基于LDAP的校園網統一身份認證的探索與研究

董涵

【摘 要】在信息化技術高速發展的今天，校園網內部充斥著各類系統，如何將各類子系統進行一個整合，利用統一身份認證平臺對這些子系統進行一個集成，各子系統的數據庫與平臺的數據庫實現共享調用，是我們目前遇到的比較多的一個問題。

【關鍵詞】統一身份認證平臺；LDAP；系統集成

在信息化技術高速發展的今天，智慧校園已經成為校園網建設的方向，各類的應用也隨即而生，行政辦公系統，郵件系統，財務管理系統，圖書借閱管理系統，一卡通，科研管理系統等等，都在我們日常的工作和學習中扮演了重要的角色。這些系統都是獨立的系統，各自都用于自身的一套密碼系統，用戶需要保存這些系統的用戶名和密碼，登陸哪個系統就需要隨之輸入相應的用戶名和密碼，大大增加了用戶的使用難度，用戶的體驗度大大降低，記憶如此多的密碼，隨之而來的問題就是用戶很容易丟失或者忘記這些密碼，不得不找管理員去恢復密碼，相應的也就增加了管理員的工作量。如何去解決這個問題將信息化的發展融入到教學中去，更好的為教學服務是我們迫切需要面對的一個問題。

基于以上原因，使得校園網統一身份認證變得尤為重要。統一身份認證主要實現的功能是，讓用戶在統一管理平臺上只用輸入一次賬號密碼，只進行一次認證，認證通過之后，就可以對平臺內集成的所有系統進行調用，這樣用戶就不需要記錄很多的密碼，只需要在校園網內一套密碼就可以滿足教學、辦公以及學習的需求，另外在進行統一身份認證之前，需要出臺一套統一的密碼編碼規則，大家遵循該統一編碼規則，對用戶名進行編碼，這樣在后期的對接過程中，能夠更加的順利。系統主要的方法是通過集成各個系統的數據庫，通過統一數據中心平臺進行對接，前期需要對數據庫進行清洗，統一數據的格式，讓各家集成商開發統一的LDAP接口，講系統集成到統一認證平臺中去。用戶在前端登錄時，將其賬號和密碼傳輸到統一認證后臺，驗證通過之后，便可以對所有的應用系統進行調用，查詢自己的代辦事項，科研課題，工資情況，等等。

統一身份認證的流程描述如下。

（1）用戶使用注冊的統一平臺賬號密碼去登陸統一身份認證平臺。

（2）統一身份認證平臺會根據該請求去創建一個臨時會話，產生一個相應的密鑰，該證書返回給用戶。

（3）用戶端獲得密鑰之后，利用該密鑰去訪問平臺內集成的各類子系統。

（4）子系統接受到密鑰之后，會在后臺驗證其真實有效性。

（5）驗證通過之后，用戶可以對系統內的資源進行調用和操作。

LDAP 協議簡介

LDAP（Lightweight Directory Access Protocol）是一種標準的目錄服務技術，它基于X.500 的一種模型，標錄服務的模型也是基于OSI的一種模型，它具有自己的命名空間，以及用于查詢的更新協議，由于協議是運行在OSI數據模型的第三層，也就是 網絡協議層，所有它的功能非常強大，缺點是數據庫過于龐大，運行緩慢。LDAP 相對X.500來說就相對簡單，它支持對目錄以及服務進行一個個性化的定制，對數據庫可以進行擴展，2者的區別是后者是運行在網絡層上，基于TCP/IP 協議來進行設計，LDAP對互聯網的網絡兼容性較好，另外它的關系型數據庫運行更為高效，讀取速度更快。LADP可以跨越各種應用子系統，各種應用平臺，能夠提供更安全完善的傳輸機制 ，它的數據層次清晰，數據的存儲以及讀寫都更為快捷。

我校網絡認證系統目前采用的是正方的統一認證身份系統，它是一種基于 Portal 頁面的網絡管理系統， 當用戶在校園網主頁登陸時，自動彈出身份認證的登陸界面，用戶使用預設的用戶名和密碼登陸之后就自動進入了門戶系統，門戶內部集成了行政辦公系統、郵件系統、一卡通系統、國資管理系統等等。用戶一次登陸之后可以自動調用所有的子系統，無需重復認證，大大提高了用戶的使用效率，簡化了辦公流程。在統一身份認證平臺上，所有的子系統都可以進行編輯，各個系統對用各自的按鈕，另外按鈕的排列方式，以及首頁的展示信息，都是可以進行一個個性化的定制，直接通過后臺數據庫的調用，將用戶需要展現的信息顯示在主頁面上，用戶的體驗度大大提升。

學校的電子郵件系統采用騰訊公司的郵件系統，為了將郵件與統一身份認證平臺進行集成，首先要對原有的郵箱數據庫進行清洗，統一格式，將原有的郵件遷移至新的郵件系統之上，對數據庫系統進行集成，另外對原有的LDAP數據庫中的目錄要進行擴展，添加相應的數據屬性， 使之與原有的系統保持一致，對應到用戶的原始郵件數據中去。由于騰訊系統內部采用的也是 LDAP 系統，那么對接的時候相對來說就更為簡單，用戶的單點登錄的時候跟原有方式類似，只是將用戶輸入的用戶名和密碼傳輸至現有的數據中心認證后臺，在數據庫中對用戶名和密碼進行匹對，如果錯誤則拒絕登陸，如果正確則返回正確的結果。在用戶端對于驗證的過程跟傳統的方式，是無感知的，用戶在驗證之后直接可以進入平臺，在調用郵箱的時候，只會對用戶名進行校驗，如果用戶名存在，則認為用戶是合法用戶，可以對郵箱進行正常的操作，整個認證過程操作完畢。

一卡通管理系統是高校目前使用最廣泛的一個系統，一卡通集成了飯卡系統、門禁系統、掛失解掛系統。一卡通通常的驗證方式為卡的序列號加卡的PIN碼，由于一卡通的PIN比較沒有規律，而且各類序列號以及PIN碼，會讓數據庫的規模變得很龐大，并且難以維護。為了讓一卡通與現有的系統進行集成，需要進行如下2步工作：（1）統一編碼將原有的PIN碼對應學生的學生號，教工對應教工號，對數據重新進行清洗。（2）將一卡通數據庫集成到統一身份認證平臺中去，用戶在統一數據中心認證平臺登錄之后，只需要輸入一次密碼，就可以對一卡通的信息進行調用以及查詢。

行政辦公系統我校使用的是致遠公司開發的一個系統，該系統本身也采用的是LDAP架構，提供了LDAP接口，將該系統集成到平臺之中，只需要對后臺數據庫進行格式的清洗和校驗，利用接口統一對接到身份認證平臺之上，用戶在登陸平臺之后，只需要點擊該系統的超鏈接就能進行訪問，密鑰的傳遞方式也是先傳遞到統一平臺的數據庫進行校驗，如果平臺返回校驗正確，那么用戶則顯示認證通過，能夠直接調用辦公系統的各類子模塊，進行教學以及辦公的一些列活動，大大簡化了工作流程，提高了工作效率。

圖書管理系統通過跟原有開發單位的協調，也統一集成到平臺之上，利用LDAP接口，將數據庫進行清洗編排之后進行對接，集成完畢之后，用戶可以在平臺內直接看到自己的讀者信息，借閱的書籍等等，甚至可以一用上述集成過的一卡通系統，進行在線的逾期罰款的繳納等等，大大方便了學生和廣大教職工的學習和科研工作。

綜上所述，將各類平臺統一集成到認證中心平臺，能夠使用戶用一套密碼能夠訪問校園網內部集成過的所有子系統，各個子系統之間的數據庫共享，數據格式統一，運行更為高效，提高了用戶的工作效率，以及用戶的體驗度，減少了數據庫的維護量，各類子系統運行更為穩定高效，是目前高校信息化校園建設的一個主方向。

[責任編輯：朱麗娜]endprint