学习笔记3--统一账户认证ldap - 简书
学习笔记3--统一账户认证ldap
方案推进的方式:
1召集各组核心领导,开会,宣讲(做培训).解决大家的疑问,让大家一致认可
2说服cto同意的文件,通过公司制度去推进.变法的推进是很艰难的.例如商鞅变法,车裂了,戊戌变法...
...技术,沟通,宣讲,培训,自信,霸气的程度...
举例:mysql5.1--&5.5
开发说:让他(运维)去了解下5.1--5.5功能差别,看看我们的程序适合不?
运维回应:你们开发的程序都需要数据库的哪些功能(基本功能,存储过程,触发器...).
LDAP服务实战应用指南
目录是一类为了浏览和搜索数据而设计的特殊数据库
目录服务是安装树状形式存储信息的.
目录服务适用于大量的查询和搜索操作,不支持大多数事物型数据库所支持的高吞吐量和复杂的更新操作.
Ldap可以说是活动目录在linux系统上的一个开源实现.
ldap可以一主多从,多主多从,分布式等等...
DNS是一个典型的大范围分布式目录服务的例子
什么是LDAP
轻量级目录访问协议
运行在tcp/ip或者其他的面向连接的传输服务之上
TCP/IP协议第一卷一定要看完(强力推荐).
单独的ldap守护程序openldap.可以被看做是一个轻量级的x.500目录服务器,他没有实现x.500完整的dap协议,作为一个轻量级的目录服务,sldap实现的仅仅是x.500模型的一个子集
Ldap基于tcp/ip协议,x.500基于osi(开放式系统互联)协议.
ldap协议更为简单,ldap继承了x.500最好的特性,同时去掉了他的复杂性
ldap实现低费用,易配置管理
dc domain component 域名组件
例如域名:example.com
dc=example dc=com
uid 用户id
ou 组织单位,类似于linux文件系统的中的子目录,它是一个容器对象
cn 名common name 公共名称
sn 姓surname
dn唯一辨别名(类似与linux文件系统中的绝对路径)
rdn 相对辨别名,它是与目录树结构无关的部分
c 国家 cn us
o 组织名 组织
ldap目录服务(openldap)具有下列特点:
ldap是一个跨平台的,标准的协议,近几年来得到了业界广泛的认可.
ldap的结构用树形结构来表示,而不是用表格,因此不用sql语句维护了
ldap提供了静态数据的快熟查询方式,但在更新数据方面并不擅长
ldap可以使用基于推或啦的复制信息技术,用简单的或基于安全证书的安全认证,复制部分或全部数据,主从复制
ldap是一个安全的协议,ldap v3支持sasl sll tls,使用认证来确保事物的安全,另外,ldap提供了不同层次的访问控制,以限制不同用户的访问权限
ldap支持异类数据存储,ldap存储的数据可以是文本资料,二进制图片等
client/server模型
server端用于存储树,client端提供操作目录信息树的工具.通过这些工具,我们可以将数据库的内容以文本格式呈现在我们的面前.
ldap是一种开放internet标准.
dit 目录信息树
读操作的数据库
dit由条目组成,条目相当于关系型数据库中的表的记录
ldap通常用root做根目录 称为basedn
ou也是一种条目,容器条目,ou的喜爱按即是真正的条目
dn 唯一辨识名
dn的两种设置 基于cn姓名
基于uid设置
LDAP目录树的最顶部就是根Base DN
LDIF格式是用于LDAP数据导入,导出的格式,ldif是ldap数据库信息的一种文本格式
LDIF文件的特点:
有可能会自己编辑LDIF文件
通过空行来分割一个条目或定义
以#开始的行为注释
所有属性的复制方法为:属性:属性值:例如:dn:dc=etiandd,dc=org
属性可以被重复赋值,例如object
class就可以有多个
每个属性及属性值独立一行
每行的结尾不允许有空格
LDIF里面的属性相当于变量,他可以被自定义赋值,值不能相同
LDAP目录服务是基于客户/服务器模式的
一个或者多个ldap服务器包含着组成整个目录信息树(DIT)的数据
ldap的几个重要配置模式
基本的目录查询服务(重要)
目录查询代理服务
异机复制数据 即主从同步(重要)
同步复制的目录服务
inotify服务监控master数据文件变化,只要变化就调用rsync命令推送数据到slave
定时任务(守护脚本+rsync daemon)
分布式的目录服务
在这种配置模式下,本地的服务被分割成为多个更小的服务,每一个都可能被赋值,并且通过伤及superior或者下级
ldap企业架构逻辑图案例:
Paste_Image.png
Paste_Image.png
时间同步很重要....可能会出现问题
实现samba,vsftp部署及通过ldap权限验证
要求实战完成,并总结成文档提交
实现redmine mantis部署及通过ldap权限验证
要求实战完成,并提交文档
实现http apache服务(例如配置phpmyadmin软件)通过ldap统一验证
实现git软件部署及通过ldap统一验证
实现微软活动目录和ldap同步实际部署及文档总结
csvn部署通过ldap统一验证
openvpn通过ldap统一验证
Paste_Image.png
目录服务就是按照树状存储信息的模式。目录服务的数据类型主要是字符型, 而不是关系数据库提供的整数、浮点数、日期、货币等类型。为了检索的需要添加了BIN（二进制数据）、CIS（忽略大小写）、CES（大小写敏感）、TEL（电话型）等语法（Syntax） 同样也不提供象关系数据库...
Spring Cloud为开发人员提供了快速构建分布式系统中一些常见模式的工具（例如配置管理，服务发现，断路器，智能路由，微代理，控制总线）。分布式系统的协调导致了样板模式, 使用Spring Cloud开发人员可以快速地支持实现这些模式的服务和应用程序。他们将在任何分布式...
国家电网公司企业标准（Q/GDW）- 面向对象的用电信息数据交换协议 - 报批稿： 前言： 排版 by Dr_Ting公众号：庭说移步 tingtalk.me 获得更友好的阅读体验 Q/GDW XXXX-201X《面向对象的用电信息数据交换协议》是根据《国家...
1.目录服务 目录是为一个查询、浏览、和搜索而优化的专业分布式数据库，它呈树状结构组织数据，就好像Linux/Unix系统中的文件目录一样。目录数据库和关系数据库不一样，它有优异的读性能，但写性能很差，并且没有事务处理、回滚等复杂功能，不适于存储频繁修改的数据。所以目录天生...
1.测试环境 a) 安装在虚拟机上的centos6.9b) openLADP 2.LDAP概述 LDAP 是轻量级目录访问协议的简称(Lightweight Directory Access Protocol).用于访问目录服务。它是 X.500 目录访问协议的移植，但是简...
回忆去年这个时候。荔枝是北回归线上的明珠[微笑][微笑]，大家都知道北回归线塔立在我们的太平，太平钱岗除了几百年的历史广裕祠文化还有荔枝、龙眼、黄皮等都非常闻名。我在这土生土长三十八个年头，要说最拿的出手特产，就是荔枝与龙眼，管理采摘新鲜的荔枝龙眼，这种纯体力劳动...
阅读时间：日，20:00-22:00，2小时 阅读书本：《大脑潜能开发-脑灵有术66妙招》,人民军医出版社P48-P90,第13招至第22招 阅读目标：了解有哪些可以开发大脑潜能的方法？哪些是对我有帮助的？如何操作？ 阅读方法：泛读+精读（有感触的反复读...
朋友芸芸在高考后报考志愿时，想填报中文专业，她把自己的想法告诉父母，本以为父母会支持自己的想法，冷不防却让父母泼了一头冷水，并让她改了填报的意向，改读金融专业。 父母说“你读那个专业有什么用，你看金融专业多热门啊，我看你叔叔家的小儿子就读的那个...
小鸡推荐简书，所以试试 看看跟word有什么区别， 唔。。。 看起来洋气一点， 哦~还可以插视频 哦~不错嘛~ 可是字体颜色咋调呢？ 好像不能调诶~ 唔。。可能这样逼格高点。 嗯。。工具有点少，不过够用了。 试用完毕
今天和大家分享的书是《皇城北京》，作者：祝勇。 我买书的目标定位比较明确：历史性、知识性和思想性，这是一个由浅入深、逐渐递进的过程，历史性是类型标签、知识性是内容评价、思想性是核心灵魂，有了这三条标准，我就可以按图索骥，选择自己喜欢的书，而《皇城北京》这本书符合上述...LDAP服务的优势
大多数的LDAP都为读密集性的操作进行专门的优化。因此，当从LDAP服务器中读取数据时比从关系型数据库读取数据快一个数量。LDAP的优势还在于，可以在任何系统平台上，很容易定制应用程序为它加上LDAP的支持。LDAP协议是跨平台的和标准的协议，应用程序不用关心LDAP目录放在什么服务器上。
SOAP的优势
SOAP是一种新的软件通信技术，它把成熟的基于HTYP的Web技术与XML的灵活性和可扩展性组合在一起，使现有软件不论是基于什么样的编程模型都可以通过因特网通信。基于XML技术的SOAP协议由于其自身的简单、开放、可扩展、与实现无关等优越性具有很强的生命力。
统一身份认证系统模型
用户首先通过客户端应用程序登录用户登录子系统（可以视为SSO单点登录服务，实现方法有很多，慢慢学），再通过身份认证接口向统一身份认证平台（LDAP）提出认证请求，统一身份认证平台对请求内容进行解析和实施访问控制，查询LDAP数据库中的用户身份信息和权限信息，进行身份识别和授权访问，将认证结果信息返回
至统一身份认证平台和登录系统，对用户的登录请求作出接受或拒绝的响应。
统一身份认证服务的实现1：
该系统的功能是建立一个能够服务于所有应用系统的统一的身份认证系统，每个应用系统都通过该认证系统来进行用户的身份认证，而不再需要开发各自独立的用户认
证模块。同时，由“统一身份认证服务”来实现统一的用户认证机制，即统一从已建立的LDAP目录服务器中查询用户认证信息，然后按照统一的认证规则进行校验，从
而提高了系统的整体安全性。
认证过程可分为以下几个步骤：
第一步：当用户首次登录一个应用系统时，该应用系统应自动将用户浏览器重定向到“统一身份认证服务” 的登录页面。接着， “统一身份认证服务” 根据用户填写的登录信息从LDAP目录服务器中检索该用户的相关认证信息并进行校验。若校验失败，该用户将被拒绝进入应用系统；若校验成功，用户浏览器会自动返回到最初登录的应用系统。
为了使“统一身份认证服务” 能够自动返回到应用系统，在重定向到“统一身份认证服务”的登录页面时，还需要传递service参数（我觉得用WebService开发，可以直接作为参数传递），service参数值就是用户最初登录的应用系统的链接地址，这样，“统一身份认证服务”在校验成功后就可以按照service参数值返回到应用系统。
第二步：若认证成功，“统一身份认证服务”会自动返回到用户最初登录的应用系统，同时会传递ticket参数。ticket参数值是由“统一身份认证服务”自动创建的随机字符串。（我理解为令牌是加在URL中的，可以考虑用session，但是用应用服务器的还是用登录服务器的session呢？）ticket值是与当前已成功认证的用户名绑定
的。例如：用户zhangsh要登录应用系统S，若认证成功，则“统一身份认证服务”会创建一个ticket参数T，T表示只允许用户zhangsh访问应用程序S，而且这个ticket参数使用一次后即作废。
第三步：应用系统在收到ticket参数值后还需要校验收到的ticket参数值的真伪， 目的是防止某些用户伪造ticket参数值来非法登录。具体校验方法是向“统一身份认证服务”传递service参数和ticket参数。传递的service参数值与第一步中介绍的完全一样， 目的也是为了让“统一身份认证服务”在校验成功后就可以按照service参数提供的链接地址返回应用系统ticket参数值就是应用系统刚才收到的ticket参数值，原封不动地传递回去即可。但为了提高响应速度，这次参数传递的过程不再使用将用户浏览器重定向到“统一身份认证服务”的方法，而是用Socket(套接字)直接建立http连接。“统一身份认证服务”会将收到的ticket参数值与先前自己创建的ticket参数值进行比较，若不匹配，则说明传递的ticket参数值系伪造，该用户将被拒绝进入应用系统；若匹配，则“统一身份认证服务”返回一个http应答消息，在应
答主体中只有一行信息：通过身份验证的用户名。与此同时，统一身份认证服务必须立即销毁先前创建的ticket参数值，以防被重复使用。
我的心得：登录服务器接到验证请求后得到一个session_ID(当前会话的)，在LDAP通过验证后，至少应该保存好这个Session_ID和应用系统的ID，这个可以通过数据库，也可以直接通过Session、cookie方式，简单一点：session变量名为应用ID，session值为session_ID,将session_ID+用户ID以某种组合形式发送给应用系统服务器，应用服务器建立本地已成功登录的session，显示页面。考虑到session_ID是以明码方式加在URL中返回给应用服务器的，为了防止伪造的令牌，需要在建立本地成功登录session前，再一次通过登录服务器，验证令牌的真伪，即不需要发送密码（用户ID这时候应该通过session保留了，不需要再次发送），只需要发送应用ID和令牌中分析出来的session_ID，和登录服务器保存的session比较，匹配成功后发挥应答信息（可是怎么保证该应答信息不被伪造呢？）
浏览: 37375 次
来自: 杭州
这些条件我都加上了，但是还是会出现java.lang.Ille ...
受益匪浅啊
文件里没东西~~~
还要谢谢楼主的好书~~~呵呵
请教下：
我看了api里对setBasename()的描述：
(window.slotbydup=window.slotbydup || []).push({
id: '4773203',
container: s,
size: '200,200',
display: 'inlay-fix'没有更多推荐了，
不良信息举报
举报内容：
使用LDAP（ApacheDS）构建统一认证服务（SSO单点登录）
举报原因：
原文地址：
原因补充：
最多只允许输入30个字
加入CSDN，享受更精准的内容推荐，与500万程序员共同成长！豆丁微信公众号
君，已阅读到文档的结尾了呢~~
基于LDAP和双因素身份认证的统一认证,双因素身份认证,身份认证双因素法,ldap 统一身份认证,ldap身份认证,多因素身份认证,双因素认证,双重身份认证,双重身份认证由,双因素认证系统
扫扫二维码，随身浏览文档
手机或平板扫扫即可继续访问
基于LDAP和双因素身份认证的统一认证
举报该文档为侵权文档。
举报该文档含有违规或不良信息。
反馈该文档无法正常浏览。
举报该文档为重复文档。
推荐理由：
将文档分享至：
分享完整地址
文档地址：
粘贴到BBS或博客
flash地址：
支持嵌入FLASH地址的网站使用
html代码：
&embed src='http://www.docin.com/DocinViewer--144.swf' width='100%' height='600' type=application/x-shockwave-flash ALLOWFULLSCREEN='true' ALLOWSCRIPTACCESS='always'&&/embed&
450px*300px480px*400px650px*490px
支持嵌入HTML代码的网站使用
您的内容已经提交成功
您所提交的内容需要审核后才能发布，请您等待！
3秒自动关闭窗口