用LDAP开发用户管理

1、采用ldap开发“用户管理”一、总述-一用户管理应用与开发现在基于目录服务的各种网上应用越來越多。这些应用离不开一个重要协议的 支持，这就是ldap （lightweight directory access protocol）轻量级目录访问协议。在企业范围内实现ldap可以让运行在儿乎所有计算机平台上的所有的应用程序从 ldap目录中获取信息。ldap目录中可以存储各种类型的数据：人员信息、电子邮件 地址、人力资源数据、联系人列表，等等。通过把ldap目录作为系统集成中的一个 重要环节，可以简化员工在企业内部查询信息的步骤。就象sybase. oracle的数据库管理系统（dbms）是用于处

2、理查询和更新关系型数 据库那样，ldap服务器也是用来处理查询和更新ldap目录的。换句话来说ldap目录 也是一种类型的数据库，但不是关系型数据库。基于ldap服务进行用户管理，具有管 理清晰、方便、容量大的特点。在用户管理上，采用ldap优于使用数据库主要在于：1、用户管理中的数据多为用户注册的一些基本信息，比较简单，而字段可能很多, 在ldap屮增加、修改一个attribute相对于在表屮增加、修改字段要简单很多;2、对用户管理而言，一旦信息录入以后，需要经常检索，而频繁地从数据库川遍 历数据无疑对系统的性能会造成影响。而ldap的检索功能沖常强大，因为它 就是专门为那些检索频率多于更新

3、频率的数据服务而设计的；3、当存在用户分组问题时，使用数据库只有通过另建表的方式，在表之间建立关 联，这在操作时很不方便。而ldap的树状结构可以在任一节点建立组，层次 关系也很清楚，对于体现复杂结构有着很强的优势；4、在权限控制上，ldap允许你根据需要使用aci （访问控制列表）控制对数据 读和写的权限。例如，管理员可以改变所有员工的资料，而普通用户只能改变 自己的资料，也可以赋了特定人员特定的权限。在民航系统中，我们就利用它 来实现管理员权限的定义，赋予公司管理员很大的权限。当然ldap的优势有很多，这里仅仅是其中的一小部分。目前，几乎所有的mis系统都会用到基于用户的管理，说到用户管

4、理的开发，如果用户量相对比较少，且人员层次关系不算复杂时用数 据库开发或用文件系统开发，所出现的问题不明显，但如果出现用户 量比较多，用户层次级别要求比较高，比如以消防总队人员和机构设 置为例，总队下有司令部、政治部、后勤部等的领导及办事人员，司 令部下有各处室领导及办事人员，总队下还有各支队，支队下又会分 很多部门，这样用户很多而且层次结构要求特别高的情况下，用数据 库开发用户管理就相对比较困难，因为数据库表结构没有层次结构， 只有通过很多关联表相连，这样搜索某个用户速度会很慢，且容易出 错。采用文件系统开发不仅会出现数据库所遇到的问题，而且安全性 则得不到保证。而运用directory s

5、erver运用应用程序开发用户管理，以上所碰 问题即可解决。二、开发用户管理新途径directory serveriplanet directory server为管理大量用户信息的企业,提供用 户管理基础服务，保存各种灵活的个性化用户概况和优先选择需要， 适应外联网用户的验证需要。directory server的一些应用离不开一个重要协议的支持，这就 是 ldap (lightweight directory access protocol)轻量级目录访 问协议。通过ldap冃录服务器为应用访问专用数据提供了统一、标准的方 法。三、采用ldap开发用户管理的优势在企业范围内实现ldap可以

6、让运行在几乎所有计算机平台上的所 有的应用程序从ldap目录中获取信息。ldap目录中可以存储各种类 型的数据：人员信息、电子邮件地址、人力资源数据、联系人列表， 等等。通过把ldap目录作为系统集成中的一个重要环节，可以简化 员工在企业内部查询信息的步骤。就象sybase. oracle的数据库管理系统（dbms）是用于处理查询 和更新关系型数据库那样，ldap服务器也是用来处理查询和更新 ldap目录的。换句话来说ldap目录也是一种类型的数据库，但不是 关系型数据库。基于ldap服务进行用户管理，具有管理清晰、方便、 容量大的特点，支持在单个服务器上有数百万户的能力。在用户管理上，采用l

7、dap优于使用数据库主要在于：1、用户管理中的数据多为用户注册的一些基本信息，比较简单， 而字段可能很多，在ldap中增加、修改一个attribute相对于在表 中增加、修改字段要简单很多；2、用户管理而言，一旦信息录入以后，需要经常检索，而频繁地 从数据库中遍历数据无疑对系统的性能会造成影响。而ldap的检索 功能非常强大，因为它就是专门为那些检索频率多于更新频率的数据 服务而设计的；3、当存在用户分组问题时，使用数据库只有通过另建表的方式， 在表之间建立关联，这在操作时很不方便。而ldap的树状结构可以 在任一节点建立组，层次关系也很清楚，对于体现复杂结构有着很强 的优势；在权限控制上，l

8、dap允许你根据需要使用aci （访问控制列表）控 制对数据读和写的权限。例如，管理员可以改变所有员工的资料，而 普通用户只能改变自己的资料，也可以赋予特定人员特定的权限。在管理上，通过目录服务器，应用可以直接在目录中存储和查询配 置信息，而不是从用户的客户机内读取，做到完全应用位置的独立性。当然ldap的优势有很多，这里仅仅是其中的一小部分。四、运用ldap开发用户管理的层次结构运用java (servlet)程序或运行在计算机平台应用程序针对 directory server进行用户的添加删除和修改，其分级用户要求很 高的用户则可以很发便的开发，其主要结构是先建一个top (organiz

9、e unit简ou),再在该top下建子公司或机构或人员也可 同时建子公司的管理员。一以公司和分公司为例分公司(1)管理员如上图所示，系统管理员可建立总公司的成员和任意建其下属分公 司机构、分公司成员o此时如需要系统管理员可对分公司加入管理员, 分公司管理员只对负责本公司的人员维护，他上级用户他无权管理。五、运用ldap验证服务用户管理和权限管理可以进行无缝的结合。何为“权限管理”？也 就是当我们利用ie浏览器访问某个页面或处理某项业务的时候，需 要通过权限认证确认有无操作此页面的权限，此时可以用director server来开发“权限管理”。权限管理具体设置思路也就是在开发过程中，事先在要

10、访问的页 面中，放入所要的权限id,然后把这些id用浏览器方式通过servlet （或通过应用程序）加入到ldap中，然后赋予用户权限。用户打开 相应页面时首先通过权限认证确认进入下一步。ldap组的概念应用，在设置权限管理时，我们象oracle数据库 那样也设置了 “角色”，何为“角色” ？也就是一个人的权限会很多 时，其中有一些权限为大多数人使用，我们就可以把这些共用的权限 设置为一个权限组这里称这个权限组为“角色”，然后把某一个“角 色”赋予某个人，他就会有“角色”中的所有权限。其示意图为:六、高性能的服务director server每部服务器每秒钟管理数以百万计的冃录项和处 理数千个

11、查询。可支持有选择的目录项复制，支持联式复制(当服务器a复制于服 务器b时、服务器b复制于服务器c)。七、director server 支持 snmp 标准 mib 邮件director server和mail server紧密结合，其添加在mail用户和director server中添加的用户进行统一。八、运用应用程序开发ldap中参数说明:dn：在ldap目录中的所有记录项都有一个唯一的distinguishedname" (dn),它是ldap记录项的名字。每一个ldap记录项的dn是由两个部分组成的：相对dn (rdn)和记录在ldap目录中的位置。例如：dn二 “ ui

12、d二 1001, ou二rygl, o二 ahxf. gov. cn ” ； 表示在 o=ahxf. gov. cn下的一个记录或接点。其中0二ahxf. gov. cn就是所 谓的“基准dn”,这里以dns的域名(golden, com)为基础。“ou”c organization unit”)表示是一个组织。"uid” 则表示 o= ahxf. gov. cn 下 ou=rygl 下的一个用户的唯一 id。"cn”(common name)表示组。attribute是每一组织或用户的属性。比如人的“姓名” 就是attributeo aci,即访问控制列表,用于控制对数据

13、操作的权 限。在如下示意图中总队管理员可以添加支队的管理员或总队下处室 的管理员。下面以“安徽消防总队”用户设置为例来解释ldap中的参数：系统管理员dn= "uid二ahxflogin ,ou=xf,o= n九、已开发投入使用“安徽消防总队网上办公信息系统”用户 管理其开发环境：1. 应用程序开发：java jsp/servlet、xml2. jdk 1. 3. 1 or higher3. dns server4. web server：iplanct web server 或 apache web server5. directoryserver4.1十、程序举例：快速搜索一个部

14、门dn的java servlet原代 码import javaio.*;import java, util.*;import java, lang*;import java .text*;import javax servlet *;import javax. servlet.http *;i mport javax.nami ng.*;import javax> naming, directory. *;public class addzdextends httpservlet public void service (httpservletrequest request, https

15、ervletresponse response)throws serv1etexcepti on, toexcepti onpublic voi d doget (httpservletrequest request, httpservletresponse response)throws serv1etexcept ion, ioexceptiondopost (request, response);public void dopost (httpscrvletrequest request, httpservletresponse response)throws servletexcept

16、ion, toexceptionresponse. setcontenttype c'text/html; charset=gb2312z/);printwriter out = response. getwriter();string searchbase二” o二golden, com” ; / dns 域名search searchdn = new search();string theupdn二“；kamingenumeration results;tryresul ts = searchdn. getdnc (ou=>z+部门 id+)", searchbase);if (results != null &&