SISN10024956 实验技术与管理 .........——第3O卷第1期2013年1月 CN11—2034/T Experimental Technology and Management Vo1.30 No.1 Jan.2013 基于LDAP统一认证的校园网盘系统设计与实现 杨洪雪,詹晓东 (北京电子科技职业学院电信工程学院,北京 100029) 摘要:在实际应用基础上提出了一套基于LDAP(1ightweight directory access protoco1)统一认证的校园网 盘系统解决方案,并对其中涉及的关键技术进行了详细介绍。通过LDAP目录服务技术解决了应用系统不 支持多认证源的问题,将多台服务器集中起来进行高速在线存储服务,为校园网中实现统一身份认证和网盘 共享管理提供了一种参考模型。 关键词:网盘系统设计;LDAP协议;目录服务;身份认证 中图分类号:TP393 文献标志码:A 文章编号:1002—4956(2013)0I一0105—03 Design and implementation of campus network disk system based on I DAP unified authentication Yang Hongxue,Zhan Xiaodong (School of Telecommunication Engineering.Beijing Vocational College of Electronic Science and Technology,Beijing 100029,China) Abstract:On the basis of practice,this article proposes a set of LDAP—based unified authentication of campus network system solution,and the key technologies involved are described in detail.LDAP directory services technology Solves the problem of application system,which does not support multiple authentication sources, multiple servers together to carry out high—speed online storage service,provides a reference model for the uni— ty of identity authentication and network sharing management in the campus network. Key words:design of network disk system;LDAP protocol;directory services;identity authentication 互联网的飞速发展对网络服务器的性能提出了新 到因特网,用户就可以像使用本地存储设备一样管理 网盘系统。实际应用证明该系统具有良好的访问速 度,具有安全性和扩展性。 的挑战。校园网服务器因为访问次数爆炸式的增长而 不堪重负,不能及时处理用户的请求,导致用户长时间 地等待,大大降低了校园网的服务质量;校园网络机房 中频繁地使用U盘,致使病毒泛滥,给网络和机房管 理带来极大困难。基于此,本文提出和设计了LDAP (1ightweight directory access protocol,轻量级目录访 问协议)统一身份认证的校园网盘系统(CNHS),将多 台服务器集中起来进行的高速在线存储服务,其实质 1 LDAP协议 LDAP是一种标准的目录服务技术[1],它基于 X.500标准,可以根据应用的需要进行定制和扩展。 LDAP对Internet访问支持很好,对浏览和查找目录 及读取内容进行了专门的优化,使得读取的速度比一 般的关系型数据库要快。LDAP协议规定了信息的形 是利用多台计算机进行并行计算从而获得较高的计算 处理效率,并把多台服务器硬盘或硬盘阵列中的容量 分配给注册用户使用,为用户提供文件的存储、访问、 式和特性、信息存放的索引和组织方式、分步式的操作 模型等内容。LDAP存储模型包括4个部分: 备份、共享等管理功能。无论在任何地方,只要能连接 收稿日期:2012-06—25 (1)LDAP信息模型,指使用LDAP模式脚本定 义对象类和属性; 基金项目:北京市教育委员会科技发展计划面上项目(KM2010— 00002003) (2)LDAP命名模型,说明如何在目录树中组织 条目的规则; 作者简介:杨洪雪(1972一),女,黑龙江双城,硕士,副教授,主要研究方 (3)LDAP功能模型,指提供访问目录信息的 方法; 向为计算机网络与信息智能化应用研究. E-mail:yhxzxb@sina.corn (4)LDAP安全模型,考虑的是数据安全性问题。 实验技术与管理 LDAP目录中可以存放各种不同类型的数据,如 简单文本、图片信息、URL、二进制数据及证书等。 LDAP协议已经成为一个被广泛支持的用于统一 身份认证跨平台和标准的协议,其易于集成不同应用 系统的特点,成为支持网络系统的重要底层基础技术 之一。 2 CNHS系统设计 2.1系统架构设计 CNHS系统的总体设计架构遵循的设计原则: (1)标准化。遵循文件分级结构标准FHS(file hierarchy standard),遵循Linux标准基础LSB4 (1inux standard base); (2)自动化。客户端通过脚本自动加入主域服 务器; (3)安全性。考虑主控域控制器的安全性,LDAP 目录服务器的访问控制信息; (4)集中化。账号和安全控制管理做到集中化, 主域控制器提供共享服务器的统一接口; (5)扩展性。当用户数目增加时,可以动态增加 共享服务器,对现有的结构没有任何影响。 根据系统的设计原则设计出CNHS系统的总体 架构(见图1),系统由主控域管理服务器、LDAP目录 服务器、校园网盘空间服务器群组成。 主控域服务器 ,SAMBA20 SAMBA服务器群 图1 CNHS系统的总体架构图 主域控制器的作用是组成活动目录,承担域中的 各种管理角色及管理任务,向域中的所有用户提供资 源共享服务,并以主域控制器为安全边界维持活动目 录的安全。学生账号、计算机账号信息通过LDAP目 录服务器查询获得。目录服务器包含了由这个域的账 户、密码、属于这个域的计算机等信息构成的数据库。 学生从任意客户端成功登录到以主域控制器为人 口的Samba服务器群后,系统根据账号信息共享自动 挂装的驱动器,该驱动器自动映射为本地磁盘。每个 学生都有一个属于自己的驱动器,可以存放和读取文 件,学生间的共享信息独立、互不干扰。 2.2 系统身份认证流程分析 CNHS系统的主要工作流程: (1)学生从任意WindowXP客户端使用自己的 账号信息登录,通过LDAP目录服务器进行验证,如 果登录账号和密码匹配,则允许登录,否则,拒绝登录; (2)学生登录成功后,从LDAP目录服务器取得 相应的域信息; (3)主控域服务器验证学生登录的Window客户 端是否属于该域,如果Window客户端属于该域,系统 会结合LDAP目录服务器上取得的共享目录信息,从 Samba服务器群中定位某台Samba服务器,学生可访 问这台Samba服务器的共享目录同时加载自己的配 置文件信息,并使用自己的网盘,否则,拒绝操作。 2.3建立系统的LDAP目录树 LDAP将数据组织为目录信息树DIT(directory in— formation tree)_2],目录树DIT结构需要符合RFC 2308bis推荐标准。LDAP目录中的具体信息存储在条 目(entry)的数据结构中 ]。条目相当于关系数据库中 表的记录,条目是具有区别名DN(distinguished name) 的属性(attribute),DN是用来引用条目的,DN相当于 关系数据库表中的关键字(primary key) 。属性由类 型(type)和一个或多个值(values)组成,相当于关系数 据库中的字段(field)由字段名和数据类型组成,只是为 了方便检索的需要,LDAP中的type可以有多个value, 而不是关系数据库中为降低数据的冗余性要求实现的 各个域必须是不相关的。LDAP中条目的组织一般按 照地理位置和组织关系进行组织,非常直观l5]。 本系统的LDAP目录树如图2所示。以De— edu,dc=cn为树根,下面定义了一个子目录树Dc— dxgc(即一个组织),在子目录树下定义了4个子树(即 组织单元):OU—Users存储学生的账号,OU—Corn— puter存储机房和教室的Windows客户端机器,OU— Groups存储Unix和Windows的系统组,on—DSA 存储与LDAP安全相关的特殊账户 ]。 2.4建立系统的LDAP信息模型 LDAP的信息模型用于存储目录服务器的实体信 息。设计网络管理信息的LDAP信息模型时,需要处 理好如下问题: (1)不同种类的网络管理信息都可以有效地 存储; (2)定义合适的LDAP类和属性; (3)提供合理的命名规则和有效的数据检索 能力。 CNHS系统的LDAP信息模型包括:Microsoft Windows用户账号类(sambaSAMAccount)、Microsoft 杨洪雪,等:基于LDAP统一认证的校园网盘系统设计与实现 Windows计算机账号类(sambaCOMAccount)、Unix用 户账号类(posixAccount)、shadow密码类(shadowAc— count)、用户组类(posixGroup)、LDAP安全相关的特殊 账户类(simpleSecurityObject)等 。 授权管理员 图2 CNHS系统的LDAP目录树结构图 3 CNHS系统的实现 3.1配置LDAP服务器 3.2.2 Sambda服务器全局变量配置 主要配置域的工作组名称、netbios名称、服务器 说明、用户名映射文件、ldap服务器信息(用户账号, 组账号、机器账号的后缀信息及管理员账号信息)、 LDAP目录服务器关键配置如下: (1)创建支持samba协议的ldap schema: cp/usr/share/doe/samba一3.0.33/LDAP/samba.schema 密码同步策略。添加Windows客户端脚本的路径和 选项,添加user脚本的路径和选项,添加group脚本 的路径和选项,删除group脚本的路径和选项,从组 /etc/openldap/schema/ 中删除用户脚本的路径和选项、将一个用户添加到 (2)根据根信息树修改suffix为: suffix dc=dxgc,dc=edu,dc=cn" 组的脚本的路径和选项,设置主组脚本的路径和选 项、字符集编码格式、日志级别,建立socket时的网 络参数、用户登录后的共享空间的驱动器映射、是否 为主域控制器等『1 。 3.2.3 Samba服务器共享信息配置 (3)设置openladp的管理员root access的账号 和密码: rootdn”cn—Manager,dc=dxgc,dc=edu,dc=cn,, rootpw************** 共享学生目录[home]的主要配置项列表:读写权 限、掩码信息;共享网络登录[netlogon]的主要配置项 列表:netlogon路径名、读写权限、隐藏文件列表;共享 (4)配置samba主控域服务器和samba服务 器群。 3.2配置Samba服务器 学生配置文件[profile]的主要配置项列表:配置文件 路径名、读写权限、掩码信息、浏览许可[】 。 PDC—SRV主控域服务器配置类型为:ROLE— DOMAIN—PDC,Samba服务器群配置类型为:ROLE— 4 结束语 利用LDAP目录服务技术设计的校园网盘系统, STANDALONEE 。 3.2.1 Samba服务器配置设计原则 既实现了多认证源的用户统一身份认证管理,也实现 了多台服务器集群的高速在线存储服务[1 。实践证 明:不仅提高了网络的访问速度、安全性、可靠性,也给 域名:DXGC;主控域服务器Samba的netbios名 字pdc—srv;samba服务器群的netbios名字sambaX (X代表编号);服务器允许用户配置文件漫游(roy— ing/roaming);学生home目录位于:/home/XXX 用户提供了极大的方便,达到了统一身份认证的设计 目标,取代了原有网络机房管理方式,取得了很好的社 (XXX代表学生账号);所有samba共享位于/home/ 会效益和经济效益,为网络管理提供一种参考模型。 (下转第118页) samba/*下;配置主控域服务器为域浏览器 ]。 118 实验技术与管理 放机器人运动控制器设计部分和固化硬件电路部分, 提供给学生针对机器人运动控制问题,进行改进控制 算法的平台。 2.6.2. 实验内容和实验步骤 资源得到充分利用。 感谢:机器人运动控制系统实验设计与实现是基 于学生陈永安的本科毕业设计工作完成的,特此表示 感谢。 按图2构建系统:连接串口,给直流伺服电机控制 器上电。打开VC解决方案Car—Contro1.sln。 (1)前进后退。 参考文献(Re{erences) [1]徐德,邹伟.室内移动式服务机器人的感知、定位与控制[M].北京: 科学出版社,2008. ①重新创建main.c文件,并编写主函数main(), E2]陈永安.召唤式捡球机器人的运动控制系统设计与实现[D].广州: 包含头文件Car—Contro1.h; 广东工业大学,2011. ②在主函数中一次调用InitUartl,InitSMC,完 [3]ChaN.ELM-DC Servomotor Controller[EB/OL ̄.[2012—03一i1]. 成串口和直流伺服电机控制器的初始化; http://elm chan.org/works/smc/report—e.htm1. ③调用GoLine,实现前进和后退。 F4]王兆安,黄俊.电力电子技术[M].4版.北京:机械工业出版 (2)旋转运动控制程序。 社,2000. ①重新创建main.c文件,并编写主函数main(), E5]Yang Jungnin,Kim Jonghwan.Sliding Mode Control for Trajectory Tracking of Nonholonomic Wheeled Mobile Robots[J].IEEE 包含头文件Car—Contro1.h; Transactions on Robotics and Automation,1999,15(3):578 587. ②在主函数中一次调用InitUartl,InitSMC,完 [6]Dubins L E.On curves of minimal length with a constraint on aver— 成串口和直流伺服电机控制器的初始化; age curvature and with prescribed initial and terminal position and ③调用GoArc,实现原地旋转和圆弧运动。 tangentsEJ].American Journal of Mathematics,1957(79):497—516. (3)添加控制算法。 I-7]Yeol J W,Ryu Y S,Montalvo M A.Shortest Trajectory Planning of 在上述2个实验中添加代码,实现平稳启动和停 Wheeled Mobile Robots with Constraints[J].Proceedings of IEEE Networking,Sensing and Control,Arizona,2005:883—888. 车。算法自行设计。 [8]Configuring a Communications Resource[EB/0L].[2012-03—11]. 3 结束语 http://msdn.microsoft.com/en—us/1ibrary/aa3632O1.aspx. [9]张东军,郭文成,刘莲花.基于红外超声光电编码器的室内移动小车 目前,机器人运动控制系统实验设计与实现在相 定位系统EJ].电子工程师,2007,33(3):70—76. 关基金项目的资助下正准备引入本科实验教学中,已 [1O]丁伟,孙华,曾建辉.基于多传感器信息融合的移动机器人导航综 述EJ].传感器与微系统,2006,25(7):1-3. 经经过部分学生和教师的试运行,受到好评。实践表 [11]郭彤颖,蔡安勇,郑舂晖.移动机器人导航与定位研究进展[J].科 明:这种引导本科毕业设计学生参与实验室建设方式, 技广场,2008(7):229—231. 在实验设备紧张的情况下,既能让学生有机会参与具 ElZ]田国会,李晓磊.家庭服务机器人智能空间技术研究与进展[J].山 体实践,同时学生的优秀设计又可以服务于实验室建 东大学学报:工学版,2007,37(5):53—58. 设,为后届学生提供参考和开设新的实验项目,使实验 (上接第107页) 2003,23(1O):82—84. E6]胡立春,武友新,张烨,等.LDAP环境下的统一用户管理系统的研 参考文献(References) 究与实现[J].计算机工程与设计,2007,28(2):823—825. [7]李澜,王峰,钱华林.LDAP目录及研究现状[J].微电子学与计算 [1]Bergeson B,Boogert K,Vijay K.Nanjunda swamy.LDAP Schema 机,2005,22(6):48—52. for UDD Iv3[EB/OL].[2012—04—25].http://ietfreport.isoc.org/ [8]郑岚,陈奇.基于LDAP的统一访问控制系统的设计与实现[J].计 all—ids/draftberges0n—uddi—ldap—schema一06.txt. 算机工程与设计,2005,26(7):1865—1885. [2]Butcher M.Approximation approach to performance evaluation of proxy cache server systemsEJ].AnnalesMathematicae et Informati— [9]李欣,刘丹.基于LDAP实现多认证源的统一身份认证实践[J].现 代图书情报技术,2011(4):90. cae,2009,36(8):15—28. [3]任军.基于LDAP的目录服务综述[J].计算机应用研究,2005 [1O]赵春,赵成栋,康建初.在基于域的网络管理中应用的研究[J].计 算机工程与应用,2004(18):141—143. (5):8-10. [11]左晓珲,沈富可,任肖丽,等.基于LDAP的校园网统一身份认证 [4]蒿敬波.SASL技术的认证机制与应用研究EJ].计算机工程,2003, 技术简介[J].计算机与数字工程,2006,34(9):86—99. 29(2):177—178. [5]于剑.LDAP目录服务在Web开发中的应用[J].计算机应用, [12]杨鹏.Linux服务器架设[M].北京:清华大学出版社,2008.