基于LDAP域實現統一身份認證

文/宋文文

基于LDAP域實現統一身份認證

文/宋文文

目前在校園網中，很多應用系統開始使用基于LDAP(Lightweight Directory Access Protocol,輕量級目錄訪問協議)開發的統一身份認證服務，如一卡通、數字化校園、辦公信息系統的用戶身份認證服務等。

簡單而言，LDAP就是采用目錄方式保存數據，所消耗資源小于專門的數據庫，并可以跨平臺使用。作為用戶管理、授權及認證系統的Dr.COM 寬帶接入認證計費系統，能與用戶的LDAP認證服務器實現的統一認證和數據同步，將會對用戶信息系統的使用與維護提供很大的便利。

中國石油大學青島校區辦公區基于LDAP域技術，建立一個安全、高效、可管理的認證平臺，采用LDAP域認證模式，為辦公區域師生、多媒體用戶、實驗室等用戶提供統一身份認證。

方案設計與實現

系統基于2166 B-RAS認證網關，采用雙進雙出多模光口，單臺最大轉發雙向4G，2166 B-RAS采用橋接透明模式，架設在內網核心交換機（辦公區）和出口路由器之間，2166 B-RAS負責對石油大學青島校區辦公區域接入的用戶提供LDAP統一認證服務，辦公區域用戶Windows域登錄成功后即允許授權訪問外網。

LDAP統一認證與2166 B-RAS聯動認證流程如下：

1. 辦公區域用戶Windows域登錄時，2166 B-RAS會把用戶的認證信息轉送到石油大學的LDAP統一認證服務器進行賬號校驗，認證通過即允許用戶通過并連接外網。

2. 在LDAP統一認證服務器上安裝Dr.COM watch程序，實時讀取LDAP域登錄信息表，如果發現用戶在LDAP認證服務器登錄成功后，Dr.COM watch程序會通過認證URL接口自動告知守護進程和認證網關。

3. 根據預先在后臺設置的辦公區域源IP地址表，自動幫該域用戶分配到其所屬的2166 B-RAS進行自動上線，Dr.COM watch程序也會讀取LDAP認證服務器的注銷日志表，當其定期掃描到在線用戶在域注銷了，watch程序認證URL接口自動告知2166 B-RAS，自動為該用戶進行下線處理。

4. 生成其登錄日志，使用時長和流量等信息并存入Oracle數據庫后臺。

圖2 工作流程示意

統一數據庫后臺與管理平臺

Dr.COM 2166 B-RAS對辦公區域經過的用戶進行數據采集，系統生成日志等其他記錄后，回傳到后臺數據庫服務器，并計算生成系統日志信息、訪問記錄、登錄記錄等信息，但是不生成計費賬單。辦公區域2166 B-RAS和非辦公區域2166 BRAS均共用一套認證計費業務支撐平臺，后臺數據庫（包含日常運營數據數據庫和訪問記錄服務器）服務器放置在數據存儲區，負責實時存儲Dr.COM 接入認證網關運營產生的所有信息，方便各管理模塊的查詢。

地址漫游限制

通過在統一的認證計費后臺配置辦公區域，2166 B-RAS內外允許登錄IP地址段信息，后臺會下發辦公區域允許登錄的IP地址段到辦公區域2166 B-RAS，而非辦公區域IP地址段則剔除，從而實現辦公區域賬號無法在非辦公區域登錄，防止了辦公區域賬號免費使用的漏洞。

(作者單位為中國石油大學(華東))