随着Internet的飞速发展和应用服务的不断增加,使得网络管理变得越来越复杂,安全问题越来越突出,在互联网上部署应用的潜在风险得到了广泛的认识。作为一种整合、分类、集成和访问校园网信息的方法,校园网门户为学校的学生、教职员工提供了一个获取校园网内部信息的统一平台。在这个平台中,建立一个统一的身份认证和用户管理单点登录系统,对各个应用系统的用户实现统一的认证和统一的管理是校园网信息安全系统建设中的重要环节。用户统一身份认证系统要研究开发一套企业级的用户身份认证平台,提供一个完整的用户身份认证体系。基于目录服务的统一身份认证系统,采用了LDAP标准协议,利用了目录服务的分布式特性,将分布在各个应用系统中的用户和资源信息组织到一个逻辑目录树中,很大程度上简化了认证服务中心和各应用系统之间的通信,降低了系统实现的难度。目录服务系统将LDAP服务器作为身份管理的核心数据库,存储用户身份信息、角色和访问控制信息,对整个系统用户进行统一管理的用户管理服务,执行管理员制定的策略的授权服务。与数据库为中心的分布式网络系统相比,这实现方法具有良好的可扩展性和集中管理功能,灵活性强、实现简单的特点。本系统采用基于可信任第三方的Kerberos认证协议。提出一种LDAP协议和Kerberos认证技术相结合的设计策略,实现了认证服务器的设计。通过AS认证服务和TGS授权服务两大功能模块,实现对用户身份统一认证和授权。运用“票据”的概念,实现了一次签发的机制,方便了用户和管理人员。系统支持双方认证,提高了系统的安全系数。系统支持单点登录方式,通过一次身份验证,可以透明登录到所有授权的应用。实现了通过单点登录把原来分散的用户管理集中起来,自动完成用户对应用的登录,减少用户登录的等待时间。