基于LDAP統(tǒng)一認(rèn)證的校園網(wǎng)盤(pán)系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)

楊洪雪，詹曉東

（北京電子科技職業(yè)學(xué)院 電信工程學(xué)院，北京 100029）

互聯(lián)網(wǎng)的飛速發(fā)展對(duì)網(wǎng)絡(luò)服務(wù)器的性能提出了新的挑戰(zhàn)。校園網(wǎng)服務(wù)器因?yàn)樵L問(wèn)次數(shù)爆炸式的增長(zhǎng)而不堪重負(fù)，不能及時(shí)處理用戶的請(qǐng)求，導(dǎo)致用戶長(zhǎng)時(shí)間地等待，大大降低了校園網(wǎng)的服務(wù)質(zhì)量；校園網(wǎng)絡(luò)機(jī)房中頻繁地使用U盤(pán)，致使病毒泛濫，給網(wǎng)絡(luò)和機(jī)房管理帶來(lái)極大困難。基于此，本文提出和設(shè)計(jì)了LDAP（lightweight directory access protocol，輕量級(jí)目錄訪問(wèn)協(xié)議）統(tǒng)一身份認(rèn)證的校園網(wǎng)盤(pán)系統(tǒng)（CNHS），將多臺(tái)服務(wù)器集中起來(lái)進(jìn)行的高速在線存儲(chǔ)服務(wù)，其實(shí)質(zhì)是利用多臺(tái)計(jì)算機(jī)進(jìn)行并行計(jì)算從而獲得較高的計(jì)算處理效率，并把多臺(tái)服務(wù)器硬盤(pán)或硬盤(pán)陣列中的容量分配給注冊(cè)用戶使用，為用戶提供文件的存儲(chǔ)、訪問(wèn)、備份、共享等管理功能。無(wú)論在任何地方，只要能連接到因特網(wǎng)，用戶就可以像使用本地存儲(chǔ)設(shè)備一樣管理網(wǎng)盤(pán)系統(tǒng)。實(shí)際應(yīng)用證明該系統(tǒng)具有良好的訪問(wèn)速度，具有安全性和擴(kuò)展性。

1 LDAP協(xié)議

LDAP是一種標(biāo)準(zhǔn)的目錄服務(wù)技術(shù)［1］，它基于X.500標(biāo)準(zhǔn)，可以根據(jù)應(yīng)用的需要進(jìn)行定制和擴(kuò)展。LDAP對(duì)Internet訪問(wèn)支持很好，對(duì)瀏覽和查找目錄及讀取內(nèi)容進(jìn)行了專門(mén)的優(yōu)化，使得讀取的速度比一般的關(guān)系型數(shù)據(jù)庫(kù)要快。LDAP協(xié)議規(guī)定了信息的形式和特性、信息存放的索引和組織方式、分步式的操作模型等內(nèi)容。LDAP存儲(chǔ)模型包括4個(gè)部分：

（1）LDAP信息模型，指使用LDAP模式腳本定義對(duì)象類和屬性；

（2）LDAP命名模型，說(shuō)明如何在目錄樹(shù)中組織條目的規(guī)則；

（3）LDAP功能模型，指提供訪問(wèn)目錄信息的方法；

（4）LDAP安全模型，考慮的是數(shù)據(jù)安全性問(wèn)題。

LDAP目錄中可以存放各種不同類型的數(shù)據(jù)，如簡(jiǎn)單文本、圖片信息、URL、二進(jìn)制數(shù)據(jù)及證書(shū)等。

LDAP協(xié)議已經(jīng)成為一個(gè)被廣泛支持的用于統(tǒng)一身份認(rèn)證跨平臺(tái)和標(biāo)準(zhǔn)的協(xié)議，其易于集成不同應(yīng)用系統(tǒng)的特點(diǎn)，成為支持網(wǎng)絡(luò)系統(tǒng)的重要底層基礎(chǔ)技術(shù)之一。

2 CNHS系統(tǒng)設(shè)計(jì)

2.1 系統(tǒng)架構(gòu)設(shè)計(jì)

CNHS系統(tǒng)的總體設(shè)計(jì)架構(gòu)遵循的設(shè)計(jì)原則：

（1）標(biāo)準(zhǔn)化。遵循文件分級(jí)結(jié)構(gòu)標(biāo)準(zhǔn)FHS（file hierarchy standard），遵循 Linux標(biāo)準(zhǔn)基礎(chǔ) LSB4（linux standard base）；

（2）自動(dòng)化。客戶端通過(guò)腳本自動(dòng)加入主域服務(wù)器；

（3）安全性。考慮主控域控制器的安全性，LDAP目錄服務(wù)器的訪問(wèn)控制信息；

（4）集中化。賬號(hào)和安全控制管理做到集中化，主域控制器提供共享服務(wù)器的統(tǒng)一接口；

（5）擴(kuò)展性。當(dāng)用戶數(shù)目增加時(shí)，可以動(dòng)態(tài)增加共享服務(wù)器，對(duì)現(xiàn)有的結(jié)構(gòu)沒(méi)有任何影響。

根據(jù)系統(tǒng)的設(shè)計(jì)原則設(shè)計(jì)出CNHS系統(tǒng)的總體架構(gòu)（見(jiàn)圖1），系統(tǒng)由主控域管理服務(wù)器、LDAP目錄服務(wù)器、校園網(wǎng)盤(pán)空間服務(wù)器群組成。

圖1 CNHS系統(tǒng)的總體架構(gòu)圖

主域控制器的作用是組成活動(dòng)目錄，承擔(dān)域中的各種管理角色及管理任務(wù)，向域中的所有用戶提供資源共享服務(wù)，并以主域控制器為安全邊界維持活動(dòng)目錄的安全。學(xué)生賬號(hào)、計(jì)算機(jī)賬號(hào)信息通過(guò)LDAP目錄服務(wù)器查詢獲得。目錄服務(wù)器包含了由這個(gè)域的賬戶、密碼、屬于這個(gè)域的計(jì)算機(jī)等信息構(gòu)成的數(shù)據(jù)庫(kù)。

學(xué)生從任意客戶端成功登錄到以主域控制器為入口的Samba服務(wù)器群后，系統(tǒng)根據(jù)賬號(hào)信息共享自動(dòng)掛裝的驅(qū)動(dòng)器，該驅(qū)動(dòng)器自動(dòng)映射為本地磁盤(pán)。每個(gè)學(xué)生都有一個(gè)屬于自己的驅(qū)動(dòng)器，可以存放和讀取文件，學(xué)生間的共享信息獨(dú)立、互不干擾。

2.2 系統(tǒng)身份認(rèn)證流程分析

CNHS系統(tǒng)的主要工作流程：

（1）學(xué)生從任意 WindowXP客戶端使用自己的賬號(hào)信息登錄，通過(guò)LDAP目錄服務(wù)器進(jìn)行驗(yàn)證，如果登錄賬號(hào)和密碼匹配，則允許登錄，否則，拒絕登錄；

（2）學(xué)生登錄成功后，從LDAP目錄服務(wù)器取得相應(yīng)的域信息；

（3）主控域服務(wù)器驗(yàn)證學(xué)生登錄的Window客戶端是否屬于該域，如果Window客戶端屬于該域，系統(tǒng)會(huì)結(jié)合LDAP目錄服務(wù)器上取得的共享目錄信息，從Samba服務(wù)器群中定位某臺(tái)Samba服務(wù)器，學(xué)生可訪問(wèn)這臺(tái)Samba服務(wù)器的共享目錄同時(shí)加載自己的配置文件信息，并使用自己的網(wǎng)盤(pán)，否則，拒絕操作。

2.3 建立系統(tǒng)的LDAP目錄樹(shù)

LDAP將數(shù)據(jù)組織為目錄信息樹(shù)DIT（directory information tree）［2］，目 錄 樹(shù) DIT 結(jié) 構(gòu) 需 要 符 合 RFC 2308bis推薦標(biāo)準(zhǔn)。LDAP目錄中的具體信息存儲(chǔ)在條目（entry）的數(shù)據(jù)結(jié)構(gòu)中［3］。條目相當(dāng)于關(guān)系數(shù)據(jù)庫(kù)中表的記錄，條目是具有區(qū)別名DN（distinguished name）的屬性（attribute），DN是用來(lái)引用條目的，DN相當(dāng)于關(guān)系數(shù)據(jù)庫(kù)表中的關(guān)鍵字（primary key）［4］。屬性由類型（type）和一個(gè)或多個(gè)值（values）組成，相當(dāng)于關(guān)系數(shù)據(jù)庫(kù)中的字段（field）由字段名和數(shù)據(jù)類型組成，只是為了方便檢索的需要，LDAP中的type可以有多個(gè)value，而不是關(guān)系數(shù)據(jù)庫(kù)中為降低數(shù)據(jù)的冗余性要求實(shí)現(xiàn)的各個(gè)域必須是不相關(guān)的。LDAP中條目的組織一般按照地理位置和組織關(guān)系進(jìn)行組織，非常直觀［5］。

本系統(tǒng)的LDAP目錄樹(shù)如圖2所示。以Dc＝edu，dc＝cn為樹(shù)根，下面定義了一個(gè)子目錄樹(shù)Dc＝dxgc（即一個(gè)組織），在子目錄樹(shù)下定義了4個(gè)子樹(shù)（即組織單元）：ou＝Users存儲(chǔ)學(xué)生的賬號(hào)，ou＝Computer存儲(chǔ)機(jī)房和教室的Windows客戶端機(jī)器，ou＝Groups存儲(chǔ)Unix和 Windows的系統(tǒng)組，ou＝DSA存儲(chǔ)與LDAP安全相關(guān)的特殊賬戶［6］。

2.4 建立系統(tǒng)的LDAP信息模型

LDAP的信息模型用于存儲(chǔ)目錄服務(wù)器的實(shí)體信息。設(shè)計(jì)網(wǎng)絡(luò)管理信息的LDAP信息模型時(shí)，需要處理好如下問(wèn)題：

（1）不同種類的網(wǎng)絡(luò)管理信息都可以有效地存儲(chǔ)；

（2）定義合適的LDAP類和屬性；

（3）提供合理的命名規(guī)則和有效的數(shù)據(jù)檢索能力。

CNHS系統(tǒng)的LDAP信息模型包括：Microsoft Windows用戶賬號(hào)類（sambaSAMAccount）、Microsoft Windows計(jì)算機(jī)賬號(hào)類（sambaCOMAccount）、Unix用戶賬號(hào)類（posixAccount）、shadow 密碼類（shadowAc－count）、用戶組類（posixGroup）、LDAP安全相關(guān)的特殊賬戶類（simpleSecurityObject）等［7］。

圖2 CNHS系統(tǒng)的LDAP目錄樹(shù)結(jié)構(gòu)圖

3 CNHS系統(tǒng)的實(shí)現(xiàn)

3.1 配置LDAP服務(wù)器

LDAP目錄服務(wù)器關(guān)鍵配置如下：

（1）創(chuàng)建支持samba協(xié)議的ldap schema：

cp／usr／share／doc／samba－3.0.33／LDAP／samba.schema／etc／openldap／schema／

（2）根據(jù)根信息樹(shù)修改suffix為：

suffix″dc＝dxgc，dc＝edu，dc＝cn″

（3）設(shè)置openladp的管理員root access的賬號(hào)和密碼：

rootdn″cn＝Manager，dc＝dxgc，dc＝edu，dc＝cn″

rootpw＊＊＊＊＊＊＊＊＊＊＊＊＊＊

（4）配置samba主控域服務(wù)器和samba服務(wù)器群。

3.2 配置Samba服務(wù)器

PDC－SRV主控域服務(wù)器配置類型為：ROLE＿DOMAIN＿PDC，Samba服務(wù)器群配置類型為：ROLE＿STANDALONE［8］。

3.2.1 Samba服務(wù)器配置設(shè)計(jì)原則

域名：DXGC；主控域服務(wù)器Samba的netbios名字pdc－srv；samba服務(wù)器群的netbios名字sambaX（X代表編號(hào)）；服務(wù)器允許用戶配置文件漫游（roving／roaming）；學(xué)生 home 目錄位于：／home／XXX（XXX代表學(xué)生賬號(hào)）；所有samba共享位于／home／samba／＊ 下；配置主控域服務(wù)器為域?yàn)g覽器［9］。

3.2.2 Sambda服務(wù)器全局變量配置

主要配置域的工作組名稱、netbios名稱、服務(wù)器說(shuō)明、用戶名映射文件、ldap服務(wù)器信息（用戶賬號(hào)，組賬號(hào)、機(jī)器賬號(hào)的后綴信息及管理員賬號(hào)信息）、密碼同步策略。添加Windows客戶端腳本的路徑和選項(xiàng)，添加user腳本的路徑和選項(xiàng)，添加group腳本的路徑和選項(xiàng)，刪除group腳本的路徑和選項(xiàng)，從組中刪除用戶腳本的路徑和選項(xiàng)、將一個(gè)用戶添加到組的腳本的路徑和選項(xiàng)，設(shè)置主組腳本的路徑和選項(xiàng)、字符集編碼格式、日志級(jí)別，建立socket時(shí)的網(wǎng)絡(luò)參數(shù)、用戶登錄后的共享空間的驅(qū)動(dòng)器映射、是否為主域控制器等［10］。

3.2.3 Samba服務(wù)器共享信息配置

共享學(xué)生目錄［home］的主要配置項(xiàng)列表：讀寫(xiě)權(quán)限、掩碼信息；共享網(wǎng)絡(luò)登錄［netlogon］的主要配置項(xiàng)列表：netlogon路徑名、讀寫(xiě)權(quán)限、隱藏文件列表；共享學(xué)生配置文件［profile］的主要配置項(xiàng)列表：配置文件路徑名、讀寫(xiě)權(quán)限、掩碼信息、瀏覽許可［11］。

4 結(jié)束語(yǔ)

利用LDAP目錄服務(wù)技術(shù)設(shè)計(jì)的校園網(wǎng)盤(pán)系統(tǒng)，既實(shí)現(xiàn)了多認(rèn)證源的用戶統(tǒng)一身份認(rèn)證管理，也實(shí)現(xiàn)了多臺(tái)服務(wù)器集群的高速在線存儲(chǔ)服務(wù)［12］。實(shí)踐證明：不僅提高了網(wǎng)絡(luò)的訪問(wèn)速度、安全性、可靠性，也給用戶提供了極大的方便，達(dá)到了統(tǒng)一身份認(rèn)證的設(shè)計(jì)目標(biāo)，取代了原有網(wǎng)絡(luò)機(jī)房管理方式，取得了很好的社會(huì)效益和經(jīng)濟(jì)效益，為網(wǎng)絡(luò)管理提供一種參考模型。

（References）

［1］Bergeson B，Boogert K，Vijay K.Nanjunda swamy.LDAP Schema for UDD Iv3［EB／OL］.［2012－04－25］.http：／／ietfreport.isoc.org／all－ids／draftbergeson－uddi－ldap－schema－06.txt.

［2］Butcher M.Approximation approach to performance evaluation of proxy cache server systems［J］.AnnalesMathematicae et Informaticae，2009，36（8）：15－28.

［3］任軍.基于LDAP的目錄服務(wù)綜述［J］.計(jì)算機(jī)應(yīng)用研究，2005（5）：8－10.

［4］蒿敬波.SASL技術(shù)的認(rèn)證機(jī)制與應(yīng)用研究［J］.計(jì)算機(jī)工程，2003，29（2）：177－178.

［5］于劍.LDAP目錄服務(wù)在 Web開(kāi)發(fā)中的應(yīng)用［J］.計(jì)算機(jī)應(yīng)用，2003，23（10）：82－84.

［6］胡立春，武友新，張燁，等.LDAP環(huán)境下的統(tǒng)一用戶管理系統(tǒng)的研究與實(shí)現(xiàn)［J］.計(jì)算機(jī)工程與設(shè)計(jì)，2007，28（2）：823－825.

［7］李瀾，王峰，錢(qián)華林.LDAP目錄及研究現(xiàn)狀［J］.微電子學(xué)與計(jì)算機(jī)，2005，22（6）：48－52.

［8］鄭嵐，陳奇.基于LDAP的統(tǒng)一訪問(wèn)控制系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)［J］.計(jì)算機(jī)工程與設(shè)計(jì)，2005，26（7）：1865－1885.

［9］李欣，劉丹.基于LDAP實(shí)現(xiàn)多認(rèn)證源的統(tǒng)一身份認(rèn)證實(shí)踐［J］.現(xiàn)代圖書(shū)情報(bào)技術(shù)，2011（4）：90.

［10］趙春，趙成棟，康建初.在基于域的網(wǎng)絡(luò)管理中應(yīng)用的研究［J］.計(jì)算機(jī)工程與應(yīng)用，2004（18）：141－143.

［11］左曉琿，沈富可，任肖麗，等.基于LDAP的校園網(wǎng)統(tǒng)一身份認(rèn)證技術(shù)簡(jiǎn)介［J］.計(jì)算機(jī)與數(shù)字工程，2006，34（9）：86－99.

［12］楊鵬.Linux服務(wù)器架設(shè)［M］.北京：清華大學(xué)出版社，2008.