（计算机应用技术专业论文）ldap安全机制及其应用的改进.pdf

l i ) a p 安个帮t 0 弭硬e 膨贸1 的i 疑j 齄 摘爰 酾着i l l t e r n e l 的迅避的发艘，艟t 二f 1 录服务的吲区姗络成越隶艟g 。川 ， 同时，对h 泵服务的安全桐i 效率的求也越来越商，燎内n 0 霞垒机制= i = i i j i 肫 浆闷题迫l ；| ：j 需耍避一步究辫，以满足各种廊j f j 的j i 体要求。l ，【) a p 腱一种琏j ： x ，5 0 0 和t c p ，【p 的_ 开放式丁业标准目录坍议，具有简单爱活两m i 办能强夫的特 点。本文对l d a p 的安全机制和实际应j = j 1 ： nr 论述带1 探i 口，烈含肥t 汕凡学 网区网l d a p 耳泵系统为背景，提i f 了进一步完荐l d a p 安全机制及 = 应用的 一些方注幂l 设想。 本文暂先介绍j 【，d a p 协汉，继而着重论述) l d a pi | ij 觋行的霞仝机制驶 麸所存卉：的一蝗f 日题，l i 耍宙( 1 ) 令疗放f q 题，( 2 ) 援救e 4 默，t3 嚣秘鉴 别机制所存在的问题。这些问题；! i f i 会旨致日录服务述受到齐种孵意啦击。 接蒴，本文阐述r 解决i ：述问题的方法，提 j lr 种缺f 公训摘要镶别 机制。它把公钥技术和摘要技术很好的结合起来，能够解决其他寅金箍剐机制 所存在的一些问题。行凡提供数据交换的完整住羽i 棚密怕：保护。 最后，对基于l d a p 的园区哪实际、z 用做出厂一些改进性设汁，统一虢合 了关系数据库以及基于关系数据库的应用，真正实现丁园区网统一身份认证系 统。并且设计并实现了耩于m a c 地址的访问控制模块，提商h 录服务器本身 的安全性。 本文的研究1 ：佟征改进l d p 的安全机制和突际成 j ：疗i l l i 件； r 有益的尝 试。 关键字：l d a p 、簸名鉴别、f i ；j 单箍别、s a s l 、m c l m p r o v e m e n to fl d a ps e c h r i t ym e c i l a h 辆f na n | l l sa p p i i 魏l i o n a b s t r n c t w i l ht h e l e v e l o p n l e l l lt 订i f l l e r n e t f i h ei 。d ph a rp l a ya ni m i _ i m 1 a 州 ) l ei 1 1i l e l 、v o i k a 即l i c a t i s ，b u tt h e f ca r em a n yd e f c c t sa n df a u l f so nt h eo 吨i 呻l 1 i ) ps 钟t y m e c h a l l i s m sw 、i c hd o ns a “s f ym ef e q u i r e m e n l so ft h el ；d a pi m p l e m e n 嫌i o n t i l el h 吲s d i s c l s s e st h el d a ps e c u r i t ym e c h a n i 3 m sa n di t sa p p l i c a t i o n s ， 1 强et h e s i sf ：i r s td i s c u s s e st h el d a pd 打e c t o r yp r o l o c 0 1 n e x l 。1 ：1 j i e1 b e s i sd i s c u s s c st h e l d 谭c 嘶t ym e c h 卸i s m sa n di t sp r o b l e n l st h e f ea t et h 粥em a 讯p f o e m ：1 ) p a s s w l ，r d l ，0 i i c y ，2 ) a c c e s sa u m o r i z a t i o n ，3 ) a l lk i n l so f a u t h c n t i c a l i o nn l e c l 协n i s t n n c x t ，t h et h e s i sd i s c u s s e st h es o l u t i o n st 0a h v cp r o b le ，_ n i np a r t i c u l a t ，、v eh a v e p r e s 哪t e dt l l ed i g e s ta u l h e 州c a t i o nl n e c f l a l i ! ；mo nt h cb a s i so fp t l b l i ck e yf fh a ec q m b i n c d p 曲l i ck c yt “h n o i ) g i e sw i t l ld i g e s t t e c h n 订o l ；i c s s oi l i n a vs 订v et l i er t m h f e mo ft t h e r a u m e n t i c a t i o nm e c t i a n i s m s ，p r e v e n tf 如ma k i n d so fa h a c k sa n di m p l # m e mi m e 野i 玲8 h d c o n 剐咖廿撕1 ) r 即t e c t i o nl od a t ab c l w nd j e n fa n ds e r v 甑1 l a s y ，h 竹岫p m v 啊t h ea p p j j c a t j o nb 鲢e d 鲫l d a 只j n 她辨删| h ed a 扫b a s e 跏di t s 啦l i c a l i o 啮i n t o 吣a n dp f o v e d a e s sc o n t r o lb a s e do nn 姨ca d d 堙辅 t l l em e s i sma ：k e s 鲫a v a i l a b l ea t t e m p tt oi m p m v ei 。d a ps e c 州t ym e c b 卸i s m sa n di r s a p p i i c a t i o n k 斜w o r d ：u ) a p 、a j l 咖y m o 惦a u m e i ：i t i c a t i o n 、s i m p l e a u m t i 6 伽、s a s l 、m a c v 合肥l ：业大学 奉 仑文经答辩委员会全体委员罐查，确认祷台合_ i j l ! ：l 、啦人学 硕j ：学位涂文质量要求。 答辩委员会签名：( ：【作单位、职称) 主席： 塑z 历熊 焰中阑科学技术人学教授( 博学) 合肥t 业人学 合肥工业大学 合肥工业大学 合肥工业大学 教授 教授 教授 制教授 合肥l ：业人学渊教授 图表目录 图2 一lu ) p 逻辑结构图3 图2 2 典型的目录结构4 表2 一l 描述人的条目表5 图2 3 目录辨6 图2 - 4u n i x 交件系统结构7 图2 5l 脯p 目录结构8 图2 6 查询范丽( 类酗一) 1 【 图2 7 查询范围( 类型二) 。l ( 图2 喝查询范围( 类型三) 一】l 图2 9 目录的复制的写操作1 4 图2 一i o 目录分区示例1 5 图2 一1 1 目录分区操作1 6 图3 一l 服务器和客户机之间的质询和响应，2 0 图3 2c r a 脯一m d 5 机制鉴剐过程图2 2 图3 3o t p 机制鉴别过程图2 3 图3 4k e r h e r o sv e r s j o n4 机制鉴别过程图2 5 图4 l 定义鉴别和商谈安全层的s s l 逻辑框架图，3 i 图4 2 客户端程序处理流程图。： 2 图4 3 服务器端程序处理流程图3 4 圈 4 基于公钥的摘要的鉴别过程图3 6 网4 5 初始鉴别过程罔，3 7 图5 一l 统一身份认证系统结构图4 4 独创性声明 本人声明所呈交的学位论文是本人在导师指导f 进行的研究if ：艚帆翻f j 研f 究成 果。据我所知除了文中特别加以标志年致澍的地力讣，沦丈i i1 、也禽j 他凡t j 缝发琵 或撰写过的研究成果，也不包含为获得 盒胆业x ! 一或其他教商帆掬的学俺或证件 而使用过的材料。与我一一同：i 一作的同志对本研究所徽的往f q 贡献均l j 住论近巾作r i 蚍确 的说明并表示谢意。 学位论文作者签字：方璞签字i i 期：2 0 0 5f i ：6f j ls 学位论文版权使用授权书 本学位论文作者完全了解盒胆；：业厶芏 有茂f 苌l = f 、使川学托沦口蚋w ：“如奴 保留并向国家有关部门或机构送交论：史的复e j 件和r 髓斑，允许论艾被奇问i 戍借阐。本人 授权佥壁王些盘堂可以将学位论文的全部或部分沦史内容编入肯关款懈库进行检 索可以采用影印、缩印或扫描等复制手段保存、m 编学位论艾。 ( 保密的学位论文在解密后适用本授权1 ) 学位论文作者签名：方璞 嚣+ # 1 0 期：2 0 u 5 年6 15 | _ _ l 学位论文作者毕业后去向 工作单位； 通讯地址： i 王 导师签名：用健 醐缈 【 箍 l l 州：2 f ) 1 年f ，j l ，i 电话： 邮编： 致谢 光阴荏苒。岁月如梭，近三年的研究生生涯行将结束，衷心地感谢我的导师 周健副教授。硕士在读期问，无论是学习l 、思想上导师给哥j 。我尤微小至 的关怀和学术上的指导与传授。这一段历程将成为我人生走向成熟的主要阶段。 周老师以渊博的知识、丰富的实践经验、严谨的治学和开朗的生活态度深深地 感染了我，激励着我克服困难、永远向前，使我在学业i ：受益匪浅。柳夕相处 中，耳满目染问，从导师的身上明自了许多待人接物与为人处世的道理，这将 会对我今后的人生之旅产生深远的影响。本篇论文也是在导师的精心指导和亲 切关怀下完成的。 同时我要特别感谢合肥工业大学网络中心的所有同仁们，尤其是辜丽川同学 和瀣j 蠡同学。在她翥了的鼓励和支持下，我有幸参与了一些深嚣始研究与实践。 他们的深刻见解、无私帮助和为人师表。给我留下了深刻印象，这必将对我以 后的人生道路产生重大影响。在此，我由衷地向他们道一声澍谢! 最后我要感谢我的父母和家人，多年来他们含辛茹苦，一直默默地支持，鼓 励和关注着我的学业，并对我的人生道路加以指弓l ，没有他们对我物质和榜抻 上的支持，我就无法完成我漫长的学习历程和生活。深深的感谢和祝福我的家 人在你们的照顾和关心下，我会不断的学习进步，成为个i l 二随、善良和坚 强的人。 v j 作者：方璞 2 0 0 e4 2 8 1 1 课题背景 第一章绪论 随着当今网络技术的全方位发展，园区网的规模越来越大。网络服务器的种 类繁多，用户数量迅速增长，随着园区网络信息的逐渐增加和网络数据吞吐的 同益扩大，对于网络数据访问的安全性和管理的效率性的要求也越来越高。通 常情况下，每个应用子系统都需要建立独立的身份认证模块，使用独立的认证 机制进行系统应用和数据访问的认证。这种管理模式和方法暴露出最典型的问 题就是效率问题，因为每个用户在每个应用子系统中都需要建立账户，所以网 络信息的查询及网络管理都变得很不方便，用户办理上网手续往往需要设置多 个用户名和口令，如e m a i l 访问，e r p 访问等，难于记忆和使用。 轻型目录访问协议l d a p 是基于t c p i p 协议的一个玎放的工业标准，它定 义了访问和修改目录信息的标准方法，统一了各种不同的目录，是提高跨平台、 跨环境的复杂网络资源管理效率的重要手段。l d a p 已经得到了广泛的支持和 应用，尤其是在外国的园区网建设中尤为明显。越来越多的生产厂商在自己的 产品中提供了对l d a p 协议的支持。越来越多的园区网基于l d a p 构架了统一 身份认证系统，提高了整个园区网信息数据管理访问的效率。 基于l d a p 的统一身份认证系统有着两个方面的问题。首先大部分园区网 在应用统一身份认证系统之后，一些原有的基于关系数据库的核心数据源和应 用子系统依然将继续存在和应用，如何将基于关系数据库的核心数据源更好地 与我们的统一身份认证系统有机的结合起来，真正地体现统一身份认证系统的 高效率性呢? 其次就是整个园区网的安全性问题，基于l d a p 的统一身份认证 系统必将导致各种资源的访闽权限的授权商度集中，一旦l d a p 服务器的安全 性出现问题，将严重地影响到整个园区网的安全性。 可以预见，基于l d a p 的园区网的安全高效的信息架构将成为园区网的热 点研究方向。 1 2 课题概述 本论文主要对l d a p 协议自身所提供的安全机制进行分析和改进；同时针 对目前园区网对l d a p 应用所存在的问题，设计方案解决统一身份认证系统中 所存在的资源整合问题和目录服务器的访问控制问题。 1 2 1l d a p 安全机制的改进设计 l d a p 协议自身的安全机制有其自身的局限性。本文基于l d a p 自身提供的 s a s l 机制，提出一种基于公钥的摘要的鉴别机制，对协议本身的安全鉴别机 制进行改进。 1 2 2l d a p 统一身份认证系统的改进性设计 大部分园区网在部署基于l d a p 的统一身份认证系统的实际应用中，基于 关系数据库的核心数据源及部分应用子系统对其的应用仍然存在，并且游离于 统一身份认证系统之外。 本文提出的解决方案通过l d a p 目录服务器实现资源访问的统一身份认证 系统；通过丌发标准登陆模块将应用子系统对关系数据源的访问整合进我们的 统一身份认证系统中。需要对关系数据源进行访问应用的子系统首先必须通过 调用标准登陆模块来访问l d a p 目录服务器，通过l d a p 目录服务器，获取动态 更新的关系数据源登陆口令，从而最终获取对关系数据源合法访问的权限。 另外，为了加强l d a p 目录服务器的安全性，设计实现m a c 绑定模块，实 现基于m a c 的访问控制。 1 3 论文基本结构 第一章为绪论，主要介绍了本课题研究的背景、国内外相关研究状况研究的 工作和意义，提出了研究的主要内容：l d a p 目录服务的研究、相关协议技术 协同工作的研究、拟解决的主要问题和预期效果。 第二章详细介绍了l d a p 轻型目录访问协议，全面介绍了l d a p 工作原理 四种模型：信息模型、命名模型、功能模型、安全模型，l d a p 的模式( s e c h e m a ) 和l d i f ，分布式技术、工作方式和目录拓扑结构。 第三章分析了l d a p 现有的安全机制及其所存在的一些安全问题。 第四章设计实现了s a s l 安全框架，并提出了一种基于公钥的摘要的鉴别机 制。 第五章设计了基于l d a p 统一身份认证系统的结构，统一了包括关系数据 源在内所有园区网资源，并设计了基于m a c 的访问控制模块，增强了目录服 务器自身的安全性。 第六章总结了本课题的主要研究成果和应用价值，同时指出了进一步的研究 方向。 2 第二章l d a p 轻型目录访问协议 l i g h t w e i g h td i r e c t o r ya c c e s sp r o t o c o l ，轻量级目录访问协议。它是基于 x 5 0 0 ， t c p i p 标准的开放式工业标准协议。l d a p具有简单灵活且功 能强大的特点。l d a p 的核心规范都在l d a p m a nr f c 有详细的定义。在园区 网范围内实现l d a p 可以让运行在几乎所有计算机平台上的所有的应用程序从 l d a p 目录中获取信息。l d a p 目录中可以存储各种类型的数据：电子邮件地 址、邮件路由信息、人力资源数据、公用密匙、联系人列表，等等。基于l d a p 的统一身份认证系统可以大大地提高我们园区网信息访问的效率以及管理的便 利性。 实际上，l d a p 得到了业界的广泛认可，就是因为它是i n t e r n e t 的标准。产 商都很愿意在产品中加入对l d a p 的支持，因为他们根本不用考虑另一端( 客 户端或服务端) 是怎么样的。l d a p 服务器可以是任何一个开发源代码或商用 的l d a p 目录服务器，因为可以用同样的协议、客户端连接软件包和查询命令 与l d a p 服务器进行交互。 2 1 l o a p 的工作原理 l d a p 是以服务器客户端方式工作的，目录服务将数据库软件的逻辑结构 分为前端( 客户端) 和后端( 服务端和仓库) ( 图2 1 ) 团一囝 围2 一ll d a p 逻辑结构图 客户端是直接面对一般开发者和用户的；服务端是用于接收和解释客户请 求，然后以客户的身份完成请求，并将完成结果返回给用户；仓库则是真正存 储信息的地方。在l d a p 中，服务端和仓库之问的连接采用了o d b c 机制，所 以可以使用任何支持和具有o d b c 驱动程序的数据库软件，简单的可以是l i n u x 系统中自带的g d b m 或a l p h a 中的n d b m 等数据库管理系统；也可以选用在 功能和性能上更优越的o r a c l e 和s y b a s e 等系统，这样，可以提高系统的可移 植性。 现在已经有了许多基于l d a p 协议丌发出的资源管理系统和工具，如 o p e n 】d a p 、n d s ( n o v e l ld i r e c t o r ys e r v i c e ) 和a d s ( a c t i v ed i r e c t o r ys e r v i c e ) 等。它们已经逐渐的被使用在了各个需要目录服务的领域，并且应用的趋势在 增强。 o p e n l d a p 是m i c h j g a n 大学发布的免费软件，实现了l d a pv 2 的功能， 并部分支持l d a pv 3 。它提供原代码，可以在大多数的u n i x 和l i n u x 系统中安 装。丌发者能够直接利用它所附带的些s h e l l 工具歹i ：发简单的应用。这些 s h e l l 包括了查询( 1 d a p s e a r c h ) 、修改( 1 d a p m o d i f y ) 、删除( 1 d a p d e l e t e ) 、增 加( 1 d a p a d d ) 等，关于他们的使用方法可以参照帮助文件：也可以调用它提供 的程序接口( a p i ) 来丌发应用，接口包括了查询( 1 d a ps e a r c h ) 、修改 ( 1 d a pm o d i f y ) 、增加( 1 d a pa d d ) 、删除( i d a pd e l e t e ) 等。从模版的定制到资 源信息的组织和输入都可以按照用户的要求进行，丌发出满足你要求的应用软 件 2 2l d a p 模型1 j i l d a p 有四种模型：信息模型、命名模型、功能模型、安全模型。 2 2 1信息模型：描述l d a p 的信息表示方式 l d a p 信息模型定义能够在目录中存储的数据类型和基本的信息单位。 目录的基本信息单元是条目( e n t r y ) 一一即关于对象的信息集合。通常，条目 中的信息说明真实世界的对象，比如一个人。如果查看一个典型的目录，就会 发现数以千计的条目与人、部门、服务器、打印机等组织中的真实对象相符合。 图2 2 表示了典型的目录结构的一部分，其中的对象与组织中的真实世界对象 相符。 图2 2 典型的目录结构 4 霉汕s p l - 锉i 条目由属性集合组成，每个属性说明对象的一个特征。每个属性有一个类型 和一个或多个值。属性类型说明包含在此属性中的信息的类型，而值包含实际 的数据。例如，表2 一l 表示的是描述人的一个条目，具有人的全名、姓、电话 号码、电子邮件地址等属性。 表2 一l 描述人的条目表 属性类型属性值 c n ： f a n gp u s n f a n g t e l e p h o n e n u m b e r 0 5 5 1 2 9 0 11 7 8 m a i l x i a o x i n h f h t ，e d u c n 用l d i f 文本格式表示的目录条目，是一种用文本格式表示目录的标准方 式，可以用来从目录服务器导出数据或者向目录服务器导入数据。l d i f 文件 只包含a s c i i 文本，从而允许通过电子邮件系统进行传输。因为它基于文本并 且易读，所以使用l d i f 代表目录条且。下面是一个用l d i f 表示的目录条目： d n ：u i d = b je n s e n ，d c = a i r i u s ，d c = c o m o b j e c t c i a s s ：t o p o b j e c t c l a s s ：p e r s o n o b j e c t c l a s s ：o r g a n i z a t i o n a l p e r s o n o b je c t c l a s s ：i n e t o r g p e r s o n c n ：b a r b a r aj e n s e n c n ：b a b sj e n s e n s n ：j e n s e n m a i l ：b j e n s e n a 试u s ，c o m t e l e p h o n e n u m b e r ：+ l4 0 85 5 51 2 1 2 d e s c r i p t i o n ：a b i gs a i l i n gf 矗n 一个l d i f 条目由多行组成。第一行以d n ：开始，后跟条目的分辨名。随后 是条目的属性，每个属性一行。每个属性值前面是属性类型和冒号( ：) 。属性 值的顺序无关紧要，但是为了使它更容易读，一般把o b j e c t c l a s s 属性放在第一 个，并且把相同的属性类型的值放在一起。 有一种格式更复杂的l d i f ，用来完成对目录条目的修改。 所有条目都有一个必须属性集合和一个可选属性集合。例如一个描述人的条 目必须有一个c n ( 通用名) 属性和一个s n ( 姓) 属性。人的条目中有许多其他 属性是可选的。而不是必须的。任何属性，如果没有明显说明是必须属性或可 选属性，应该被禁止。 所有关于必须属性和可选属性的信息集合统称为模式( s c h e m a ) ，目录模式对 存储在目录中的信息的类型和值保持控制和维护。 总之。l d a p 信息模型描述条目。条目是目录的基本信息单元。条目由属 性组成，属性山一个属性类型和一个或多个属性值组成。属性的约束用来限制 作为属性值的数据的类型和长度。目录模式规定了一个属性是必须属性还是可 选属性。 2 2 ，2 命名模型：描述l d a p 中的数据如何组织4 l d a p 中的命名模型，也即l d a p 中的条目定位方式。在l d a p 中每个条目 均有自己的d n 和r d n 。d n 是该条目在整个树中的唯一名称标识，r d n 是条 目在父节点下的唯一名称标识，如同文件系统中，带路径的文件名就是d n ， 文件名就是r d n 。 l d a p 命名模型定义用户如何组织和引用数据。l d a p 命名模型提供的灵 活性，使用户可以用一种易于管理的方式把条目放入目录。例如，可以创建一 个条目，其中保存描述组织中人的信息的所有条目。或者选择与组织结构相符 的方式。 l d a p 模型指定条目以倒树( 根在上) 的形式排列，如图2 3 ： 图2 3 目录树 u n i x 文件系统与目录结构非常相似( w i n d o w s 的目录结构也差不多) 。 这样的文件系统由一系列目录和文件组成每个目录由零个或多个文件或目录组 成。图2 4 是典型的u n i x 文件系统的一部分： 图2 4u n i x 文件系统结构 u n i x 文件系统和l d a p 目录之间有三点不同： 第一是l d a p 模型没有真正的根条目。文件系统有一个根目录，它是所有 文件和目录的祖先。另一方面，在l d a p 目录中，根条目是概念性的一一不作 为一个可以存放数据的条目存在。有一个称为r o o t d s e 的条目，包含服务器相 关的信息，但不是一个通常的目录条目。 第二是目录的每个节点都包含数据，任何节点都可能作为一个容器，即 l d a p 条目允许在他的下面有子节点。文件系统的每个节点或者是文件或者是 目录，但不能同时是二者。在文件系统中，只有目录可以有子节点，而且只有 文件可以包含数据。图2 5 的目录树表示了此概念，注意条目d c 。a i r i u s ， d c = c o m ，o u = p e o p l e ，和o u = d e v i c e s 都包含数据( 属性) ，也包含子节点。 文件系统和l d a p 目录的第三个不同是树中的独立节点如何命名。l d a p 名称与文件系统名称的方向是相反的。图示这一点。让我们比较上图和下图中 的加阴影的节点。上图中，加阴影的节点是完整名称是u s r ，b i n g r e p 的文件。注 意，如果从左向右读文件名，你是从树的顶端( ) 到命名的文件。与之相对的 是下图中加阴影的目录条目的名称。它的名称是u j d = b i e n s e n ，o u = p e o p 】e ， d c = a i r i u s ，d c = c o m 。注意，如果从左向右读，就是从命名的条目逆向到达树的顶 端。 图2 5l d a p 目录结构 l d a p 支持目录条目的层次排列，但并不是强制某种类型的层次。正如可 以按照用户喜欢和方便的方式自由地排列文件，用户也可以自由地构造希望的 目录层次。 这种自由的个例外是当l d a p 目录服务实际是一个x ，5 0 0 服务的前端。 x 5 0 0 命名模型比l d a p 严格得多。在x 5 0 01 9 9 3 标准中，目录结构规则 ( d i r e c t o r ys t r u c t u r er u l e s ) 限定你能创建的层次类型。标准通过指定什么类型 的对象类能作一个条目的直接子条目。比如，在x 5 0 0 模型中，只有描述国家 ( c o u n t r i e s ) 、地点( 1 0 c a l i t i e s ) 和组织( o r g a n i z a t i o n s ) 的条目才能成为目录树 的根。l d a p 命名模型不对树结构作任何限定，任何类型的条目可被放置在树 的任何位置。 除指定如何排列目录条目的层次结构，l d a p 命名模型还描述了如何在指 向目录中的独立条目。 命名模型是为目录中的每个条目给出一个唯一的名称。在l d a p 中，使用 分辨名( d n ) 来唯一标识条类似于文件系统的路径名，l d a p 条目的名称是其父 条目到根的独立名称连接排列而成。比如，看看上图中的目录树。加阴影的条 目的名称是u i d 却i e n s e n ，o u = p e o p l e ，d c = a i r i u s ，d c = c o m 。从左向右读条目名称， 你能跟踪到从条目本身到目录树根的路径。名称的各独立部分以逗号分隔。逗 号后的空格是可选的，以下两个分辨名是等价的： u i d = b _ e n s e n ，o u = p e o p l e ，d c = a i r j u s ，d c = c o m u j d = b j e n s e n ，o u = p e o p l e ，d c = a ir i u s ，d c = c o m 2 2 ，3 功能模型：描述l d p 中的数据操作访问 l d a p 功能模型说明了能够使用l d a p 协议对目录执行的操作。 l d a p 功能模型包含一个可以分成三组的操作集合。查询类操作允许用户 搜索目录并取回目录数掘。更新类操作允许用户对目录条目进行添加、删除和 修改。认证和控制类操作允许客户端向目录证明自己的身份，并在几个方面对 会话进行控制。 除了这三类主要的操作，l d a p v 3 协议通过l d a p 扩展操作定义了添加新 操作的框架。扩展操作以一种有序豹方式对协议进行扩展来满足新的市场需要。 r f c l 8 2 3l d a p 应用程序接口定义了l d a p 的ca p i 接口。i e f t 组 织正在制定l d a p 的j a 、，a a p i 接口标准，最新的草案是2 0 0 2 年6 月公布的 d r a f t - i e t n d a p e x t l d a p - j a v a a p i 1 8 t x t ，即草案第1 8 稿。 在l d a p 中共有四类l o 种操作：查询类操作，如搜索、比较：更新类操作。 如添加条目、删除条目、修改条目、修改条目名；认证类操作，如绑定、解绑 定：其它操作，如放弃和扩展操作。除了扩展操作，另外9 种是l d a p 的标准 操作：扩展操作是l d a p 中为了增加新的功能，提供的一种标准的扩展框架， 当前已经成为l d a p 标准的扩展操作，有修改密码和s t a r t t l s 扩展，在新的 r f c 标准和草案中正在增加一些新的扩展操作，不同的l d a p 厂商也均定义了 自己的扩展操作。 2 2 3 1l d a p 查询类操作”1 查询类操作允许用户搜索目录并取回目录数据，有两个查询操作：查询和比 较。 查询操作 l d a p 查询操作用来在目录中搜索条目，并取出单个目录条目。l d a p 没 有读操作，当需要读取某条目时，必须使用一种特殊格式的查询操作，其中限 定了需要取回的条目内容。 i n tl d a p s e a f c h ( l d a p 七l d c h a r 幸b a s e i n ts c o p e ， c h a r f i l t e l c h a r + a t t r s 【】， i n ta t t r s o n l y ) ； l d a p 查询操作需要6 个参数。 第一个参数是l d a p 连接的旬柄。 第二个参数是查询的基对象，这个参数用一个d n 来表示，它表示需要查 9 询的目录( 子) 树的根。 第三个参数是范围。范围有三个类型。一是b a s e ，是指要限定查询条件为 基对象。这通常用来在目录中找一个特殊的条目。二是o n e l e v e l ，是指用户 想要查询的只是基对象直接下级的条目。三是s u b t r e e ，是指用户想要查询 从基对象以任何路径到树叶的整个子树。图2 6 至图2 8 描述了查询范围的 三种类型： 图2 6 查询范围( 类型一) 图2 7 壳啕范同( 类m 二) 1 0 图2 8 查询范围( 类型三) 第四个查询参数是查询过滤条件。这是一个描述返回条目类型的表达式。过 滤表达式在l d a p 查询操作中使用非常灵活。参见本文的“第七章l d a p 查 询过滤”部分。第五个查询参数是查询结果返回的属性列表。用户可以指定所 有的属性都要被返回，也可要求返回条目的某几个属性。 第六个查询参数是a t t r s o n l y 。这是一个布尔参数，如果它被设置为真的话， 服务器将只把属性类型传送给客户端，而不传送属性值。当客户端只想知道条 目所包含的属性而不想知道实际的值时，这个参数将会用到。如果这个参数被 设置为假，属性类型和属性值都将被返回。 比较操作 另一种查询类操作是比较操作，它用于检查某条目是否包含某个属性值。如 果条目有此值，则比较结果为真，否则，比较结果为假。 看上去，比较操作是重复的。毕竟。如果用户想要确定一个特殊条目是否包 含一个特殊的属性值，用户仅需执行一个查询基础等于指定目录的d n ，一个 基础范围，一个想要的测试的过滤表示的查询。如果有条目被返回，则测试成 功，否则，测试失败。 存在比较操作是由于历史和与l d a p 起源于x 5 0 0 有关。在比较和查询操 作行为中仅仅有一点不同。如果企图在一个属性上进行比较，但这个属性并不 存在于目录中，比较操作将为客户端返回一个特殊的指示一一属性不存在。而 查询操作则简单的不返回条目。区别”条目有属性但是没有匹配值”和“条目 根本没有属性”的能力在某些情况下会方便一些。比较操作的另一优势是服务 器和客户机间交换的数掘量更小。 2 2 3 2 l d a p 更新类操作 l d a p 更新类操作包括四种操作：添加、删除、修改和重命名( 即修改r d n ) ， 这四种操作定义了在目录中操作数据的方式。 添加操作 i n tl a p a d d ( l d a p + l d ，c h a f + d n ，l d a p m o d + a t t r s 口) ； 添加操作创建新的目录条目，它的后两个参数：要创建的条目的分辨名d n 和新条目中包含的属性，属性值对的集合。为了使添加操作成功，必须满足以下 四个前提条件： 1 目的父条目必须已经存在。 2 在同名( 分辨名) 的条目 3 目必须与有效的模式( s c h e m a ) 相一致。 4 控制必须允许执行此操作。 删除操作 i n tl d a pd e l e t e ( l d a p + l d ，c h a r + d n ) ； 删除操作只需指明要删除的条目d n 。只能删除目录的叶节点，即不支持删 除子树。删除一经进行，无法恢复。为了使删除操作成功，必须满足以下两个 前提条件： 1 目的父条目必须已经存在。 2 控制必须允许执行此操作。 修改操作 i n tl d a p m o d i f y ( l d a p 牛1 d ，c h a r + d n ，l d a p m o d 年m o d s 】) ； 修改操作除指明操作的条目d n 外，还包括l d a p m o d 结构数组。其中每 个数组元素是一个修改动作，记录修改的操作类型和操作数据。修改操作功能 强大，能完成对条目的属性类型和属性值的修改操作。 重命名( 修改r d n ) 操作 重命名，或者修改r d n 操作，用于为条目重命名。 i n tl d a p m o d r d n ( l d a p + l d c h a r + d n c h a r n e 、r d n i n td e l e t e o l d r d n ) ； 它有四个参数：l d a p 连接的句柄、要重命名的条目、条目新的r d n 和删 除原r d n 标志( d e l e t e o l d r d n ) 。为了使修改r d n 操作成功，必须满足如下 前提条件： l 。的条目必须已经存在。 2 的新名称不能已经被其他条目使用。 3 控制必须允许执行此操作。 2 2 。4 安全模型：描述l d a p 中的安全机制 l d a p 中的安全模型主要通过身份认证、通讯安全和访问控制来实现。 身份认证：在l d a p 中提供三种认证机制，即匿名、基本认证和s a s l ( s i m p l e a u t h e n t i c a t i o na n ds e c u r el a y e r ) 认证。匿名认证即不对用户进行认证， 该方法仅对完全公开的方式适用；基本认证均是通过用户名和密码进行身份识 别，又分为简单密码和摘要密码认证：s a s l 认证即l d a p 提供的在s s l 和 t l s 安全通道基础上进行的身份认证，包括数字证书的认证。 通讯安全：在l d a p 中提供了基于s s l ，t l s 的通讯安全保障。s s l ，t l s 是 基于p k i 信息安全技术，是目前i n t e r n e t 上广泛采用的安全服务。l d a p 通过 s t a r t t l s 方式启动t l s 服务，可以提供通讯中的数据保密性、完整性保护；通 过强制客户端证书认证的t l s 服务，同时可以实现对客户端身份和服务器端身 份的双向验证。 访问控制：虽然l d a p 目前并无访问控制的标准，但从一些草案中或是事 实上l d a p 产品的访问控制情况，我们不难看出：l d a p 访闯控制异常的灵活 和丰富，在l d a p 中是基于访问控制策略语句来实现访问控制的，这不同于现 有的关系型数据库系统和应用系统，它是通过基于访问控制列表来实现的，无 论是基于组模式或角色模式，都摆脱不了这种限制。 在使用关系型数据库系统开发应用时。往往是通过几个固定的数据库用户名 访问数据库。对于应用系统本身的访问控制，通常是需要建立专门的用户表， 在应用系统内开发针对不同用户的访问控制授权代码，这样一旦访问控制策略 变更时，往往需要代码进行变更。总之一句话，关系型数据库的应用中用户数 据管理和数据库访问标识是分离的，复杂的数据访问控制需要通过应用来实现。 而对于l d a p ，用户数据管理和访问标识是一体的，应用不需要关心访问控 制的实现。这是由于在l d a p 中的访问控制语句是基于策略语句来实现的，无 论是访问控制的数据对象，还是访问控制的主体对象，均是与这些对象在树中 的位置和对象本身的数据特征相关。 在l d a p 中，可以把整个目录、目录的子树、制定条目、特定条目属性集 或符合某过滤条件的条目作为控制对象进行授权：可以把特定用户、属于特定 组或所有目录用户作为授权主体进行授权：最后，还可以定义对特定位置( 例 如i p 地址或d n s 名称) 的访问权。 2 3l d p 分布式技术：复制和分区7 l d a p 目录服务器可以有蕊种：集中式和分布式。在集中式目录服务中 l d a p 服务器独立提供目录服务，当接收到客户端的目录请求时，它只对本地 目录进行操作，不用其它目录服务器交互。分布式的目录系统中存在多个l d a p 目录服务器，服务器之间通过协作为客户提供一个全局的目录服务系统，它们 之间的关系有两种：复制和分区。 2 3 1 目录的复制 目录的复制就是l d a p 服务器在简单或基于安全证书的安全认证的基础上 复制一部分或所有的数据到其它l d a p 服务器上。通过目录的复制，可以避免 由于一个l d a p 服务器的硬件或软件的故障而导致整个目录服务的不可用。 在目录的复制中有两种类型的l d a p 服务器；铸服务器( m a s t e r ) 和从服务 器( s l a v e ) ，主服务器担负同步各个l d a p 服务器的任务，从服务器上保存了 主服务器上的所有或一部分数据。 目前在l d a p 标准中并没有提供对目录复制的支持，需要由生产厂商或用 户自己实现。现在几乎所有的l d a p 服务器中都提供了目录复制的功能，但由 于缺乏标准，实现的方式也各不相同，下图显示了系统中采用的0 p e n l d a p 目 录服务中目录复制的解决方案。 图2 9 目最的复制的写操作 o p e n l d 印的复制实现很简单，它由一个主服务器和多个从服务器组成，在 主服务器上除了运行普通的l d a p 服务进程s l a p d 之外，还运行s l u r p d 的守候 进程与从服务器通信。任意一个l d a p 服务器( 主、从) 都可以进行读目录树 的操作，当用户进彳亍写操作时，如果是从服务器上，步骤如下： t l d a p 客户向从服务器提交修改目录项请求。 2 从服务器的l d a p 服务进程返回一个指向主服务器的指针。 3 客户向主服务器提交修改请求。 4 主服务器进行修改操作，将操作记录到复制日志中，返回成功代码给客 户。 5 主服务器的s l u r p d 进程发现在同志中增加了一条修改记录，读出修改内 容，传递给从服务器的l d a p 服务进程，从服务器进行修改操作，实 现主从服务器的同步。 2 3 2 目录的分区 舀录兹复制实现了数据的冗余往。但它鼹写操作仍然集中在一个主服务器 上。在大型网络环境下，主服务器将成为操作瓶颈，并且如果主从服务器之间 是通过w a n 链路连接的话，主从服务器的同步操作会消耗宝贵的w a n 链路带 宽。 目录复制的这些缺陷可以用目录的分区来解决。目录分区也是在多个l d a p 服务器上保存数据，与复制不同的是各个目录服务器中保存的是目录树中的不 同部分，也就是说服务器内保存的内容没有重叠。 下图显示了个目录分区的例子，在图中，整个目录树在根下被分为两个分 区d e = z o n e l 和d e = z o n e 2 。z o n e l 子树以及它下面所有的目录项都保存在s e r v e r l 中，z o n e 2 别保存在s e r v e r 2 中，在s e r v e r l 中并没有保存z o n e 2 子树下的数据， 而仅仅保存了一个指向z o n e 2 的指针r e f e r r a 】。在s e r v e r 2 中保存了指向根节点的 r e f e r 屹i 厂、 厂、 1 一 1 -l 1