高可用ldap校园网统一身份认证设计与实现

  • 格式:pdf
  • 大小:1.61 MB
  • 文档页数:3

价值工程

0引言

在目前高校数字化校园网建设中,统一身份认证已经

成为了必不可少的基础服务之一,实现用户信息、密码、身

份的统一存储、统一检索、统一管理是统一身份认证的基

本功能要求。使用轻量目录访问协议(LDAP:LightDi原rectoryAccessProtocol)产品提供的目录服务实现统一身

份认证服务是大家的常用选择,而OpenLDAP就是其中

之一。1OpenLDAP简介LDAP是由密歇根大学研发的一种的目录访问协议,

其中数据以对象(Object)目录方式组织,对象由可视为键、

值对映射关系的属性(attribute)信息组成。LDAP服务具有

远高于关系数据库的数据查询性能,但写入性能较差,修

改操作也不支持事务机制,所以LDAP服务更适合具有大

量数据读取、查询操作,而写操作较少的业务场景。

LDAP具有X.500和LDAP两个标准,其典型产品包括

OpenLDAP、MicroSoftAD,ApacheDS等;其中OpenLDAP是

一种基于X.500标准并支持TCP/IP网络协议的开源软件实现。

目前OpenLDAP2.4默认后端服务器已经修改为MDB(Memory-MappedDatabase,内存映射数据库),用户

也可使用传统的BerkeleyDB,甚至Mysql等传统关系数

据库。其支持的操作主要有查询操作(ldapsearch),更新

操作(ldapupdate),增加操作(ldapadd),删除操作

(ldapdelte)等。

在OpenLDAP2.4版本中,默认支持配置数据库(cn=config)进行动态配置,也可通过传统的配置(slapd.conf)文件方式进行配置。

2OpenLDAP同步模式OpenLDAP目前采用syncrepl作为同步复制引擎。

Syncrepl以slapd线程形式常驻消费者进程中,使消费者

LDAP服务器保持有DIT片段(目录信息树)影子拷贝,使

用LDAP内容同步协议(LDAPContentSynchronizationprotocol)作为服务器之间数据传输协议定期或根据更新

下拉目录树内容来保持LDAP数据的同步。LDAP内容同步协议(RFC4533)采用refreshOnly(刷

新)和refreshAndPersist(刷新并保持)两种同步机制,两种

同步机制均由客户端服务器发起请求,所不同的是同步完要要要要要要要要要要要要要要要要要要要要要要要

作者简介院倪叶青(1978-),男,浙江海宁人,硕士,高级工程师,研究方向为教育信息化、计算机网络、项目管理。高可用LDAP校园网统一身份认证设计与实现

DesignandImplementationofUnifiedAuthenticationforHighlyAvailableLDAPCampusNetwork

倪叶青NIYe-qing

(浙江经济职业技术学院,杭州310018)(ZhejiangTechnicalInstituteofEconomics,Hangzhou310018,China)

摘要院高校数字化校园网建设中,通过OpenLDAP实现用户信息、身份的统一存储、检索是统一身份认证的常见场景。由于高校用户数量多,用户并发数较大,需要考虑通过OpenLDAP的syncrepl同步机制实现数据统一,辅以相应acl安全设置,搭配前端nginx负载均衡等设备实现校园统一身份认证的高可用性服务。Abstract:Intheconstructionofdigitalcampusnetworkincollegesanduniversities,theunifiedstorageandretrievalofuserinformationandidentitythroughOpenLDAPisacommonscenarioforunifiedidentityauthentication.Duetothelargenumberofcollegeusersandthelargenumberofconcurrentusers,itisnecessarytoconsidertorealizedatasynchronizationthroughthesyncreplsynchronizationmechanismofOpenLDAP,supplementedbythecorrespondingaclsecuritysettings,andrealizethehigh-availabilityserviceforcampusunifiedidentityauthenticationwithdevicessuchasfront-endnginxloadbalancing.

关键词院OpenLDAP;高可用;syncrepl;负载均衡Keywords:OpenLDAP;highavailability;syncrepl;loadbalancing

中图分类号院TP202文献标识码院A文章编号院1006-4311(2019)35-0284-03

图1图2·284·ValueEngineering

成后进行的操作。在refreshOnly机制,消费者服务器(客户

端)采用拉(pull)模式同步,相关请求信息不必维护和跟

踪,通过请求本身的cookie来实现同步。在refreshAnd原Persist机制,生产者服务器(服务端)采用推(push)模式同

步,服务端维护对请求了一个持久性搜索的而消费者服务

器的跟踪,并且当提供者复制内容修改的时候向他们发生

必要的更新,服务端负责发送相应的改变数据,而客户端

负责接受并处理本地ldap条目。Cookie是服务端计算(查

询本地条目)的依据,在每种模式中,都涉及到如何计算数

据的变化,包括:添加的数据、修改的数据以及删除的数

据。Ldap的每个条目包含了时间信息,包括生成时间戳

(createTimestamp)和修改时间戳(modifyTimestamp)。对于

添加和修改的数据,服务端根据客户端传送来的cookie

(包含时间信息)计算得到,并将这些条目信息与客户端进

行同步。OpenLDAP服务器间要实现同步,首要要实现6点基

本要求:淤OpenLDAP服务器之间要求保持时间同步。于

服务器上安装的OpenLDAP软件包版本要求一致。盂各OpenLDAP服务节点之间域名可互相解析。榆各

OpenLDAP服务器需提供相同的配置及DIT(目录信息树)

信息。虞各OpenLDAP服务器数据条目需保持一致。愚各

服务器上Schema文件需保持一致。OpenLDAP2.4版本目前主要拥有5种同步模式。

淤Syncrepl同步(全量)复制模式。Syncrepl同步模式

下slave(从)服务器将以pull(拉)模式从master(主)服务

器同步目录树。当主服务器中某些条目修改属性时,从服

务器会整体同步这些条目,修改所有条目信息。于Delta-syncreplreplication基于日志(增量)同步模

式。相对Syncrepl全量同步模式带来的低效问题,通过基

于changelog日志同步,从服务器可根据日志进行相应的

修改操作,在保证主服务器与从服务器数据一致的同时,

提高数据同步效率,减少同步资源消耗。这种同步模式下,

对服务器mainDB和changelogDB都要做好备份、恢复工

作,以保证数据一致性。盂N-WayMulti-Masterreplication多主多路同步模

式。N-WayMulti-Masterreplication实现了多台主(master)

服务器之间进行LDAP目录信息树同步的目标,服务器可

部署在不同网络,实现高可用性的LDAP服务器,进行故

障切换,更好的提供了LDAP服务器冗余性,避免了单点

故障。榆MirrorModereplication镜像同步模式。镜像同步模

式实现多服务器间的高可用性和单台主服务器持续保证

服务的混合配置,可视作为双机热备工作模式。镜像同步

模式最多只允许两台主服务之间互相以push(推)模式进

行数目录树同步,通过前端服务器的切换,当一台主服务

器发生故障时,另一台服务器可即时切换,但同时只会对

一台服务器进行写操作,故不能视为多主机模式。本文以

此为例介绍OpenLDAP服务器间的同步。(图3)虞SyncreplProxyMode代理同步模式。代理同步模式

用来替代传统的slurpd同步机制,解决了需要人为干涉同

步数据不一致的问题,解决了在增加节点时需要停机的问

题等。3OpenLDAP的负载均衡实现OpenLDAP目前采用syncrepl实现了服务器之间的目

录树信息同步,提供了服务的高可用性,但不管是N-WayMulti-Masterreplication多主多路同步模式还是

MirrorModereplication镜像同步模式,均还需要前端负载

均衡服务配合,以实现真正的性能拓展。

本文以nginx作为负载均衡服务器,以keepalived作

为状态监测服务器进行示例说明;如条件允许,也可以使

用LVS或F5

硬件负载均衡设备进行相应配置。nginx.conf配置文件说明:Keepalived配置文件说明:图3

图4

图5·285·价值工程

4OpenLDAP的安全设置等相关配置作为学校统一身份认证基础设施的OpenLDAP服务,

存有大量师生用户的敏感信息,由于使用户面广,对接应

用系统众多,必须重视OpenLDAP服务的安全防护工作。

首先必须对OpenLDAP服务器管理员账号和密码进行修

改,并保证足够的密码强壮度,并且一定要以密文形式进

行保持和传输。

其次由于LDAP往往对接了很多信息化应用系统,难

于按理想要求进行定期密码修改,故需要进行通过ACL

列表等方式进行安全控制。如:通过该设置,就限制了只有本机和192.168.0.0/24地

址段的用户可对rootdn进行访问。同时配合防火墙等安全

设备控制,提供LDAP校园网统一身份认证的高可用安全

服务。

参考文献院[1]OpenLDAPSoftware2.4Administrator'sGuide.[EB/OL].http://www.openldap.org.[2]郭大勇.Linux/UNIXOpenLDAP实战指南[M].北京:人民邮

电出版社,2016:174-227.[3]章松,刘春波.基于LDAP的高可用目录服务器的设计与

实现.[J]软件,2015,36(12):146-148,157.图70引言

研究背景当今企业的设备逐步面向自动化、连续化及大型化的形式发展,达到了降低生产成本、提高产品质量、减少废品、提高生产率、缩减劳动力、节约能源等要求。由于国内电厂的生产规模在逐步变大,设备的各种组成环节也在逐步变得繁琐,每个环节之间的关联更加密切,即使设备出

现的是一般性故障,也可能会造成所有流程及装置的停产

与停工,在资产密集型企业中这一点显得尤为重要。发展状况:

目前在电力系统中,大部分设备的检修是计划检修体

制,而计划检修的方式是只要设备的维修周期到了就进行

维修,而不管设备的运行状况,因此容易导致设备的过度

检修和缺乏检修。火电厂的生产区域面广、设备分布散,因

巡视工作量大及个别人员责任心不强,常造成漏检和谎检

情况发生,导致设备故障和安全隐患增多。1火电厂点巡检需求分析