（通信与信息系统专业论文）基于ldap与web的银行业务培训系统的集成应用研究.pdf

中文摘要 随着中国经济的飞速发展，各家银行不断推出新的业务品种来满足客户的 需要，同时各种业务流程和管理制度也变得越来越复杂。为了帮助银行业务人员 尽快了解和掌握新的业务知识，快速地解决常见的业务问题以及查阅各种规章制 度，我们基于w e b 方式设计并开发了银行业务培训系统。 轻量级目录访问协议( l d a p ) 是从国际电信联盟( i t u ) 的x 5 0 0 协议中演 变而来的，是因特网中的一项新的技术。它已成为目录信息访问的标准，并在 e m a i l 、w e b 和企业应用等系统中得到广泛的应用。l d a p 提供了诸如快速查 询、多种条件的复杂查询等功能，并且能够为客户的请求提供快速的响应。银行 大部分应用系统目前都采用数据库独立存储用户信息，不仅各系统的数据无法及 时同步，而且造成大量存储资源的浪费。我们利用目录服务对用户信息进行统一 化管理和身份认证，伎网络安全更加便捷，更有效率。同时，为今后各个应用系 统的用户集中管理，奠定了基础。 本应用融合了s e r v l e t 、j s p 、j d b c 等j a v a b e a n 组件应用技术进行软件的丌 发和集成，还使用j n d i 和p l s q l 等完成目录的操作，实现了用户信息在数据 库和目录中保持同步的功能，以及用户目录权限的组方式的管理。同时，我们开 发了基于w e b 的l d a p 管理功能，使管理者摆脱了客户端软件的束缚。 在用户对网络服务需求日益增长的情况下，这种基于l d a p 和w e b 服务技 术的模式提高了系统的安全性，增强了系统的扩展性，在银行信息化的管理方面 具有良好的推广价值。 关键词：l d a p ，w e b s p h e r e ，o i d ，j a v a ，j s p a b s t r a c t w i t ht h er a p i dd e v e l o p m e n to fe c o n o m yi nc h i n a ，t h e r ea r em a n yb u s i n e s s s e r v i c e st h a ta r ec o m i n gf o r t ht os a t i s f yt h ec u s t o m e r s n e e d s a tt h e s a m et i m e ，t h ew o r k f o wa n dm a n a g e m e n to fb a n k i n gt r a n s a c t i o nb e c o m em o r e a n dm o r ec o m p l i c a t e d i no r d e rt oh e l pt h ec i e r kt o m a s t e rt h en e w k n o w l e d g ei nas h o r tt i m e q u i c k yr e s o l v et h ee n c o u n t e r i n sp r o b l e m sa n d b r o w s et h eb y l a wo fb a n k ，w ed e v e l o p e dt h ea p p l i c a t i o no faw e b b a s e d t r a i n i n gs y s t e ma b o u tt h eb a n k i n gt r a n s a c t i o n h i g h t w e ig h td i r e c t o r ya c c e s sp r o t o c o l ( l d a p ) s e r v i c e ，o r ig i h a t e do u t o ft h ex 5 0 0s e r i e so fi n t e r n a t i o n a lt e l e c o m m u n i c a t i o nu n i o n ( 1 1 、uj r e c o m m e n d a t i o n s ，i san e wt e c h n o l o g ya p p l y i n gt oi n t e r n e t n o wl d a pi s t h es t a n d a r df o rd i r e c t o r yi n f o r m a t i o na c c e s sa n di st h eu n d e r l y i n g p r o t o c o lf o rav a r i e t yo fe m a i ls y s t e m s 。w e b s y s t e m s ，a n de n t e r p r i s e a p p l i c a t i o n s l d a ps e r v i c eh a sm a n yg r e a tf e a t u r e s ，s u c ha sp r o v i d i n s q u i c ka n da d v a n c e ds e a r c h ，q u i c kr e s p o n s ea n dh i e r a r c h yv ie wo fd a t a a t p r e s e n t ，m o s to fu s e r i n f o r m a t i o ni nb a n ki ss t o r e di nar e l a t i o n a l d a t a b a s em a n a g e m e n ts y s t e m ( r d b m s ) s oi tb r i n g st h ed i f f i c u l t yo nd a t a s y n c h r o n i z a t i o na m o n gd i f f e r e n ta p p l i c a t i o ns u b s y s t e m sa n dw a s t e sm u c h s t o r a g es p a c e b yu s i n gl d a ps e r v i c e ，w ec a ne n a b l ec e n t r a lm a n a g e m e n t o fu s e ri n f o r m a t i o na n dc e r t i f i c a t i o na u t h o r i t y ，r e d u c et h em a i n t e n a n c e w o r ko fa d m i n i s t r a t i o na n di m p r o v et h ee f f i c i e n c yo fo u rn e t w o r ks e c u r it y i na d d i t i o n ，c o m b i n i n gw i t ht h ec e n t r a lm a n a g e m e n to fu s e r s ，t h es e c u r i t y o fo u rs y s t e mi sg r e a t l yi m p r o v e d t h i s a p p l i c a t i o n e l a b o r a t e st h e d e v e l o p m e n t a d v a n t a g e a n d c h a r a c t e r i s t i co ft e c h n o l o g yw h i c hi n t e g r a t e sa n df u s e sl d a p ，s e r v l e t ， j s p ，j d b ca r c w ep u tf o r w a r dad e s i g na n dr e a l iz a t i o ns c h e m et h a tc l e r k i n f o r m a t i o no fb a n kc a nb es t o r e di nb o t hr e l a t i o n a ld a t a b a s ea n dl d a p a p p l yj n d ia n dp l s q lt oc o m p l e t ed a t as y n c h r o n i z a t i o na n da c h i e v et h e p r i v i l e g em a n a g e m e n to ng r o u pm o d e a n dw ep r o v i d et h ef u n c t i o no f m a n a g i n gal d a pd i r e c t o r yb yw e bb r o w s e r a l o n gw i t ht h eb o o m i n gn e e do fu s i n gn e t w o r k ，t h et e c h n o l o g yo fl d a p a n dw e bw i l lp r o m p tt h es y s t e ms e c u r i t ya n da v a i l a b 儿i t y t h i sm o d e li s w o r t hv i g o r o u s l ys p r e a d i n go nt h ei n f o r m a t i o nm a n a g e m e n to f b a n ks y s t e m k e yw o r d s ：l d a p ，w e b s p h e r e ，o i d ，j a v a ，j s p 独创性声明 本人声明所呈交的学位论文是本人在导师指导下进行的研究工作和取得的 研究成果，除了文中特别加以标注和致谢之处外，论文中不包含其他人已经发表 或撰写过的研究成果，也不包含为获得墨鲞盘鲎或其他教育机构的学位或证 书而使用过的材料。与我一同工作的同志对本研究所做的任何贡献均已在论文中 作了明确的说明并表示了谢意。 学位论文作者签名：武天 签字同期：2 。5年与月3 。同 学位论文版权使用授权书 本学位论文作者完全了解苤鲞盘堂有关保留、使用学位论文的规定。 特授权苤壅盘鲎可以将学位论文的全部或部分内容编入有关数据库进行检 索，并采用影印、缩印或扫描等复制手段保存、汇编以供查阅和借阅。同意学校 向国家有关部门或机构送交论文的复印件和磁盘。 ( 保密的学位论文在解密后适用本授权说明) 学位论文作者签名：戴夭导师签名 签字同期：如堪年5 月岔r 签字日期：z 西d 本二 月c 也日 第一章绪论 1 1 系统开发的背景 第一章绪论 伴随着中国的成功入世，越来越多的国外金融机构加入到中国的金融服务队 伍中，国有银行正从传统的垄断性经营走向激烈的市场竞争。银行处于卖方市场、 坐等客户上门的时代已经一去不复返了。国有的金融机构面临着前所未有的严重 考验。在激烈的竞争面前，与那些经营历史久远、经验丰富、技术先进、管理现 代化的国外银行相比，我国银行的金融产品、服务理念、营销方式还存在着相当 大的差距，要想在如此严峻的竞争环境下吸引客户，求得发展，关键在于从根本 上转变银行的经营理念，加快改进服务的步伐，为消费者提供满意的金融新产品 和新业务。正因为如此，我国的各家银行纷纷将银行的新业务作为战略发展的重 点，这样就存在一个业务发展与业务培训同步的问题。目前，我行每年都要花费 大量的人力和物力组织新业务培训i ? 尤其当业务人员在服务中遇到不熟悉的业务 或者涉及到银行规章制度问题的时候，缺乏实时的查询业务信息工具，影响了工 作效率和延长了服务时间，造成了定程度的负面影响。为了解决这个矛盾，我 们开发了基于w e b 服务的银行业务培训系统，用来帮助业务人员实时地查询疑难 信息，了解新的业务知识。 1 2 目录服务的优势 在豆联网快速发展的今天，网络服务凭借它的简洁性、快速性在各个领域已 经越来越显示出生机和活力。如何在网络中为客户提供安全可靠的服务已经成为 网络服务的重要课题之一。l d a p 是一个在目录服务中占有重要地位的协议标准， 它为解决网络信息量的膨胀提供了一种简单的解决手段。相对于数据库存储方式 而言，l d a p 使信息具有面向对象的特点，更加符合a 0 的意识形态，因而使用 和管理起来更加方便。作为用户和应用程序进行信息搜索的主要手段之一，l d a p 具有强大的生命力和竞争力，并且不依赖于任何特定的操作系统和硬件平台。特 别是在网络资源查找、用户访问控制与认证信息的查询、网络安全和数据库服务 等方面，l d a p 逐渐显示出其通用、完善、应用简单和易扩展的优点，成为实现 信息存储、管理和查询的首选方案。 1 3 w e b 服务的特点 第一章绪论 w e b 服务在很多人看来是十分神秘的概念，在实际应用中经常给人一种复杂 的和难以理解的感觉。其实，w e b 服务是面向服务体系结构( s e r v ic eo r i e n t e d a r c h i t e c t u r e ) 的一种实现，并逐渐成为电子商务设计、实现、部署以及组件化 发展的趋势。w e b 服务技术是微软公司基于互联网的丌发模型，具有以下三个特 点： ( 1 ) 模块化和网络化： w e b 服务应该是由独立的、模块化的应用程序组成， 它可以在网络上描述、发柿、调用。 ( 2 ) 兼容性： w e b 服务是由分布式的模块化组件组成，每个组件执行特定的 功能，并具有相同的技术标准，这样不同组件之间能够很好地相互协作， 共同完成个复杂的目标。 ( 3 ) 通用性： 在w e b 服务中，开发者只是遵循技术规范完成其需求的应用服 务，网络客户或其他应用软件能够通过i n t e r n e t 来访问这项服务。 1 4 本文的结构 本文主要陈述了基于l d a p 和w e b 服务的银行业务培训系统的设计和实现方 案，其主要内容如下： 、 首先，介绍x 5 0 0 协议以及l d a p 的发展过程，并简要概述l d a p 的基本模型， 突出了l d a p 和x 5 0 0 之间的区别。 其次，深入描述了o r a c l ei n t e r n e td i r e c t o r y ( 简称o i d ) 的体系结构，已 很少的篇幅揭示了o i d 的后台数掘库存储模型，并以修改d n 操作为例描述了其 工作流程。 最后，系统地介绍了银行业务培训系统的设计思想和应用的相关技术，强调 了数据库与目录服务的同步操作，以及如何实现组管理模式控制用户的访问权 阳。 兰= 兰堑丝 w 凸b 服务在很多人看来是十分神秘的概念，在实际应用中经常给人一种复杂 白勺和难以理解的感觉。其实，w e b 服务是面向服务体系结构( s e r v i c 。o r i 。”。“ a r c h l e c t u r e ) 的种实现并逐渐成为电子商务设计、实现、部署以及组件化 发展的趋势。w e b 服务技术是微软公司基于互联网的开发模型，具有以下三个特 点： ( 1 ) 模块化和网络化： w 曲服务匣该是由独立的、模块化的应用程序组成， 它可咀在网络上揣述、发布、调用。 f 2 ) 兼容性： w e b 服务是由分布式的模块化组件组成，每个组件执行特定的 功能，井具有相同的技术标准，这样不i 刊组件之间能够很好地相互协作- 共同完成个复杂的目标。 ( 3 ) 通用性：在w e b 服务中，开发者只是遵循技术规扎完成其需求的应用服 务，网络客户或其他应用软件能够通过i n s e r n e t 来访问这项服务。 1 4 本文的结构 本文主要陈述了基于l d a p 和w e b 服务的银行业务培训系统的设计和实现方 案，其主要内容如下： 首先，介绍x 5 0 0 协议以及l d a p 的发展过程，并简要概述l d a p 的基本模型- 突出j tl i a p 和x5 0 0 之e i j 的区别。 其次，深入描述了o r a c l ei n t e r n e rd i r e c t o r y ( 简称。i d ) 的体系结构，已 很少的篇幅揭示了o i d 的后台数掘库存储模型，并以修改洲操作为例描述了其 工作流程。 最后，系统地介绍了银行业务培训系统的设计思想和应用的相关技术，强调 了数据库与目录服务的同步操作，以及如何实现组管理模式控制用户的访问权 了数据库与目录服务的同步操作，以及如何实现组管理模式控制用户的访问权 限。 第二章l d a p 目录服务锯析 第二章l d a p 目录服务的解析 随着因特网规模的不断扩大，网络技术的迅猛发展，网络管理变得越来越复 杂。同时，网络用户在日常工作与生活中也r 益依赖网络资源，这就要求网络应 用程序能够及时、方便和简单地搜索、查询和获得网络资源和用户的相关信，自。 但是，由于网络遍布在全球的范围内，它的迅速发展给定位用户和资源需要带柬 了极大的困难。例如：在a r p a n e t 草创的初期，仅仅依靠中央管理机构就足够为 数量有限的机器维护一份清单。随着t c p i p 的广泛应用和网络的快速发展，加 入a r p a n e t 的机器越来越多，这时管理员想要维护一份机器的清单变得不实际、 不可能。每个人在接受到一份全部机器的h o s t 襄时，又会有新的主机加入网络， 因此它永远跟不上网络中机器更新的速度。于是，域名系统( d o m a i nn a m es y s t e m ， 简称d n s ) 随之产生，它是i n t e r n e t 上最成功的目录服务。 目录服务可以命名、描述和指定用户和资源，并且能够以通用的数据格式和 通信方式来实现信息的查询和共享。目前许多网络系统厂商都实现了目录服务， a p p e 、b a n y a n 、n o v e l l 等都将目录服务作为一个基础产品。对于企业来讲，目 录服务能够提供诸如用户信任证书管理、用户访问权限管理和网络设备的集中管 理。在互联网上，目录服务能够为全球的信息提供诸如e m a i l 地址和数字认证 等服务，特别是电子商务的发展使企业开始让他们的目录信息能够被互联网和外 部网络访问。这不但增强了目录服务的可扩展性，而且使企业范围内和互联网的 目录信息应用之间的差距越来越模糊。 2 ix 5 0 0 协议 2 1 1x 5 0 0 的概况 在1 9 8 0 年，为了实现目录服务能够冲破系统限制和企业范围的束缚， i n t e r n a t i o n a lt e l e g r a p ha n dt e l e p h o n ec o n s u l t a t i v ec o m m i t t e e ( c c i t t ) 制订了为提供电话号码和电子邮件地址服务的用户信息数据库( w h i t ep a g e s ) 。 与此同时，i n t e r n a t i o n a lo r g a n i z a t i o nf o rs t a n d a r d i z a t j o n ( i s o ) 萨在为 整个互联网制订一种目录，把它作为o p e ns y s t e m si n t e r c o n n e c t i o n ( o s i ) 网 络和应用的命名服务。正是在两大机构制订各自目录服务的努力下，x 5 0 0 于 1 9 8 8 年发布了第一个版本，其中介绍了x ，5 0 0 的概念、模型、访问协议等目录 服务的基本功能。后来，i n t e r n a t i o n a lt e le c o m m u n i c a t i o nu n i o n ( i t u ) 一 c c i t t 的前身，一直不断地修改x 5 0 0 的标准。在1 9 9 3 年的第二版中，x5 0 0 增 加了目录复制、授权管理、访问控制机制等内容。它主要内容如下“： 第二章l d a p 目录服务解析 x 5 0 1 ：模式，描述了x 5 0 0 的概念和模型。 x 5 0 9 ：认证框架，描述了x 5 0 0 的认证框架，详细的介绍了客户和服务 器之间进行认证的过程。 x 5 l l ：抽象服务定义，详细描述了x 5 0 0 目录的功能( 例如查询操作、 修改操作等) x 5 1 8 ：分布式操作的过程，描述了目录操作如何在多个服务器中运行。 x 5 1 9 ：协议的规定，详细描述了所有的x 5 0 0 的协议，包括目录访问协 议( d a p ) 、目录系统协议( d s p ) 、目录操作绑定协议( d o p ) 和目录信息 镜象协议。 x 5 2 0 ：描述了x 5 0 0 自身使用的属性类型，并且定义了一些常用的属性 ( 例如：电话号码属性等) 。 x 5 2 1 ：定义了x 5 0 0 使用的对象类，并定义了一些常用的对象类，例如 p e r s o n 对象类等。 x 5 2 5 ：定义了在x 5 0 0 服务器中，如何进行对目录内容进行复制。 x 5 3 0 ：系统管理，描述了如何通过o s 系统管理服务和协议、目录服务 和协议管理x 5 0 0 的目录服务。 x 5 0 0 提出了一个将分布在各地的目录服务器连接成为一个全球型的分布式 目录服务的体系结构。每个目录服务器都拥有一部分数据库，通过目录系统代理 ( d i r e c t o r ys y s t e m a g e n t ，d s a ) 的服务器对用户提供服务，整个目录服务对用 户来说是透明的，也就是说用户访问目录服务时并不需要关心数据到底放在哪个 目录服务器上。 2 1 2x 5 0 0 的模型 x 5 0 0 标准主要定义了如下的模型 ( 1 ) 目录模型： 它主要介绍了目录的宏观结构，x 5 0 0 是一个分布式的目录，目录信息遍布 在全球的目录服务器中。x 5 0 0 定义了一个树型结构，它有一个唯一的根结点， 从根目录向下分别是：世界，国家，机构，个人。 用户通过d u a ( d i r e c t o r yu s e ra g e n t ) 发出目录服务请求，d u a 连接到 d s a ( d i r e c t o r ys y s t e ma g e n t ) 。如果本地的b s a 不能满足用户的查询需要，它 就返回个引用，d u a 会向新的d s a 的地址发送目录请求。如果请求不能被执行， d s a 返回错误信息，否则会根据用户的需求在目录信息树中进行查找，并将查询 结果返回给用户。 第二章l d a p 目录服务解析 图2 - 1 x 5 0 0 目录服务的主要组成部分“2 d s a 上图显示了x 6 0 0 的目录服务的结构，其中d a p ( d i r e c t o r ya c c e s sp r o t o c 0 1 ) 帚 d u a 向d s a 请求服务所用的协议。d s a 之间通过d s p ( d i r e c t o r ys y s t e mp r o l o c 0 1 ) 相互协调来为客户提供目n i j g - 。d s a 和它的镜象d s a 之间通过d i s p ( d o c u m e n t i n f o r m a t i o ns e r v i c ep r o g r a m ) 进行交互操作，保证d s a 和它的镜象( s h a d o wd s a ) 的数据同步。 ( 2 ) 信息模型： x 5 0 0 定义了信息在目录中的表示形式，目录中所有的信息都存储在条目 ( e n t r y ) 中。x 5 0 0 不仅能够表达有关个人和机构的信息，还可以用来描述有关 网络资源、应用系统或硬件等方面的信息。一个完整的x 5 0 0 系统统称个目录。 ( 3 ) 安全机制： x 5 0 0 提供了保护信息的功能，它通过访问控制使公开的信息能够被组织外 的人员访问，但是内部信息只能被内部人员访问。当用户连接到d s a 时，目录服 务会验证用户的d n 和相应的密码，目录服务器再通过访问控制列表( a c l ) 柬判断 用户是否有权限访问d i t ( d i r e c t o r yi n f o r m a t i o nt r e e ) 的节点。 ( 4 ) 复制和分布： 出于目录是为了整个互联网服务的，这就决定了它的数据量非常巨大，而且 分布在多个不同地区的服务器上。通过复制机制，使用户在某个服务器出现问题 时，仍能够依靠备份服务器访问网络资源。目录通常是由数据库组成，分布式数 据库在应用方面已经非常成熟，它将数据分布在不同的计算机上，每个地区的服 务器都保留本地区的数据，既实现了数据的共享，又使数据能够按照某项规则清 第二章l d a p 目录服务解析 晰的分布。 2 1 3x 5 0 0 的特点 x 5 0 0 具有如下的特点： ( 1 ) x 5 0 0 是一个真正意义上的目录系统，它为目录的应用提供了标准，x 5 0 0 在理论上有很好的发展空间。 ( 2 ) x 5 0 0 提供了丰富查询、修改等操作，使目录服务操作更加简单、方便。 ( 3 ) x 5 0 0 实现了服务器、数据和相关管理的分布式。 ( 4 ) x 5 0 0 是一个开放的标准，在操作系统、网络技术和应用程序方面兼容性 非常好。 但是，由于x 5 0 0 目录的复杂程度非常高，在实际的配置工作中，大部分实 现起来会遇到许多障碍。此外，x 5 0 0 是基于o s i 网络协议制订的，所以不能和 目前盛行的简单、快速和低费用的t c p i p 协议直接兼容，致使x 5 0 0 在互联网 上推广程度很差，目前只有少数机构使用这个规范。 2 2l d a p 的出现 在x 5 0 0 的应用中，d a p ( x 5 0 0 目录客户端访问协议) 十分复杂而且非常 不适合普通用户使用。x 5 0 0 要求客户端和服务器使用的开放系统接口( o s i ) 协议是一个七层协议，虽然该协议在网络理论上很有学术价值，但是和t c p i p 协议的四层比较起来，显得过于繁琐。1 9 9 0 年，为了使计算机能够更加简洁的 访问目录，c c i t t ( 国际电话电报咨询委员会) 和i s o ( 国际标准化组织) 两大 组织分别制定了两个轻量级协议，一个是r f c1 2 0 2 中的d a s ( d i f e c t o r v a s s i s t a n c es e r v i c e ) ，另一个是r f c1 2 4 9 中的d i x i e ( d i r e c t o r yi n t e r f a c et o x 5 0 0i m p l e m e n t e de f f i c i e n t l y ) 。它们使客户能够直接通过t c p i p 协议与目 录服务器通信。随着这两个协议的应用和推广，人们逐渐看到轻量级访问协议的 巨大优势。1 9 9 3 年，i e t f ( i n t e r n e te n g i n e e r i n gt a s kf o r c e ) 为x 5 0 0 目录 制订一种轻量级目录访问协议第一版l d a p 定义在r f c l 4 8 7 中出现了。l d a p 简化了x ，5 0 0 的d a p 协议，以非常低的信息支出，直接映射了t c p i p 协议的t c p 层，避免了作为应用层的x 5 0 0 在网络信息传送时携带的大量包头部信息，减少 了网络中的通信数据量。 2 3l d a p 与x 5 0 0 的区别 起初，l d a p 是为了提供一个供桌上电脑使用的轻型协议，作为将服务请求 第二章l d a p 目录服务解析 送往x 5 0 0 服务器的网关。l d a p 是x 5 0 0 标准中目录访问协议d a p 的一个子集， 它们都提供了一个信息服务模型，并能够在多平台上使用，而且两者在信息、命 名、功能、认证模型上都很相似。同时，它们都提供分布式功能，使数掘可以分 布在不同物理地点的目录服务器中，并且这些服务器可以由本地的管理员负责管 理。这样既保证了目录信息总体结构的一致性，又满足了分级管理的需要。但是， 两者又存在着许多不同之处。x 5 0 0 被称为重量级，因为它的服务必须和丌放系 统的o s i 标准进行通信，而l d a p 直接可以映射到t c p i p 协议的t c p 层。l d a p 作为轻量级服务，省略了x 5 0 0 上许多不常用的操作，保留了九项核心操作，为 用户提供了一个较简单的访问模型。因此，丌发者不需要对不常用的协议功能花 费时间和精力去分析，只是要把重点放在l d a p 语义的理解上。 图2 - 2 0 5 i 的x 5 0 0 和t c p i p 的l d a p “2 2 4l d a p 的定义 l d a p 协议不是一个协议，而是一个协议簇，是由一系列不断发展的标准和 草案构成的。目前，较为流行的是l d a p 版本3 ，主要包含的协议如下： r f c 2 2 5 1 ：l d a pv 3 协议的基本操作和基本模型。 r f c 2 2 5 2 ：l d a pv 3 属性的语法定义。 r f c 2 2 5 4 ：l d a pv 3 查询过滤器的字符串表达方式。 r f c 2 2 5 5 ：l d a pv 3 统一资源地址的格式。 r f c 2 2 5 6 ：，在l d a pv 3 中使用x 5 0 0 的s c h e m a 列表。 r f c 2 8 2 0 ：l d a p 访问控制方式。 r f c 2 8 2 9 ：l d a p 的认证方式。 r f c 2 8 3 0 ：l d a p 传输层安全的扩展。 r f c 2 8 4 9 ：l d a p 数据导入、导出接口l d i f 。 第二章l d a p 目录服务解析 r f c 3 3 7 7 ：l d a pv 3 技术定义。 r f c 3 6 7 3 ：l d a p v 3 的所有操作属性。 r f c 3 6 8 7 ：l d a p 和x 5 0 0 组件的匹配规则。 r f c 3 9 2 8 ：l d a p 客户端修改协议。 r f c 3 9 0 9 ：l d a p 取消操作的定义。 r f c 3 8 7 6 ：l d a p 获取匹配的值操作。 在这些协议中，r f c 2 2 5 1 2 2 5 6 是l d a pv 3 最初的核心集。r f c 3 3 7 7 是l d a pv 3 最新的具体协议，它是由9 个文档组成，描述了l d a pv 3 的整个轮廓。在r f c 3 3 7 7 协议中，主要定义了目录中信息的格式和表达方式、信息的组织方式目录树 型结构、客户端与服务器连接所使用的通讯协议以及客户端进行目录操作的a p i 接口。此外，它还定义了如何保证目录的信息安全，提供了多种认证机制的原型。 同时，l d a p 协议中还定义了访问控制模式和复制协议，以实现数据的分布式存 储管理。 在所有的协议中，我们看到没有任何地方提到将要把数据保存到哪旱，这更 加证实先前的说法l d a p 是一组用来存取目录数据的方法。因此，各个l d a p 服务器在实现后台存储采用了不同的方法，一般是能够容纳大量数据、支持索引 操作的关系数据库。 图2 - 3 l d a p 服务总体结构“ 通常客户看不到后台的数据存储方式，l d a p 对外一般提供的数据是以树状 方式存在的，客户端和服务器采用主从架构，服务和数据存储可以分别放置在不 同的主机上。由于本身是非同步协定，当多个用户对l d a p 服务器发出多个请求 时，目录服务器并不一定按照发送的请求来回应客户。 2 5 l d a p 的模型 l d a p 的模式可以看作是服务器对客户端所提供的服务。在r f c 2 2 5 1 协议中， l d a p 被分为数据模型和协议模型，但近来许多人将l d a p 划分为信息模型、命名 第二章l d a p 目录服务解析 模型、功能模型和安全模型。 2 5 1 信息模型 它提供了信息的描述和表达方式，也就是说它规定了l d a p 目录数据的类型 和结构。条目是l d a p 目录中最基本的单元，在一个目录信息树中我们可以把它 看作一个节点。每个条目由一个或多个对象类组成，每个对象类又由多个属性组 成，每个属性又被语法和匹配规则所制约。在l d a p 中把对象类、属性、语法和 匹配规则统称为模式( s c h e m a ) 。 2 5 2 命名模型 图2 4 条目、属性和值的关系 它描述了l d a p 中的数据是如何组织的，也就是说条目是如何被目录中唯一 确定的。每个条目都有一个在目录树中唯一可区分的名字d n ( d i s t i n g u is h e d n a m e ) ，用户可以通过指定这个属性作为查询条件，直接找到所需要的条目。同时， 每个条目在父节点下的唯一名称标识称为r d n ( r e l a t i v ed i s t i n g u is h e dn a m e ) d n 可以看作从树的根结点到该条目的所有经过的节点的r d n 的叠加。 2 5 3 功能模型 它描述了l d a p 对数据的操作方法，分为认证类、查询类、修改类和其他类。 ( 1 )认证类： b i n d ：在r f c 2 2 5 1 协议中，绑定操作是为了允许在客户端和服务器之问交 换身份认证信息。客户端需要先发送b i n d 请求来获取合法身份，才能操作目录 服务器的数据。b i n d 操作通常是通过用户的d n 值和用户的密码属性束确定用户 第二章l d a p 目录服务解析 的身份。一种是简单认证方式，由于密码都是以明文方式传送，它的安全性非常 低。还有一种s i m p ea u t h e n t i c a t jo na n ds e c u r i t yl a y e r ( s a s l ) 认证方式， 它是一种扩展的安全机制，使目录认证可以采用其他的认证机制。与l d a pv 2 不 同的是，在没有绑定用户之前，可以使用匿名用户身份对数据进行操作。 u n b i n d ：中断当前的协议会话，这个操作是不需要返回相应代码的。 ( 2 )查询类： s e a r c h ： 客户端向服务器发送一个搜索请求，服务器接收到请求后，在某 个范围内，查找出满足用户需要的条目的属性。 c o m p a r e ：允许与一个条目的属性作比较。 ( 3 ) 更新类： a d d ：允许添加一个条目。 d e l e t e ：允许删除一个条目，但不能删除目录子树，只能删除叶节点。 m o d i f y ：修改条目的属性值。 m o d r d n ：修改个条目在目录树中的位置或者修改在父节点下的名称。 ( 4 ) 其他类： a b a n d o n ：取消给定的i d 的信息包。 e x t e n d e d ： 在r f c 2 2 51 协议基础之上增加的扩展操作。 从严格的意义上来讲，l d a p 根本不是数据库而是用来访问存储在信息目录 ( 也就是l d a p 目录) 中的信息的协议。更为确切说法应该是这样的：“用户使用 l d a p 协议可以在信息目录的正确位置读取或存储数据”。 2 5 4 安全模型 安全问题是网络中一个非常重要的问题，对于l d a p 来讲也是如此。通常， 在目录服务中，用户先通过h i n d 操作进行身份验证，然后才可以对目录进行修 改、删除等操作。目前，l d a p 支持三种基本的安全验证策略：无验证的匿名访 问，简单的验证方式、s a s l ( s i m p l ea u t h e n t i c a t i o na n ds e c u r i t yl a y e r ) 方式。 在b i n d 操作的基础上，如果不提供用户的d n 和密码，则服务器会与客户建立匿 名会话。如果用户采用简单的验证方式，服务器会验证用户的d n 是否存在，并 且口令是否和目录中保存的不显示的字符串密码相匹配。这种方式是很不安全 的，当下层的传输服务不安全时，很容易被其他人截取。相比之下，在r f c 2 2 2 2 协议中制定的s a s l 的安全机制为客户提供了更为可靠的服务。s a s l 作为一种通 用的安全框架，提供了诸如k e r b e r o s 、d i g e s t 等验证方式，同时还支持s s l 、 t s l 为面向连接的传输层提供安全服务，允许客户和服务器间就数掘完整性和数 据加密方式进行磋商。这样，l d a p 从基本认证和安全传输两个方面保证了目录 数掘的保密性。 第二章l d a p 目录服务解析 2 6l d a p 数据内部交换格式( l d i f ) 大多数l d a p 管理员都喜欢使用文本格式的文件存储服务器配置信息。因此， i e t f 组织在r f c 2 8 4 9 协议中定义了一种用于存储l d a p 配置信息和目录内容的标 准文本文件的格式。一个最基本的l d i f 文件必须满足下面三条原则： ( 1 )条目的定义语句之间必须被空行隔开。 ( 2 ) 条目的定义语句中，属性的名称必须和属性值有对应关系。 ( 3 ) 在定义语句中，需要指出对数据进行什么操作。 l d i f 文件一般用来向目录中导入数据或者修改已经存在的数据。和一般数据相 同，s c h e m a 也能作为数据定义在l d i f 文件中，但是数据必须符台l d a p 目录的规 则。每个条目在增加或修改时，服务器都会检查数据是否符合s c h e m a 的定义。 如果数据不符合语法，对应的语句将会被丢弃掉。 l d i f 文件分为两类。第一类是描述目录中条目的属性值，例如：银行员工的 姓名等。另一类是修改目录中的数据，例如：添加一个新的职员信息到目录中。 下面详细介绍这两类l d i f 的格式： ( 1 ) 目录条目的l d l f 表达 # 公司产品部经理王浩的信息描述 d n ：u i d 2 w a n g h a o ，o u = p e o p e ，d c = e x a m p l e ，d e = t o m o b j e c t c a s s ：t o p o b j e c t c l a s s ：p e r s o n o b j e c t c l a s s ：o r g a n i z a t i o n a l p e r s o n o b j e c t c l a s s ：i n e t o r g p e r s o n c 1 ：w a n g h a o g i v e n n a m e ：w a n g s n ：w a n g h a o u i d ：w a n g h a o 瑚a i1 ： w a n g h a o e x a 册p 1e c o m t e l e p h o n e n u m b e r ：0 2 25 5 5 4 1 2 1 2 d e s c r i p t i o n ：m a n a g e ro ft h ep r o d u c t sd i v i s i o n 从上面的描述中，每个条目的定义包含第一行的d n 定义语句和多条的对象类和 属性定义语句。我们可以看到符号“# “表示此行为注释行。每行定义语句都是 由属性类和属性值组成，它们中间使用“：”和空格来分离开。而且，d n 的属 性应该在目录树中是唯一的。 ( 2 ) l d i f 修改语旬 第二章l d a p 目录服务解析 - _ _ _ _ _ _ _ _ h _ _ _ _ _ - - - _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ - _ - _ - - - _ _ _ - _ _ - _ _ 一 当用户需要对目录进行大量的修改时，通常把l d i f 格式的文件作为输入， 使用命令行工具，例如1 d a p m o d i f y 程序批量操作。一个l d i f 修改语句由d n 、 改变类型( c h a n g et y p e ) 和所需要修改的信息组成。l d i f 的修改语句可以分为 四种模式，这些改变类型和l d a p 的修改操作一一对应，它们包括新增一个条目、 删除一个条目、修改一个条目和重新命名个已经存在的条目。下面分别举例说 明： 例1 增加一个新条目 d n ：u i d = l i m i n g ，o u = p e o p l e ，d c ：e x a m p e d c = c o m c h a n g e t y p e ：a d d o b j e c t c l a s s ：t o p o b j e c t c l a s s ：p e r s o n o b j e c t c l a s s ：o r g a n i z a t i o n a l p e r s o n o b j e c t c l a s s ：i n e t o r g p e r s o n c n ：1 i m i n g g i v e n n a m e ：l i s n ：0 0 0 1 u i d ：l i m i n g m a i1 ：l i m i n g e x a m p l ec o m t eie p h o n e n u m b e r ：0 2 22 3 5 4 2 5 2 1 例2 ，修改一个已经存在的条目的电话号码属性 d n ：u i d 2 l i m i n g ，o u 2 p e o p l e ，d c = e x a m p l e d c = c o m c h a n g e t y p e ：m o dif y r e p l a c e ：t e