AD与LDAP对接设计.doc

功能设计文档 V1.0AD与LDAP对接设计文档广东三盟信息科技有限公司文档密级：普通文档状态： 草案 正式发布 正在修订序号版本变更描述修订人审核/日期批准/日期1、1.0盘建能三盟产品研发部 第 1 页三盟云管理平台需求设计文档 V3.0第1章 引言1.1 编写目的 用于三盟云管理平台与认证系统AD、LDAP对接的功能开发条目。1.2 名词解析。第2章 需求概述2.1 功能描述云管理平台需要支持对接AD、LDAP协议认证。在搭建好云管理平台后，可以将用户认证系统（AD、LDAP）中已有的认证信息同步至云管理平台中，用户可以使用认证系统中原有的帐号信息登录云管理平台。第3章 AD/LDAP同步设计一相关文件：1. 接口控制类:AuthenticationPlatformConfigController.java2. 业务处理类：AuthenticationPlatformConfigService.java3. 配置实体类：AuthenticationPlatformConfig.java4. 配置页面：authenticationPlatformConfig .jsp5. 页面js: authenticationPlatformConfig.js二功能流程：3.1 AD域认证平台配置6. AD域认证平台对接配置，设置同步内容以及自动同步时间。3.1.1 AD平台配置信息及说明目前云平台只支持对接一个AD认证平台；1. 功能说明初次开启AD域认证，完成输入后才可以进入高级配置中进行AD域组织的选择以及可以做完成，立即同步等操作，不进行高级配置直接完成，将同步所有组织结构。a. 高级配置，后台验证输入的AD配置信息，进行AD域登录验证b. 验证成功，查询AD域组织架构以及查找已经同步到本地的组织架构，以树形式显示，已经同步到本地的组织勾选，未同步的不勾选。c. 完成选择之后后台自动同步更新。 d. 直接完成，后台自动验证认证，并同步所有组织e. 立即同步为手动同步，更新内容内容为已经同步到云平台的组织结构信息。修改AD域认证，根据对接平台ID与类型查询到AD域平台信息，可对所有内容进行修改（这里可能会存在AD迁移的一些问题），可对所有信息进行更改编辑，修改IP地址或者修改服务器DN，会视为用户迁移了域服务器或者目录，将会将上次（原始配置服务器）同步的组织在本地全部删除，并把已同步的用户全部视为已删除。3.1.1.1 操作权限拥有系统对接中对AD的操作权限。3.1.1.2 假定和约束1. 拥有AD认证平台的正确认证信息。2. 否开启（AD域状态）status（OFF,ON）;当状态为关闭OFF时，不能对配置进行任何操作，系统中其他使用配置的都将不执行，域下的用户将不能登录云平台；3. 启用账号前缀后缀或者账号前缀后缀时，账号前缀后缀不能为空。 4. 自动同步设置（每天的某个时间点）sync_time，自动同步时间,只保存时间（23:59:00），不保存日期，表示每天到这个点就自动同步3.1.1.3 界面说明入口系统管理系统对接AD配置配置AD域信息：1. 是否开启（AD域状态）status; 2. 服务器地址（IP地址）serverIpAddress3. 服务DN（DN,格式为：dc=test,dc=com）serverDn，相当于域控制器的根目录，或者说需要同步的域控制器目录；4. 服务器登录账号 serverAcount5. 服务器登录密码 serverAcountPwd6. 账号前缀（accountPrefix）后缀（accountPostfix）7. 自动同步设置（每天的某个时间点）syncTime8. 立即同步按钮，在初次配置信息时不可用，或更改高级配置后不可用；只有在配置不做任何修改时可用。3.1.1.4 涉及接口1. 查询AD配置信息接口根据平台类型接口：/authenticationPlateformConfig/info/1请求方式：GET输入参数： 1:认证平台类型（AD,LDAP）输出参数：2. 查询组织信息，返回域全部组织以及同步到本地（勾选）的组织接口：/authenticationPlateformConfig/getAuthenticationPlateformOrgs请求方式：POST输入参数：将配置信息作为参数传递id:25,serverIpAddress:192.168.20.171,serverAcount:administrator,serverAcountPwd:2wsxWSX,syncTime:23:00:00,accountPrefix:,accountPostfix:,serverDn:dc=luo,dc=com,platformDepartments:id:112,deptCode:5828,authenticationPlatformConfigType:AD,deptState:NORMAL,id:114,deptCode:53235,authenticationPlatformConfigType:AD,deptState:NORMAL,status:ON,platformType:AD输出参数:一个组织树结构 datas : nodeName : 系统, nodeType : ROOT, nodeValue : , nodeCode : null, virCenterCode : , checked : true, children : nodeName : AD, nodeType : DEPEARTMENT_AD_ROOT, nodeValue : , nodeCode : D102, virCenterCode : , checked : true, children : nodeName : View Groups, nodeType : DEPEARTMENT_AD, nodeValue : null, nodeCode : 12921, virCenterCode : , checked : false, show : true , nodeName : Domain Controllers, nodeType : DEPEARTMENT_AD, nodeValue : 112, nodeCode : 5828, virCenterCode : , checked : true, children : nodeName : liuchang, nodeType : DEPEARTMENT_AD, nodeValue : 114, nodeCode : 53235, virCenterCode : , checked : true, children : , show : true , show : true , show : true , show : true , state : suc, msg : 执行成功3. 保存AD配置信息接口接口：/ authenticationPlateformConfig请求方式：POST输入参数：id:25,serverIpAddress:192.168.20.171,serverAcount:administrator,serverAcountPwd:2wsxWSX,syncTime:23:00:00,accountPrefix:,accountPostfix:,serverDn:dc=luo,dc=com,platformDepartments:id:112,deptCode:5828,authenticationPlatformConfigType:AD,deptState:NORMAL,id:114,deptCode:53235,authenticationPlatformConfigType:AD,deptState:NORMAL,status:ON,platformType:AD输出参数： state : suc, msg : 执行成功4. 同步接口同步接口执行只会同步已经从域上同步到本地的组织及组织用户接口：/ authenticationPlateformConfig/sync/1/2请求方式：GET输入参数：1:认证平台类型（AD,LDAP），2:配置ID输出参数： state : suc, msg : 执行成功.3.1.2 同步AD平台组织及用户新增配置时同步说明：1. 编辑AD服务器配置完成，点击完成2. 后台验证登录服务器，默认情况下，如果不进行高级配置，那么直接将域控制器上所有组织结构及组织下所有用户同步到云平台；3. 当选择高级配置，显示AD域控制器所有组织机构，以树形式显示，默认全选。4. 完成筛选后，点击添加，窗口关闭之后，此时并没有进行内容同步。5. 回到配置界面，点击保存（立即同步按钮在初次配置不可用），将触发同步接口，同步之前将会对服务器再一次进行登录验证，完成后对内容进行同步更新到云平台，完成后保存配置信息到数据库；修改配置时同步说明：1. 修改AD服务器配置完成，点击完成2. 后台验证登录服务器，查询AD域所有组织与本地组织比对，当发现已经到云平台的组织在服务器上已被删除，则将本地的组织删除，组织下所有用户将被标识为已删除；当本地没有的组织，但服务器上存在，那么在本地新增，并同步组织下的所有用户到本地；3. 当选择高级配置，后台查询服务器上所有组织，如果服务器上有被删除的组织，将把被删除的本地组织添加到组织树的根目录，标识为服务器已删除，同步后将从本地删除，并会将组织下的用户标识为已删除；4. 完成选择后，回到配置界面，点击完成，完成是将会对服务器再一次进行登录校验，成功后将进行信息同步；5. 如果修改了服务器IP地址或者服务器DN那么以前服务器已经同步到本地的组织和用户将被删除。自动定时同步说明：1. 后台的定时任务，每小时执行一次2. 当发现AD域配置状态是开启时，查询AD域信息，根据AD域配置信息，找到当前认证平台已经同步到云平台的组织时，根据组织查询AD域服务器对应的组织结构，把最新的信息同步到本地，包括组织下的用户，保证同步到云平台的信息是正确的；3. 当发现组织在服务器上被删除时，把本地组织直接删除，对组织下的用户进行标识为已删除。注：1. 同步用户时，默认用户角色为用户；2. 同步用户信息（帐号、名称、组织、邮箱、手机）3. 同步用户到云平台时，将把信息添加到cloud_user数据库表中，is_ldap_and_ad值为，如果是同步AD用户，那么该字段的值为：AD,如果是同步LDAP用户，那么该字段值为：LDAP.4. 为了保证用户的唯一性，添加用户uid，每次同步用户，都将根据用户uid进行比较。3.1.2.1 操作权限1. 拥有配置AD域配置的权限2. 拥有同步AD域的权限3.1.2.2 假定和约束1. 正确的服务器配置2. AD域配置处于开启状态3. 同步组织时，选中需要同步的组织，在同步的同时，将会同步该组织的上级，直到更目录，不同步当前组织的下级；4. 同步用户时，当选中一个组织同步时，只会同步当前选中的这个组织下的用户，不会同步该组织下级组织的用户3.1.2.3 界面说明高级配置：入口系统管理系统对接AD配置高级配置1. 顶节点可作用为全选，当选中时，组织树所有节点选中，否则全部取消选中2. 树形显示AD域组织管理，节点前复选框，已同步到云平台的组织节点选中，未同步的不选中3. 添加，将所有选中的节点内容临时保存，关闭窗口4. 点击保存，将验