近年来,很多高校采用了基于LDAP的用户认证方式,较好地解决了统一身份认证问题,但是直接将LDAP服务器暴露在其他应用系统和用户面前具有一定的安全风险。另外,在分布式环境下LDAP的访问也有可能受到防火墙的阻挡。而Web Service是目前分布式异构环境下构建复杂系统的重要技术。因此,我们设计了一种Web Service和LDAP相结合的分布式用户认证系统,解决校园网用户统一身份认证问题。
华北电力大学现有外网和内网应用系统两大类。内网应用系统包括各院系、机构的二级部门应用系统,大多采用B/S模式实现,B/S模式的WWW服务器一般采用IIS和Apache实现Web访问,还有少量Domino。外网系统可以通过互联网直接访问,不需要认证用户身份。而内网系统需要身份认证才能进行访问,内网中各个系统的用户身份标识和口令又不统一,同一用户访问多个应用系统时需要输入不同的用户名和口令。为了解决身份认证的问题,华北电力大学将身份认证系统作为校园网建设的重要内容之一,从而实现校外用户访问校园网内应用系统的身份认证功能。
统一认证需求分析
认证需求
目前校外用户访问校园网内的应用系统时,采用反向代理进行访问控制。现在,我们需要配置一套身份认证系统,当校外用户访问校内应用系统时,系统可以对其进行身份认证,从而取消反向代理服务器。主要需求如下:
1. 用户标识采用统一编码规则
校园网内的用户(包括教师、学生)采用统一的编码规则,实现用户身份的唯一标识(目前校内已有相应的规范)。
2. 身份认证系统与数据中心实时联动
学校已经建设了数据中心,因此身份认证系统中的用户标识可以从数据中心获得,并能与之实施联动。
特别声明:本站注明稿件来源为其他媒体的文/图等稿件均为转载稿,本站转载出于非商业性的教育和科研之目的,并不意味着赞同其观点或证实其内容的真实性。如转载稿涉及版权等问题,请作者在两周内速来电或来函联系。