• 浪潮孙丕恕从信息时代到智能时代 人工智能价值将爆发式释放 2019-12-21
  • 四川郎酒股份有限公司获第十二届人民企业社会责任奖年度环保奖 2019-05-13
  • 银保监会新规剑指大企业多头融资和过度融资 2019-05-12
  • 韩国再提4国联合申办世界杯 中国网友无视:我们自己来 2019-05-11
  • 中国人为什么一定要买房? 2019-05-11
  • 十九大精神进校园:风正扬帆当有为 勇做时代弄潮儿 2019-05-10
  • 粽叶飘香幸福邻里——廊坊市举办“我们的节日·端午”主题活动 2019-05-09
  • 太原设禁鸣路段 设备在测试中 2019-05-09
  • 拜耳医药保健有限公司获第十二届人民企业社会责任奖年度企业奖 2019-05-08
  • “港独”没出路!“梁天琦们”该醒醒了 2019-05-07
  • 陈卫平:中国文化内涵包含三方面 文化复兴表现在其中 2019-05-06
  • 人民日报客户端辟谣:“合成军装照”产品请放心使用 2019-05-05
  • 【十九大·理论新视野】为什么要“建设现代化经济体系”?   2019-05-04
  • 聚焦2017年乌鲁木齐市老城区改造提升工程 2019-05-04
  • 【专家谈】上合组织——构建区域命运共同体的有力实践者 2019-05-03
    • / 18
    • 下载费用:30 金币  

    重庆时时彩后庄: 用于为LDAP客户端提供服务的方法、装置和中央服务器.pdf

    关 键 词:
    用于 LDAP 客户端 提供 服务 方法 装置 中央 服务器
      专利查询网所有资源均是用户自行上传分享,仅供网友学习交流,未经上传用户书面授权,请勿作他用。
    摘要
    申请专利号:

    CN201180074569.7

    申请日:

    2011.11.03

    公开号:

    CN103907111A

    公开日:

    2014.07.02

    当前法律状态:

    驳回

    有效性:

    无权

    法律详情: 发明专利申请公布后的驳回IPC(主分类):G06F 17/30申请公布日:20140702|||实质审查的生效IPC(主分类):G06F 17/30申请日:20111103|||专利申请权的转移IPC(主分类):G06F 17/30变更事项:申请人变更前权利人:瑞典爱立信有限公司变更后权利人:爱立信(中国)通信有限公司变更事项:地址变更前权利人:瑞典斯德哥尔摩变更后权利人:100102 北京市朝阳区利泽东街5号爱立信大厦登记生效日:20140613|||公开
    IPC分类号: G06F17/30 主分类号: G06F17/30
    申请人: 瑞典爱立信有限公司
    发明人: 郑尧天
    地址: 瑞典斯德哥尔摩
    优先权:
    专利代理机构: 中国专利代理(香港)有限公司 72001 代理人: 柯广华;刘春元
    PDF完整版下载: PDF下载
    法律状态
    申请(专利)号:

    CN201180074569.7

    授权公告号:

    |||||||||

    法律状态公告日:

    2018.12.07|||2015.02.04|||2014.07.09|||2014.07.02

    法律状态类型:

    发明专利申请公布后的驳回|||实质审查的生效|||专利申请权、专利权的转移|||公开

    摘要

    本发明涉及用于从具有多个后端的中央服务器向轻量目录访问协议LDAP客户端提供服务的装置、方法和中央服务器。从LDAP客户端接收对于访问服务的LDAP请求,并根据LDAP请求识别所请求的服务。根据为所请求的服务预先定义的规则调度一个或多个后端以提供服务,该规则指示哪个(哪些)后端要用于所请求的服务。根据该规则用相应后端请求查询所调度的后端以获得后端响应。形成基于所获得的后端响应的LDAP响应,并将所述LDAP响应提供给LDAP客户端。这允许具有多个后端的中央服务器以更高效的方式为LDAP客户端提供服务。

    权利要求书

    权利要求书
    1.   一种装置(330,400,500),用于从具有多个后端(341,342,343,344)的中央服务器(300)向轻量目录访问协议LDAP客户端提供服务,所述装置包括:
    LDAP对接单元(410),配置成从所述LDAP客户端接收对于访问服务的LDAP请求,并向所述LDAP客户端提供LDAP响应;
    后端调度单元(420),配置成根据所述LDAP请求识别所请求的服务,并根据为所请求的服务预先定义的规则调度一个或多个后端以提供服务,所述规则指示哪个后端或哪些后端要用于所请求的服务;以及
    后端对接单元(430),配置成根据所述规则用相应后端请求来查询所调度的后端并获得后端响应,
    其中所述后端调度单元(420)进一步配置成基于所获得的后端响应形成对所述LDAP客户端的LDAP响应。

    2.   如权利要求1所述的装置,其中更新所述规则以适应于所述中央服务器中的后端改变。

    3.   如权利要求1所述的装置,其中所述规则进一步指示所请求的服务与相应后端请求之间的映射关系。

    4.   如权利要求3所述的装置,其中所述后端对接单元配置成基于所述映射关系生成对于每个所调度后端的后端请求。

    5.   如权利要求1所述的装置,其中所述规则进一步指示所调度的后端要遵循的操作逻辑。

    6.   如权利要求1所述的装置,其中所述后端调度单元配置成组合所获得的后端响应中的信息或移除所获得的后端响应中的重复信息。

    7.   一种方法(600,700),所述方法从具有多个后端的中央服务器为轻量目录访问协议LDAP客户端提供服务,所述方法包括如下步骤:
    从所述LDAP客户端接收对于访问服务的LDAP请求(610);
    根据所述LDAP请求来识别所请求的服务(620);
    根据为所请求的服务预先定义的规则来调度一个或多个后端以提供服务(630),所述规则指示哪个后端或哪些后端要用于所请求的服务;
    根据所述规则用相应后端请求来查询所调度的后端以获得后端响应(640);以及
    基于所获得的后端响应形成LDAP响应,并向所述LDAP客户端提供所述LDAP响应(650)。

    8.   如权利要求7所述的方法,其中更新所述规则以适应于所述中央服务器中的后端改变。

    9.   如权利要求7所述的方法,其中所述规则进一步指示所请求的服务与相应后端请求之间的映射关系。

    10.   如权利要求9所述的方法,其中所述查询包括基于所述映射关系生成对于每个所调度后端的后端请求。

    11.   如权利要求7所述的方法,其中所述规则进一步指示所调度的后端要遵循的操作逻辑。

    12.   如权利要求7所述的方法,其中所述形成包括组合所获得的后端响应中的信息或者移除所获得的后端响应中的重复信息。

    13.   一种中央服务器(310),包括如权利要求1-6中任一项所述的装置。

    14.   一种计算机程序产品,包括其上具有计算机可读代码的计算机可读介质,所述计算机可读代码当在计算机中加载时使所述计算机执行如权利要求7-12中任一项所述的方法。

    说明书

    说明书用于为LDAP客户端提供服务的方法、装置和中央服务器
    技术领域
    本发明一般涉及轻量目录访问协议(LDAP)领域,并且尤其是涉及用于为LDAP客户端提供服务的方法、装置和中央服务器。
    背景技术
    在电信网络环境中,用于登录UNIX服务器或网络单元(NE)的用户账户由中央服务器管理,中央服务器一般是中央认证和授权服务器。用户的信息(比如用户账户)例如存储在目录服务器或关系数据库中。随着技术的进步,一个目录服务器或关系数据库可用于不同的应用,而一个应用也可使用不同的目录服务器或关系数据库。
    由于历史原因,特别是为了认证和授权的目的,中央服务器将包括用于服务于不同客户端的不同类型目录服务器或关系数据库。目录服务器和关系数据库等在下文被统称为“后端”。现有后端例如包含LDAP服务器、RADIUS(远程访问拨入用户服务)服务器、Mysql服务器、MS SQL服务器、Oracle数据库、DB2或XML文件等。有时,它们中的一个或一些一起用于充当用于认证和授权或其它服务的中央用户数据库。
    现今,LDAP客户端(例如pam_ldap(LDAP可插入式认证???或nss_ldap(LDAP名称服务开关))经常安装在例如UNIX服务器或NE中以向LDAP服务器请求诸如认证、授权、密码改变、名称服务等服务。然而,尽管中央服务器可具有多个后端,LDAP客户端仅能支持与LDAP服务器的连接,但它们不能与其它后端交互作用。如果UNIX服务器或NE要使用其它后端中的信息,则它们需要安装用于相应后端的客户端。这意味着,每当在中央服务器中引入新后端时,可请求服务的所有UNIX服务器或NE都将必须升级以具有对应客户端。所有这些都高度增加了服务器管理成本和客户端升级成本。
    发明内容
    本发明的目的是提供改进的方法、装置和中央服务器以消除至少一些上面提到的缺点。
    根据本发明的第一方面,本发明提供了用于从具有多个后端的中央服务器向轻量目录访问协议LDAP客户端提供服务的装置。该装置包括:LDAP对接单元,配置成从所述LDAP客户端接收对于访问服务的LDAP请求,并向所述LDAP客户端提供LDAP响应;后端调度单元,配置成根据所述LDAP请求识别所请求的服务,并根据为所请求的服务预先定义的规则调度一个或多个后端以提供服务,所述规则指示哪个(哪些)后端要用于所请求的服务;以及后端对接单元,配置成根据所述规则用相应后端请求来查询所调度的后端,并获得后端响应。后端调度单元进一步配置成基于所获得的后端响应形成对LDAP客户端的LDAP响应。
    这提供了将LDAP客户端与不同后端连接的机制,原因在于通过将LDAP请求描述为服务而将LDAP请求变换成相应的后端请求。这也使中央服务器中后端的类型和数量对LDAP客户端隐藏了,原因在于后端被合并了,并且作为整体运作,就像单个中央用户数据库。因而,LDAP客户端可与不同后端“谈话”,并且利用来自多个后端的用户信息或其它资源。即便中央服务器中的后端改变了,但也没有对于在UNIX服务器或NE中安装新客户端或移除其中旧客户端的需要。这实质上降低了适应于后端改变的成本和影响,并使中央服务器能够以更高效的方式提供其服务。
    优选地,更新所述规则以适应于所述中央服务器中的后端改变。
    这允许在中央服务器中后端改变的情况下灵活地配置或修改后端协作的方式。
    优选地,所述规则进一步指示所请求的服务与相应后端请求之间的映射关系。附加地,所述后端对接单元基于所述映射关系生成对于每个所调度后端的后端请求。备选地,所述规则进一步指示所调度的后端所遵循的操作逻辑。
    这允许容易地将新类型的后端与新协议结合。
    优选地,所述后端调度单元配置成组合所获得的后端响应中的信息或移除所获得的后端响应中的重复信息。
    所述多个后端可包括LDAP服务器、RADIUS服务器、MS SQL服务器、Oracle服务器、DB2服务器或XML文件。
    根据本发明的第二方面,本发明提供了用于从具有多个后端的中央服务器为轻量目录访问协议LDAP客户端提供服务的方法。所述方法包括如下步骤:从所述LDAP客户端接收对于访问服务的LDAP请求;根据所述LDAP请求识别所请求的服务;根据为所请求的服务预先定义的规则调度一个或多个后端以提供服务,所述规则指示哪个(哪些)后端要用于所请求的服务;根据所述规则用相应后端请求来查询所调度的后端以获得后端响应;以及基于所获得的后端响应形成LDAP响应,并向所述LDAP客户端提供所述LDAP响应。
    根据本发明的第三方面,本发明提供了包括根据本发明的装置的中央服务器。
    根据本发明的第四方面,本发明提供了包括其上具有计算机可读代码的计算机可读介质的计算机程序产品,所述计算机可读代码当在计算机中加载时使计算机执行根据本发明的方法。
    附图说明
    根据优选实施例和附图的如下描述,本发明的以上和其它目的、特征和优点将变得更加明显。
    图1例证了用于提供服务的现有技术系统的示例。
    图2例证了用于经由多个后端提供服务的现有技术系统的另一示例。
    图3例证了在其中实现本发明一个实施例的系统。
    图4例证了根据本发明实施例的虚拟LDAP服务器的框图。
    图5例证了根据本发明实施例的虚拟LDAP服务器的示范架构。
    图6例证了根据本发明实施例的方法的流程图。
    图7例证了由在图5中描绘的虚拟LDAP服务器执行的示范方法的流程图。
    具体实施方式
    在如下描述中,为了说明而不是限制的目的,阐述了特定细节,诸如具体架构、接口和技术等,以便例证。然而,本领域技术人员将要明白,脱离这些特定细节的其它实施例仍将被理解为在本发明的范围内。而且,为了清晰的目的,众所周知的装置、电路和方法的详细描述被省略了,以不至于使本发明的描述模糊不清。应该明确理解,附图是为了例证性目的而包含的,并不表示本发明的范围。在附图中,不同图中的相似附图标记可标明类似单元。
    在下文,详细参考附图提供了本发明实施例的描述。
    图1例证了用于提供服务的现有技术系统100的示例。如图1所示,系统100包括中央服务器110和多个UNIX服务器121以及NE 122。中央服务器110仅包括一个后端,即LDAP服务器130。为了建立与这个LDAP服务器130的会话,UNIX服务器121和NE122在其中已经安装了LDAP客户端,例如支持LDAP协议的pam_ldap和nss_ldap。
    图2例证了用于经由多个后端提供服务的现有技术系统200的另一示例。如图2所示,系统200还包括中央服务器210以及UNIX服务器221和NE 222。但是中央服务器210包括多个后端,其包含LDAP服务器231、Mysql服务器232和RADIUS服务器233。为了建立与不同后端的会话,UNIX服务器221和NE 222已经在其中安装了LDAP客户端,Mysql客户端和RADIUS客户端,以便支持后端的不同协议。
    在此现有技术系统200中,由于LDAP客户端仅支持LDAP协议,因此它仅能与LDAP服务器231谈话,而不能与Mysql服务器232或RADIUS服务器233谈话。因而,如果UNIX服务器或NE仅安装有LDAP客户端,则将阻止它们利用存储在Mysql服务器232或RADIUS服务器233中的用户信息或其它资源。另一方面,即便在UNIX服务器或NE中安装了多个客户端,但它们也将与不同后端单独通信,并且多个后端中的资源未被有效整合。
    图3例证了在其中实现本发明一个实施例的系统300。如图3中所示,系统300包括中央服务器310(例如安全性中央服务器)和多个UNIX服务器321以及NE 122。LDAP客户端(例如pam_ldap和nss_ldap)安装在UNIX服务器321和NE 322中以请求服务,比如认证或授权或其它服务等。中央服务器310包括多个后端,其包含LDAP服务器341、Mysql服务器342和RADIUS服务器343以及其它数据库344。如将理解的,尽管仅例证了pam_ldap和nss_ldap,但系统中也可存在其它类型LDAP客户端。
    根据本发明实施例,在UNIX服务器321和NE 322与后端341、342、343、344之间实现了在图3中标为虚拟LDAP服务器330的装置。虚拟LDAP服务器330一方面使用LDAP协议与UNIX服务器321和NE 322中的pam_ldap或nss_ldap通信,而另一方面,分别使用它们的对应协议与后端341、342、343、344通信。例如,虚拟LDAP服务器330经由LDAP协议连接到LDAP服务器341,经由JDBC协议连接到Mysql服务器342,经由RADIUS协议连接到RADIUS服务器343,等等。
    虚拟LDAP服务器330本身不存储用户信息或其它类似数据本身,但它在LDAP客户端方面作为LDAP服务器出现。同时,对于不同后端,虚拟LDAP服务器可充当它们的相应客户端。在一种实现中,虚拟LDAP服务器330可在LDAP协议中从UNIX服务器321或NE322接收LDAP请求,并且它然后可使用相应后端协议与中央服务器310中的不同后端谈话,以获得对于LDAP请求的一个或多个后端响应。虚拟LDAP服务器330可处理所获得的后端响应以形成适合于LDAP请求的LDAP响应,并且然后向发出请求的UNIX服务器或NE发送此LDAP响应。
    这使例如UNIX服务器或NE中的LDAP客户端不仅能由LDAP服务器服务,而且能由其它后端服务,并且当中央服务器中的后端改变时,不会影响UNIX服务器或NE??悸窍低持杏惺烤薮蟮腖DAP客户端,引入虚拟LDAP服务器将大大增加对中央服务器中存在的各种后端的利用率。如果UNIX服务器或NE已经安装了LDAP客户端,则这也消除了对于安装其它客户端的需要。
    如将认识到的,尽管虚拟LDAP服务器330在图3中被例证为集成到中央服务器310中,但它也可实现为独立的装置。
    图4例证了根据本发明实施例的虚拟LDAP服务器400的框图。虚拟LDAP服务器400允许提供将LDAP客户端连接到中央服务器中不同类型后端的机制,并允许两个或更多后端协作以向LDAP客户端提供例如认证或授权的服务或其它服务。
    如图4中所示,虚拟LDAP服务器400可包括LDAP客户端对接单元410、后端调度单元420和后端对接单元430,它们操作上耦合在一起。
    LDAP对接单元410可从LDAP客户端接收对于访问服务的LDAP请求,并向LDAP客户端提供LDAP响应。LDAP对接单元410使用LDAP协议与LDAP客户端连接,这使虚拟LDAP服务器400对于LDAP客户端而言作为“真实”LDAP服务器出现。LDAP客户端的类型例如可以是pam_ldap或nss_ldap。
    后端调度单元420可根据LDAP请求识别所请求的服务。在一种实现中,当后端调度单元420接收由LDAP对接单元410传递的LDAP请求时,它可分析LDAP请求以确定请求什么服务。作为一个示例,如果LDAP请求是“绑定”操作请求,则该服务可被识别为“认证”。此识别例如可基于RFC 2251?;蛘弑秆〉?,它可基于请求中的关键字,或者基于记录请求与服务之间对应关系的列表。
    后端调度单元420可根据为所请求的服务预先定义的规则来调度一个或多个后端以提供服务,并且此规则指示哪个(哪些)后端要用于所请求的服务。优选地,该规则进一步规定调度逻辑,其包含要由每个调度的后端遵循的操作逻辑以及可选地操作次序,以便更好地处理所请求的服务。更优选地,该规则指示服务与后端请求之间的映射关系。本文所使用的术语“后端请求”在广义上被解释成包含用于与后端建立会话或连接到后端的任何请求等,以便请求或获得某一服务,并且后端请求与对应的后端协议兼容。在一种实现中,规则可保存在例如名为logic.VLS的文件中。下文描述规则示例。
    例如,如果所请求的服务被识别为“authentication(认证)”,则规则可以是:

    上面的规则指示:如果根据LDAP请求识别的服务是“authentication(认证)”,则Mysql服务器和例如具有路径:  /opt/config/files/data.xml的文件以及可能的LDAP服务器要用于此服务。该规则然后规定用于这些后端的调度逻辑,它们是:Mysql服务器和文件首先被查询以检索用于认证目的的属性值或单元“username(用户名)”和“password(密码)”,原因在于在此使用“AND(与)”运算符,并且如果经由Mysq服务器和文件的认证都通过了,则将返回响应“true(真)”;如果这两个认证都未通过,则使用在其中定义的属性查询LDAP服务器。
    作为另一示例,如果所识别的服务是“get Login Warning(得到登录警告)”,则规则可以是:

    此规则指示:Mysql服务器要用于此服务,并且调度逻辑要查询Mysql服务器以检索属性值“loginwarning(登录警告)”并且然后返回该值。
    好处是明显的,原因在于通过容易地修改规则可实现后端的灵活组合或与给定服务关联的后端改变。例如,如果新要求是从LDAP服务器或文件而不是从Mysql服务器得到例如登录警告信息,则仅需要对文件logic.VLS中的规则进行修改。因而,当新后端添加到中央服务器中时,它可被合并以通过在新规则中定义该后端或者在旧规则中引入该后端来提供服务。优选地,当后端添加到中央服务器中或从中央服务器中移除时,将人为更新或者自动更新规则。
    后端对接单元430可根据规则用相应后端请求来查询所调度的后端,并获得相应后端响应。根据一个实施例,基于该规则生成对于所调度后端的后端请求。
    例如,与在“auth(认证)”服务情况下一样,规则可指示:
    Mysql:"username"和"password";以及
    File:"username"和"password"。
    在此情况下,如果例如使用JAVA语言利用伪代码来生成后端请求,则对于文件服务器的后端请求例如可以是“File file=new File ("/opt/data/data.xml"); //然后从xml文件得到用户名单元和密码单元的值”,并且JDBC协议中对于Mysql服务器的后端请求例如可以是:
    Connection con=DriverManager.getConnection(url, "admin","");
    Statement stmt=con.createStatement();
    ResultSet rs=stmt.executeQuery("SELECT username, password FROM user")。
    如将理解的,在其它实现中,可用与对应的后端协议兼容的其它形式生成后端请求。
    优选地,该生成基于在规则中指示的操作逻辑,并且查询按在规则中指示的次序执行。
    后端调度单元420可基于所获得的后端响应来形成LDAP响应。根据一个实施例,如果所获得的响应正好是LDAP响应,则后端调度单元420可将此LDAP响应传递到LDAP客户端对接单元410以发送到发出请求的LDAP客户端。如果所获得的后端响应来自其它后端或者来自若干后端,则后端调度单元420可处理这些后端响应以形成LDAP响应。例如,后端调度单元420可组合在不同后端响应中的信息,或者从这些后端响应中移除重复信息,以形成适合于LDAP客户端的LDAP响应。
    因而,LDAP客户端可向中央服务器请求服务(即便这个中央服务器不包括LDAP服务器),并且LDAP客户端可利用除LDAP服务器以外的其它后端中的用户信息或其它资源。
    图5例证了根据本发明实施例的虚拟LDAP服务器500的示范实现,其示出了虚拟LDAP服务器的高级设计。
    如所例证的,虚拟LDAP服务器500包括服务层单元510、虚拟LDAP服务器核521、LDAP协议处理机522、数据层单元523和后端操作器(诸如LDAP操作器531、Mysql操作器532、RADIUS操作器533和其它可能的操作器534),它们操作上耦合在一起。
    服务层单元510可与LDAP客户端对接,并且充当LDAP客户端对接单元。服务层单元510可从LDAP客户端(例如nss_ldap和pam_ldap)接收对于访问中央服务器中服务的请求,并且例如在端口389上向发出请求的LDAP客户端发送响应。服务层单元510支持LDAP协议。
    在此实施例中,虚拟LDAP服务器核521、LDAP协议处理机522和数据层单元523以及后端配置524一起工作以充当后端调度单元。
    虚拟LDAP服务器核521与服务层单元510、LDAP协议处理机522和数据层单元523耦合,并在它们之间分布工作流程。虚拟LDAP服务器核521可初始化和保存指示中央服务器中后端的配置的后端配置524。后端配置524包括后端的定义,诸如IP地址、主机名称、端口号等等。例如,该定义例如可定义在definition.VLS文件中,比如下面:

    此定义例如可用于对相应后端进行寻址或访问。
    后端配置524也可包括上面所描述的使若干后端能够一起平滑工作的规则。
    虚拟LDAP服务器核521可在从服务层单元510接收到LDAP请求时指令LDAP协议处理机522根据LDAP请求识别所请求的服务。当获知所请求的服务时,虚拟LDAP服务器核521可在后端配置中查找用于所请求的该服务的规则,并向数据层单元523分布规则以便调度后端来提供服务。虚拟LDAP服务器核521可从数据层单元523接收响应,并且如果该响应是LDAP响应,则它将这些响应直接传递到服务层单元510,否则,它将调用LDAP协议处理机522以将这些响应变换成LDAP响应。
    LDAP协议处理机522可基于LDAP请求来识别所请求的服务。在一种实现中,LDAP协议处理机522可进一步从LDAP请求中得到与服务相关的参数。在此情况下,LDAP协议处理机522将LDAP请求变换成指示所识别服务和相关参数两者的动作。例如,它可从认证LDAP请求中得到比如用户名“administrator”和密码“foo”的参数,然后LDAP请求可变换成比如具有用户名为“administrator”且密码为“foo”的“auth”等动作。类似地,LDAP协议处理机522可将改变密码LDAP请求变换成比如用于具有新密码“foo2”的用户名“administrator”的“changepw”等动作。LDAP协议处理机522然后将通知虚拟LDAP服务器核521这些动作。
    然后,虚拟LDAP服务器核521可基于在所通知动作中识别的服务来检索规则,并将该规则与相关参数一起传递到数据层单元523。
    数据层单元523可从虚拟LDAP服务器核521接收规则,并根据该规则调度一个或多个后端。优选地,数据层单元523可根据该规则确定将涉及哪些后端以及可选地确定它们的操作逻辑和/或操作次序(即它们将如何动作)以提供所请求的服务。在一种实现中,数据层单元523可鉴于该规则生成对于每个所调度后端的后端请求,并且调用相应后端操作器以相应地用后端请求查询。如果接收到所请求服务的相关参数,则生成后端请求可进一步基于这些参数。
    作为示例,假定动作是用于具有新密码“foo”的用户名“test”的“Changepw”,并且用于此动作的规则在logic.VLS中被预先定义为:

    数据层单元523可从虚拟LDAP服务器核521接收此规则以及用户名“test”和新密码“foo”的参数。数据层单元523可根据该规则确定对于这个动作“Changepw”,将仅使用LDAP服务器。    在此示例中,使用“SSHA”的规则“LDAP:“ou=People,o=oamplatform”和“userPassword”描述用于执行此动作的操作逻辑,其中要在LDAP服务器中改变的区分名称(DN)是对象“uid=test,ou=People,o=oamplatform”的“userPassword”属性,并且密码将使用SSHA加密。数据层单元523然后将调用LDAP操作器来改变LDAP服务器中的密码??裳〉?,数据层单元532可基于规则和所接收的参数生成例如changepw LDAP请求,并将它发送给操作器。
    数据层单元523还可负责处理来自后端的响应。例如,在认证请求的情况下,数据层单元523将比较从LDAP请求导出的参数“用户名”和“密码”与后端响应中的参数,并且然后向虚拟LDAP服务器核521返回认证结果,即真或假。如果在不同后端响应中存在重复信息,例如重复名称,则数据层单元523将移除冗余的信息。
    后端操作器可充当后端对接单元。它可遵循来自数据层单元523的指令,并且相应地查询后端。这可需要在后端配置中所存储的后端定义。如图5中所示,后端操作器包含操作以通过LDAP协议与LDAP服务器通信的LDAP操作器531、操作以通过JDBC与Mysql服务器通信的Mysql操作器532、操作以通过RADIUS与RADIUS服务器通信的RADIUS操作器533和操作以与其它服务器通信的其它操作器534。后端操作器可接收由数据层单元523对于查询后端生成的后端请求。备选地,它可生成由数据层单元523所指令的后端请求。
    如将认识到的,本发明不限于LDAP服务器、Mysql服务器和RADIUS服务器。如果存在其它类型后端,则它们的对应操作器可安装在虚拟LDAP服务器中以便支持与它们的会话。如果引入新类型的后端,则对应的操作器可被添加在虚拟LDAP服务器中。这将使其容易扩展或减少中央服务器中的后端,而对客户端没有影响。
    优选地,虚拟LDAP服务器500可进一步包括登录???25。由于假设有关安全性的任何操作都记录在某一地方,因此这个登录???25可将安全性消息写在日志文件中。
    在此类虚拟LDAP服务器的帮助下,使用LDAP协议的LDAP客户端可与不同类型的后端或数据库谈话,并且后端的任何改变都将对客户端隐藏。这允许容易地在中央服务器中合并新类型或不同类型的后端以提供服务。
    图6例证了根据本发明实施例的方法600的流程图。此方法600用于从具有多个后端的中央服务器为LDAP客户端提供服务。
    如所例证的,在步骤610中,从LDAP客户端接收对于访问服务的LDAP请求。此LDAP请求例如可由nss_ldap或pam_ldap发送以便请求认证或授权或其它服务。
    在步骤620,根据LDAP请求识别所请求的服务。例如,所识别的服务可以是认证、授权、改变密码或得到登录警告等。优选地,从这个LDAP请求中还导出与服务关联的参数,诸如用于认证服务的用户名和密码、用于改变密码服务的用户名和新密码等。
    在步骤630,根据为所请求的服务预先定义的规则调度一个或多个后端来提供服务,该规则指示哪个(哪些)后端要用于所请求的服务。优选地,该规则进一步指示用于调度后端的调度逻辑,其包含每个所调度后端的操作逻辑以及它们的操作次序。该规则可被更新以适应于中央服务器中的后端改变。备选地,可根据需要预先定义、添加或移除规则。
    在步骤640,根据该规则查询所调度的一个或多个后端以便获得对于所请求服务的后端响应。优选地,基于该规则以及可选地基于相关参数(如果有的话),生成对于每个所调度后端的后端请求。
    在步骤650,LDAP响应基于所获得的后端响应形成,并提供给LDAP客户端。
    图7例证了由如图5中所示的虚拟LDAP服务器执行的方法的流程图。
    在步骤710,服务层单元从LDAP客户端(例如nss_ldap和pam_ldap)接收LDAP请求,并且在步骤720,它将此请求分布到虚拟LDAP服务核。
    在得到此请求之后,在步骤730,虚拟LDAP服务器核在步骤730调用LDAP协议处理机以识别该服务,例如将此请求变换成对应动作?;裰朔窕蚨?,在步骤740,虚拟LDAP服务器核得到后端配置,并从后端配置检索为该服务预先定义的规则。在步骤750,虚拟LDAP服务器核向数据层单元发送该规则连同相关参数(如果有的话)。
    数据层单元根据该规则确定哪些后端将被调度以及它们将如何动作。在步骤760,数据层单元调用对应的后端操作器以查询所调度的后端。数据层单元通过所调用的后端操作器收集不同后端的响应,并处理这些响应。
    在步骤770,虚拟LDAP服务器核从数据层单元得到响应,并且如果需要的话,它调用LDAP协议处理机以将该响应变换成LDAP响应。
    在步骤780,服务层单元从虚拟LDAP服务器核得到LDAP响应,并将它发送到LDAP客户端。
    如本领域技术人员将认识到的,本发明可实施为方法、装置、系统或计算机程序产品。从而,本发明可采取完全硬件实施例、完全软件实施例(包含固件、常驻软件、伪代码等)或组合软件和硬件方面的实施例的形式,这些方面一般全都可被称为“电路”、“??椤被颉跋低场?。而且,本发明可采取在计算机可用存储介质上的计算机程序产品的形式,计算机可用存储介质在介质中包含有计算机可用程序代码。
    本发明已经参考根据本发明实施例的方法、装置(系统)和/或计算机程序产品的流程图例证和/或框图进行了描述。将理解,流程图例证和/或框图的每个块以及流程图例证和/或框图中的块组合可由计算机程序指令实现。这些计算机程序指令可提供给通用计算机、专用计算机的处理器和/或其它可编程数据处理装置以产生机器,使得经由计算机的处理器和/或其它可编程数据处理装置执行的指令创建用于实现在流程图和/或框图块中规定的功能/动作的构件。
    尽管本文已经例证并描述了特定实施例,但本领域技术人员认识到,被计算以实现相同目的的任何布置可替代所示出的特定实施例,并且本发明在其它环境下具有其它应用。在权利要求书中,放在括号之间的任何标号不应被视为限制权利要求。词语“包括”不排除不同于权利要求中所列出的那些单元或步骤的单元或步骤的存在。单元前面的词语“一个”不排除多个此类单元的存在。在相互不同的从属权利要求中阐述某些度量的纯粹事实不指示不能有利地使用这些度量的组合。本申请打算含盖本发明的任何调整或变型。如下权利要求书决不打算将本发明的范围局限于本文描述的特定实施例?!  ∧谌堇醋宰ɡ鴚ww.www.4mum.com.cn转载请标明出处

    关于本文
    本文标题:用于为LDAP客户端提供服务的方法、装置和中央服务器.pdf
    链接地址://www.4mum.com.cn/p-6120685.html
    关于我们 - 网站声明 - 网站地图 - 资源地图 - 友情链接 - 网站客服 - 联系我们

    [email protected] 2017-2018 www.4mum.com.cn网站版权所有
    经营许可证编号:粤ICP备17046363号-1 
     


    收起
    展开
  • 浪潮孙丕恕从信息时代到智能时代 人工智能价值将爆发式释放 2019-12-21
  • 四川郎酒股份有限公司获第十二届人民企业社会责任奖年度环保奖 2019-05-13
  • 银保监会新规剑指大企业多头融资和过度融资 2019-05-12
  • 韩国再提4国联合申办世界杯 中国网友无视:我们自己来 2019-05-11
  • 中国人为什么一定要买房? 2019-05-11
  • 十九大精神进校园:风正扬帆当有为 勇做时代弄潮儿 2019-05-10
  • 粽叶飘香幸福邻里——廊坊市举办“我们的节日·端午”主题活动 2019-05-09
  • 太原设禁鸣路段 设备在测试中 2019-05-09
  • 拜耳医药保健有限公司获第十二届人民企业社会责任奖年度企业奖 2019-05-08
  • “港独”没出路!“梁天琦们”该醒醒了 2019-05-07
  • 陈卫平:中国文化内涵包含三方面 文化复兴表现在其中 2019-05-06
  • 人民日报客户端辟谣:“合成军装照”产品请放心使用 2019-05-05
  • 【十九大·理论新视野】为什么要“建设现代化经济体系”?   2019-05-04
  • 聚焦2017年乌鲁木齐市老城区改造提升工程 2019-05-04
  • 【专家谈】上合组织——构建区域命运共同体的有力实践者 2019-05-03
  • 可抽水麻将app 彩客竞彩足球比分直播 状元彩票群 上海天天彩选4今晚开奖号码结果 黄金娱乐官网app下载 股票指数行情 老奇人三肖中特 今日竞彩比分推荐 山西快乐10分微信群 任选九场17167奖金 雷速体育下载安装 香港曾道人 北京pk10是电脑控制吗 007球探足球比分 福彩江西快三开奖结果查询 14场胜负现场直播