導語：商業企業局域網建設論文一文來源于網友上傳，不代表本站觀點，若需要原創文章可咨詢客服老師，歡迎參考。

[摘要]隨著網絡技術的高速發展，越來越多的網絡應用系統在商業企業局域網中得到了普及應用。然而如何集中的管理商業企業局域網中各應用系統的用戶，成了每個商業企業局域網管理者必須面對的問題。本文闡述了一種利用LDAP和RADIUS服務結合的商業企業局域網統一認證系統，并對其詳細設計方案及實現過程進行了說明。

[關鍵詞]統一認證LDAPRADIUS

隨著大型商業企業信息化的全面啟動，很多商業企業正積極的構建各種信息化應用的系統。然而，用戶在商業企業局域網的各個不同的應用系統中又不同的權限，因此用戶會在每個系統中獲得一個獨立的賬號。這樣會給企業網絡管理者和用戶帶來諸多不便，因此建設整個企業的以目錄服務為核心的中央認證系統和用戶管理系統，將完成為網絡中的所有應用、硬件和網絡資源提供統一的身份管理，從而可以在在很大程度上方便了每個用戶的操作,同時也提高了整個網絡管理的能力。利用輕型目錄訪問協議LDAP,可以解決商業企業局域網統一認證的問題。但是很多應用直接使用LDAP認證比較困難。因此，利用RADIUS（遠程用戶撥號認證系統）這樣被廣泛支持的認證協議和LDAP相結合的方式，可以滿足大多數應用系統的統一認證需求。

一、系統功能設計

系統功能如圖所示。

二、系統的實現

1.目錄結構設計

根據商業企業局域網應用的具體情況和LDAP服務器的特點和功能,設計一個LDAP服務器的目錄結構。在這個LDAP目錄結構中,dc=cdut,dc=edu,dc=cn作為整棵樹的根DN。其中包括用戶子樹、部門子樹、系統子樹和證書子樹。用戶(ou=user)子樹中存放統一認證系統的所有用戶信息,包括用戶的姓名、密碼、性別、單位等內容,另外還要包括用戶權限列表。部門(o=org)子樹,存放的是按照一般部門的分級結構的部門,直觀反映了部門間的上下級關系。部門包括的屬性有名稱、辦公電話、部門性質等。不再有子部門的部門子樹下應包含屬于該系的人員列表,這里每個人只是一個索引,指向人員子樹下具體的某個人員。資源(ou=res)子樹下主要是分為商業企業局域網內使用統一認證的各個應用系統，這棵子樹控制著訪問的權限。例如銷售系統、物流系統等。每個系統的各個實現功能都可以設定某一用戶組的來控制訪問權限,其中控制上層樹的用戶組也可以控制下層樹所需要的權限。每個系統的管理員就可以控制屬于該系統子樹下所有的權限,充分將每個系統地管理權限分散到各個管理員手中。證書(ou=cert)子樹下主要是存放整個系統中所有與身份認證的票據相關的內容,比如用戶證書、數字簽名等。

2.LDAP和RADIUS的配置

在用作LDAP的服務器上安裝OPENLDAP，并按照3.1的構建目錄樹。然后在用在RADIUS服務器上安裝完成FREERADIUS后需要將LDAP服務器的相關信息寫入。編輯radiusd.conf，加入以下配置。認證系統就可以正常運行了。

ldap{

server=“”

identity=“cn=root，dc=cdut，dc=edu，dc=cnw”

password=password

basedn=“dc=cdut，dc=edu，dc=cn”

}

3.應用系統使用統一認證

很多通用系統都可以直接使用RADIUS提供的認證服務，如大部分的上網認證系統、802.1x認證系統等。而商業企業局域網中很多網絡應用系統是采用Web應用程序的方式開發實現的。對于不同的Web應用程序可以采用不同的功能函數模塊來使用RADIUS提供的認證功能。以PHP為例，要使用RADIUS認證功能需要在編譯安裝時執行./configure—enable-radius，在編譯時加入對RADIUS的支持，這樣就可以在PHP中使用RADIUS支持函數，進行認證操作了。

三、結束語

LDAP目錄服務數據以目錄的方式存儲,并且可以建立索引,因此LDAP的讀取速度大大快于經過一般的關系型數據庫,查詢效率也更高。所以對于一個大型的統一認證系統來說它更高效。同時LDAP本身為安全認證設計，提供了更高的安全性，通過和RADIUS的結合，能夠更方便的為各種應用系統和平臺提供統一認證服務，從而保證了系統的安全性和通用性，同時也提高了系統的效率，因此非常適合在大型商業企業局域網中使用。

參考文獻:

[1]付云俠薛田良:身份認證中基于LDAP的統一目錄服務的研究與實現.福建電腦,2008(3)

[2]胡勝豐蔣平:基于LDAP的企業統一資源管理研究.微計算機應用,2008(3)

[3]劉永亮張衛紅周駿:基于LDAP的校園網統一身份認證的設計.計算機與數字工程,2008(4)

[4]陽富民劉軍平:統一認證技術研究與實現.計算機工程與科學,2007(2)

[5]袁善鵬楊波:基于Linux的LDAP應用環境研究與目錄服務實現.信息技術與信息化,2006(5)

LDAP采用開源的OPENLDAP來實現。通過建立一個LDAP主目錄服務作為整個認證系統的核心，同時建立一個從屬LDAP目錄服務保證系統的安全性以及實現一定程度的性能負載均衡，通過目錄同步保證數據的一致性。建立一套基于Web的LDAP管理系統，實現對LDAP的管理。對于部分可以直接采用LDAP服務進行認證的系統，例如郵件系統、垃圾郵件網關、Shell登陸等直接通過LDAP提供統一認證。其它的不能直接使用LDAP服務進行統一認證的系統，如各種Web應用系統、企業網上網認證系統、遠程訪問系統等。系統利用RADIUS對LDAP的直接訪問，獲得用戶認證及權限等信息，再為這些系統提過認證服務。