论文部分内容阅读
[摘要]从政务资源管理的实际需求和目录服务的特点着手,分析构建目录服务系统的重要性,并实现基于目录服务系统政务资源管理。
[关键词]政务资源 轻量级目录访问协议 身份认证 目录服务
中图分类号:TP3文献标识码:A 文章编号:1671-7597(2008)1210065-01
一、引言
随着政府信息化的发展,政府在行使自身职能的过程中产生并管理着大量信息资源。这些信息资源孤立而杂乱的分布在政府活动所触及的部门、行业和地域,构成庞大的立体政务资源网络。
Internet技术的发展为信息资源的共享与交互提供了快捷途径,但是,电子政务信息化建设缺乏统一规划、政务信息资源缺少统一标准,导至政务信息资源分布杂乱、部门间数据格式与存储方式不统一,很难实现资源共享,更难于统一管理,直接影响信息资源的管理利用。因此,必须提供有效的技术手段整合现有的信息资源,提高政府部门对信息资源的共享水平和利用率。
本文提出一种基于LDAP的政务资源目录服务解决方案。以国家电子政务规划的核心元数据作为标准,以树状分层结构存储资源对象,建立与政府组织结构一致的网络结构。通过目录,实现清晰且完整的信息表示,使用者可以最短路径寻找到需要的信息。
二、关键技术分析
(一)LDAP协议
LDAP(轻量级目录访问协议,Lightweight Directory Access Protocol)
是实现提供被称为目录服务的信息服务。
LDAP目录中的信息按照树型结构组织,具体信息存储在条目(entry)的数据结构中。条目相当于关系数据库中表的记录;条目是具有区别名DN(Distinguished Name)的属性(Attribute),DN是用来引用条目的,DN相当于关系数据库表中的关键字(Primary Key)。属性由类型(Type)和一个或多个值(Values)组成,相当于关系数据库中的字段(Field)由字段名和数据类型组成,只是为了方便检索的需要,LDAP中的Type可以有多个Value,而不象关系数据库中为降低数据的冗余性而要求的各个域必须不相关。LDAP中条目的组织一般按照直观地理位置和组织关系进行组织。LDAP把数据存放在文件中,为使用基于索引的文件数据库提高效率。
LDAP的信息是以树型结构存储,树根一般定义国家(c=CN)或域名(dc=com),在其下则定义一个或多个组织(organization)(o=Acme)或组织单元(organizational units) (ou=People)。一个组织单元可能包含诸如所有雇员、单位设备等信息。此外,LDAP支持对条目能够和必须支持哪些属性进行控制,这由一个特殊的称为对象类别(objectClass)的属性来实现。该属性的值决定了该条目必须遵循的一些规则,其规定了该条目能够及至少应该包含哪些属性。
(二)LDAP协议模型
LDAP协议基于以下四种模型:
1.信息模型。在LDAP中,信息以树状方式组织,树状信息中的基本数据单元是条目,而每个条目由属性构成,属性中存储有属性值;LDAP中的信息模式,类似于面向对象的概念,在LDAP中,每个条目必须属于某个或多个对象类(Object Class),每个对象类由多个属性类型组成,每个属性类型有所对应的语法和匹配规则;对象类和属性类型的定义均可以使用继承的概念。每个条目创建时,必须定义所属的对象类,必须提供对象类中的必选属性类型的属性值。
2.命名模型。LDAP命名模型定义用户如何组织和引用数据。LDAP命名模型提供的灵活性,使用户可以用一种易于管理的方式把条目放入目录。例如,可以创建一个条目,用来保存描述组织中人的信息的所有条目。以目录节点为基本组成单元,LDAP目录中的所有目录节点构成了目录信息树。
3.功能模型。在LDAP中共有四类操作:查询类操作,如搜索、比较;更新类操作,如添加条目、删除条目、修改条目、修改条目名;认证类操作,如绑定、解绑定;其它操作,如放弃和扩展操作。除了扩展操作,其他操作都是LDAP的标准操作;扩展操作是LDAP中为了增加新的功能,提供的一种标准的扩展框架,当前已经成为LDAP标准的扩展操作。
4.安全模型。LDAP中的安全模型主要通过身份认证、安全通道和访问控制来实现。
身份认证:LDAP提供三种认证机制,即匿名、基本认证和SASL认证。匿名认证即不对用户进行认证,该方法仅对完全公开的方式适用;基本认证均是通过用户名和密码进行身份识别,又分为简单密码和摘要密码认证;SASL认证即LDAP提供的在SSL和TLS安全通道基础上进行的身份认证,包括数字证书的认证。
三、政务资源目录服务系统的分析与设计
(一)开发环境的搭建
Ext + JSP + Struts + LDAP
(二)目录信息基本库的建立
目录模式是一组规则,用来定义在目录中数据存储的方式。数据在目录树中是以条目的方式存在,每一个条目由一系列的属性及属性值组成,而且每一个条目必须包含一个对象类属性。对象类用来区别不同的条目描述对象,它决定了必须包含的属性以及可以存在的属性,并且包括这些属性的结构和语法。按是否已经正式发布,模式分为两类:
1.已发布的模式。已发布的模式定义文被包在slapd.conf文件中,其中包括:core.schema,consine.schema,inetorgperson.schema,misc.sc
hema,nis.schema openldap.schema。 这些模式中定义定义了条目的对象类和类的相应属性,对于简单的LDAP目录应用,只需要引用该模式后,就可使用。
2.扩展模式。当进行复杂的LDAP目录应用,并输入条目信息时,需要用到一些新的类和类的属性,而这些在已发布的模式中并没有定义,则信息就不能输入到LDAP目录库。此时,必须建立新的模式,即扩展模式,使其支持其它的语法、匹配规则、新的属性类型和对象类。定义扩展模式时,也可以定义多个文件。本文根据国家电子标准化工作组定义的核心元数据,扩展成模式文件sysgov.schema。
(三)功能实现
利于JAVA提供的JNDI开发包提供了对LDAP各类模式的访问,结合扩展模式对政务资源元数据的要求,进行基于STRUCT框架的web应用开发,实现对政务资源的编目、注册及查询功能等标准功能。
四、结束语
本文主要是电子政务政务资源管理中应用LDAP的设计与实现的部分内容。
参考文献:
[1]The OpenLDAP Project. OpenLDAP Software 2.3 Admini-strator's Guide [EB/OL].http://www.OpenLdap.org/doc/admin23/ .
[2]吴晓斌,张月琳.基于LDAP 的校园网统一身份认证系统设计[J].华中科技大学学报,2003(31):332-334 .
[3]黄永锋,王滨,许晓东.RADIUS在802.1 x中的应用[J].计算机工程与设计,2006(5):798-799.
[关键词]政务资源 轻量级目录访问协议 身份认证 目录服务
中图分类号:TP3文献标识码:A 文章编号:1671-7597(2008)1210065-01
一、引言
随着政府信息化的发展,政府在行使自身职能的过程中产生并管理着大量信息资源。这些信息资源孤立而杂乱的分布在政府活动所触及的部门、行业和地域,构成庞大的立体政务资源网络。
Internet技术的发展为信息资源的共享与交互提供了快捷途径,但是,电子政务信息化建设缺乏统一规划、政务信息资源缺少统一标准,导至政务信息资源分布杂乱、部门间数据格式与存储方式不统一,很难实现资源共享,更难于统一管理,直接影响信息资源的管理利用。因此,必须提供有效的技术手段整合现有的信息资源,提高政府部门对信息资源的共享水平和利用率。
本文提出一种基于LDAP的政务资源目录服务解决方案。以国家电子政务规划的核心元数据作为标准,以树状分层结构存储资源对象,建立与政府组织结构一致的网络结构。通过目录,实现清晰且完整的信息表示,使用者可以最短路径寻找到需要的信息。
二、关键技术分析
(一)LDAP协议
LDAP(轻量级目录访问协议,Lightweight Directory Access Protocol)
是实现提供被称为目录服务的信息服务。
LDAP目录中的信息按照树型结构组织,具体信息存储在条目(entry)的数据结构中。条目相当于关系数据库中表的记录;条目是具有区别名DN(Distinguished Name)的属性(Attribute),DN是用来引用条目的,DN相当于关系数据库表中的关键字(Primary Key)。属性由类型(Type)和一个或多个值(Values)组成,相当于关系数据库中的字段(Field)由字段名和数据类型组成,只是为了方便检索的需要,LDAP中的Type可以有多个Value,而不象关系数据库中为降低数据的冗余性而要求的各个域必须不相关。LDAP中条目的组织一般按照直观地理位置和组织关系进行组织。LDAP把数据存放在文件中,为使用基于索引的文件数据库提高效率。
LDAP的信息是以树型结构存储,树根一般定义国家(c=CN)或域名(dc=com),在其下则定义一个或多个组织(organization)(o=Acme)或组织单元(organizational units) (ou=People)。一个组织单元可能包含诸如所有雇员、单位设备等信息。此外,LDAP支持对条目能够和必须支持哪些属性进行控制,这由一个特殊的称为对象类别(objectClass)的属性来实现。该属性的值决定了该条目必须遵循的一些规则,其规定了该条目能够及至少应该包含哪些属性。
(二)LDAP协议模型
LDAP协议基于以下四种模型:
1.信息模型。在LDAP中,信息以树状方式组织,树状信息中的基本数据单元是条目,而每个条目由属性构成,属性中存储有属性值;LDAP中的信息模式,类似于面向对象的概念,在LDAP中,每个条目必须属于某个或多个对象类(Object Class),每个对象类由多个属性类型组成,每个属性类型有所对应的语法和匹配规则;对象类和属性类型的定义均可以使用继承的概念。每个条目创建时,必须定义所属的对象类,必须提供对象类中的必选属性类型的属性值。
2.命名模型。LDAP命名模型定义用户如何组织和引用数据。LDAP命名模型提供的灵活性,使用户可以用一种易于管理的方式把条目放入目录。例如,可以创建一个条目,用来保存描述组织中人的信息的所有条目。以目录节点为基本组成单元,LDAP目录中的所有目录节点构成了目录信息树。
3.功能模型。在LDAP中共有四类操作:查询类操作,如搜索、比较;更新类操作,如添加条目、删除条目、修改条目、修改条目名;认证类操作,如绑定、解绑定;其它操作,如放弃和扩展操作。除了扩展操作,其他操作都是LDAP的标准操作;扩展操作是LDAP中为了增加新的功能,提供的一种标准的扩展框架,当前已经成为LDAP标准的扩展操作。
4.安全模型。LDAP中的安全模型主要通过身份认证、安全通道和访问控制来实现。
身份认证:LDAP提供三种认证机制,即匿名、基本认证和SASL认证。匿名认证即不对用户进行认证,该方法仅对完全公开的方式适用;基本认证均是通过用户名和密码进行身份识别,又分为简单密码和摘要密码认证;SASL认证即LDAP提供的在SSL和TLS安全通道基础上进行的身份认证,包括数字证书的认证。
三、政务资源目录服务系统的分析与设计
(一)开发环境的搭建
Ext + JSP + Struts + LDAP
(二)目录信息基本库的建立
目录模式是一组规则,用来定义在目录中数据存储的方式。数据在目录树中是以条目的方式存在,每一个条目由一系列的属性及属性值组成,而且每一个条目必须包含一个对象类属性。对象类用来区别不同的条目描述对象,它决定了必须包含的属性以及可以存在的属性,并且包括这些属性的结构和语法。按是否已经正式发布,模式分为两类:
1.已发布的模式。已发布的模式定义文被包在slapd.conf文件中,其中包括:core.schema,consine.schema,inetorgperson.schema,misc.sc
hema,nis.schema openldap.schema。 这些模式中定义定义了条目的对象类和类的相应属性,对于简单的LDAP目录应用,只需要引用该模式后,就可使用。
2.扩展模式。当进行复杂的LDAP目录应用,并输入条目信息时,需要用到一些新的类和类的属性,而这些在已发布的模式中并没有定义,则信息就不能输入到LDAP目录库。此时,必须建立新的模式,即扩展模式,使其支持其它的语法、匹配规则、新的属性类型和对象类。定义扩展模式时,也可以定义多个文件。本文根据国家电子标准化工作组定义的核心元数据,扩展成模式文件sysgov.schema。
(三)功能实现
利于JAVA提供的JNDI开发包提供了对LDAP各类模式的访问,结合扩展模式对政务资源元数据的要求,进行基于STRUCT框架的web应用开发,实现对政务资源的编目、注册及查询功能等标准功能。
四、结束语
本文主要是电子政务政务资源管理中应用LDAP的设计与实现的部分内容。
参考文献:
[1]The OpenLDAP Project. OpenLDAP Software 2.3 Admini-strator's Guide [EB/OL].http://www.OpenLdap.org/doc/admin23/ .
[2]吴晓斌,张月琳.基于LDAP 的校园网统一身份认证系统设计[J].华中科技大学学报,2003(31):332-334 .
[3]黄永锋,王滨,许晓东.RADIUS在802.1 x中的应用[J].计算机工程与设计,2006(5):798-799.