综合信息门户平台。综合信息门户由统一身份认证模块、单点登录模块、信息组织及用户界面组成。整个系统的总体框架如图1所示： 统一身份认证模块，为所有用户提供身份认证机制，统一控制用户对应用系统的访问。用户只须在进入门户时进行一次身份认证，即可漫游访问校园网内的各种应用系统和信息资源，例如办公自动化系统、邮件系统、人事工资系统等而无需重新登录。单点登录模块，满足用户“一点登录，多点漫游”的需求，切实减轻用户的负担。用户界面管理可以提供用户界面管理，包括用户界面模版的管理，用户界面个性化的设置等。并根据用户的身份、权限、界面模版和用户的个性化设置生成个性化用户使用界面，包括生成用户有权访问的应用系统链接列表和根据用户身份组织信息资源等。信息的组织和管理可以对校园网内的静态信息，如办公通知、规章制度等，进行分类、组织和管理。图2 单点登录模块设计图3 校园网多系统单点登录系统的两个关键模块设计系统的两个关键模块单点登录模块和统一身份认证模块的具体设计如下：3.1 单点登录模块设计单点登录模块的核心设计思想如图2所示。单点登录模块从内部结构的组成来看，由以下三个方面构成：登录过程；记录Cookie过程；注销过程。图3 单点登录模块登录流程图当用户登录应用服务器1时：（1）用户访问应用服务器1，被转向指向统一登录服务器；（2）统一登录服务器接收用户输入的用户名和密码；（3）统一登录服务器向目录服务器提出验证用户名密码请求，目录服务器返回验证结果；（4）统一登录服务器将接收到的验证结果以cookie的方式存放在服务器的Session中；（5）统一登录服务器将cookie信息共享给应用服务器1，同时返回给浏览器用户。此时，当用户访问应用服务器2时：（1）用户向应用服务器2发出请求；（2）应用服务器2向统一登录服务器发出验证请求；（3）统一登录服务器将之前的cookie信息共享给应用服务器2；（4）应用服务器2根据共享的cookie内容，返回给浏览器用户。此时，用户已经通过了统一身份认证了。其余应用服务器登录情况类似于应用服务器2。单点登录模块功能流程设计如下：登录过程：任意应用系统进行登录的时候，应用系统都要对Session中的cookie信息进行判断。如果存在匹配的cookie信息，说明已经有其他的应用系统成功进行了登录，那么应用系统直接就可以把cookie里的信息进行分解，取得相应的用户名及其权限等信息，便登录完毕。如果不存在匹配的cookie信息，说明当前还没有其他应用系统处于登录成功状态。这时，应用系统调出“用户登录”界面，等待用户输入认证信息。当用户完成信息输入并且提交验证申请之后，统一用户登录模块就与目录服务器取得联系，完成验证身份后，目录服务器会返回状态信息给统一登录模块，并在客户端的Session中生成格式化的cookie信息。这时，由于应用系统可以读到匹配的cookie信息，就可以完成登录了。任何通过目录服务进行单点登录的系统，都是按照上述的登录流程进行身份认证和单点登录的。记录Cookie过程：互联网中的应用WEB服务以http协议作为主要的通讯协议，http协议本质上事务型的，当用户在浏览器的地址栏输入URL并按下回车键后，即产生一个请求的报文，服务器收集报文中信息并提交处理后，产生一个响应报文返回给用户浏览器，由此一次请求和响应结束，客户机和服务器的信息交互完成。http是无状态的，每次请求和响应都重新开始，不保留以前请求的任何信息。但是对于实际问题的处理需要WEB编程中识别哪些请求是来自于同一个用户，需要将每个用户请求和响应的状态保留下来以便以后请求中能够使用。Cookie可以解决http协议无状态的弊端。本论文中所涉及的cookie是会话cookie。由于在校园中是处在同一个域里，故可以把校园当中提供WEB服务的多台服务器规划成同一个但名称各异的二级域名。例如：，app(n)等。这样的规划可以使得Cookie值可以在多台二级域名的服务器中共享，从而达到信息传递的目的。注销过程： 应用系统的注销相对而言非常简单，只是在用户退出登录的方式上存在2种方式：其一是直接关闭浏览器，其二是由用户点击“注销”按钮。无论那种方式，其实只需要简单的将Session中的cookie过期或删除即可，这样当用户再次访问应用系统的时候，系统会因为找不到可以匹配的cookie而进入再次登录的流程。图4 单点登录模块注销流程图3.2 基于LDAP的统一身份认证的模块设计 该模块设计思路如下：统一的、集中化的校园基础信息平台是网络基础设施平台上的第一层软件系统。遵照“校园网络信息一体化”的理念，结合校园应用系统现状和实际应用需求，提出了基于LDAP目录服务的统一身份认证系统模型。该框架模型建立了校园网基础平台，将网内的应用系统集成在一起，为“正确的用户”在任何时间、任何地点通过internet(或intranet)访问授权信息提供保证。模块逻辑结构简单讲包括三个部分：接入层、用户身份目录、信息系统资源。 该模块功能流程设计如下：解决方案模型基本上实现了基于LDAP目录校园网信息系统的身份认证目标。目录服务器是基于LDAP的，存放这各种用户的基本信息和访问权限；普通用户可以通过web页面访问目录服务器，但只能看到指定的信息，管理用户可以访问目录服务器，并且可以对其进行各种操作(增加、删除、修改等)；信息资源(代理服务器、email服务器、接入交换机等资源)与目录服务器交互，通过各种方式认证用户信息。对该模型进行分析划分下面三个功能模块：n 目录服务器的建立：在redhat linux 9.0操作系统下实现。openldap目录服务器n 统一身份认证的实现：实现信息资源的统一身份认证，包括三个部分：squid代理服务认证、email服务收发邮件认证、用户接入交换机端口认证n 用户查询和管理模块的实现：用PHP实现web与ldap目录服务器的连接，实现用户通过web访问目录服务器，管理员可以对目录服务器进行各种操作。该模块的安全设计：提供了目录服务后，对于LDAP来说防止黑客对目录信息的有效攻击就是一个重要的安全问题了。LDAP在目录服务的安全地位上来说已经成为看护者的角色，决定了谁可以访问什么信息。LDAP承担了两个重要的任务，一个是对目录数据的认证，另一个是一旦一个用户的身份建立了，它控制该用户访问的资源、应用和服务等。4 基于Domino LDAP的校园网多应用单点登录系统实现该系统的实现包含3大部分内容：1、建立Domino LDAP目录服务；2、实现多应用系统的统一用户身份认证；3、实现多应用系统的单点登录。打开翠柏中学的网页首页，界面如图5所示：图5 宁波市翠柏中学网页首页界面待添加的隐藏文字内容12、在“用户入口”处输入用户名和密码，如图6所示：图6 用户登录界面3、进入到单点登录后的翠柏中学OA界面，如图7所示：图7 宁波市翠柏中学OA界面4、单击OA内“进入工资查询系统”，不需要输入用户名和密码，就可以直接进入“我的工资查询”界面，如图8所示：图8 宁波市翠柏中学工资查询界面5、这样，就可以实现OA和工资查询系统的统一身份认证和单点登录。5 总结通过实现校园网内的2个不同平台，不同技术路线的应用系统的单点登录，该校园网多应用单点登录系统的性能具有如下优势：1、从管理者的角度来说，如果没有实施单点登录系统，那么会存在多系统用户身份不唯一，在各个应用系统中重复出现、重复管理，用户信息的更新不能及时反映到各个子系统中。这样会造成管理上的效率低下。而如果实施了单点登录系统，管理员只需统一维护用户身份即可，从而提高了维护的一致性与稳定性。2、从用户的角度来说，如果没有实施单点登录系统，无法享受到优质的服务，需要拥有多个身份，多次登录。而如果实施了单点登录系统，可以一站式登录多个系统，避免了繁琐的登录过程，从而提高了系统使用的方便性，而且不需要记录多个用户信息，更改起来也更加便捷。3、从服务提供者角度来说，如果没有实施单点登录系统，无法实施整体的安全策略，从而产生较大的安全风险。各个系统独立运行，无法实现资源的共享。用户身份和权限无法联系，无法提供基于组织、基于个人的人性化服务。而如果实施了单点登录系统，可以避免以上弊端，提高效率。随着校园网的各种应用不断涌现和进一步的发展，单点登录系统会有很好的发展前景，是未来实现“数字化校园”的基础。主要参考文献【1】骆俐倩等. LDAP在校园网公匙认证体系中的应用. 计算机工程与设计. 2002年3月【2】程宏斌，孙霞. 单点登录技术研究 J计算机时代，2004年5月【3】林南晖等. 目录服务在邮件系统中的应用研究. 计算机工程与科学. 2002年第5期【4】Heinz Johner, Michel Melot, Harri Stranden, Permana Widiasta. "Understanding LDAP" IBM.1999学校：宁波市翠柏中学作者：范佳宁电话：15990286209邮箱：27735498