本发明专利技术提供一种基于LDAP用户权限管理的装置和方法,应用在与LDAP服务器交互的应用系统的服务器上,该装置执行以下处理流程:A,设置LDAP同步的目录范围;B,将所述LDAP同步的目录范围下的组织单元同步到应用系统中,并将所述组织单元下的用户同步到应用系统中与该组织单元对应的分组下;C,对应用系统中的分组进行功能授权。通过本发明专利技术的技术方案,有效解决了现有技术中应用系统的管理员工作量大的问题,提高了用户体验。
【技术实现步骤摘要】
一种基于LDAP用户权限管理的装置和方法
本专利技术涉及通信
,尤其涉及一种基于LDAP用户权限管理的装置和方法。
技术介绍
LDAP(LightweightDirectoryAccessProtocol,轻量目录访问协议)是一个用来发布目录信息到许多不同应用资源的协议。LDAP相当于电话簿,类似于我们所使用诸如NIS(NetworkInformationService,网络信息服务)、DNS(DomainNameService,域名服务)等网络目录。LDAP是一个比关系数据库抽象层次更高的存贮概念,与一般的数据库不同,LDAP对查询进行了优化,与写性能相比LDAP的读性能要优秀很多。LDAP目录中可以存储各种类型的数据,如,电子邮件地址、邮件路由信息、人力资源数据、公用密匙、联系人列表等。目前,越来越多的企业应用系统将LDAP作为用户管理资源,将其与自身应用系统整合,从而实现对LDAP用户认证统一管理,并针对不同的用户授予不同的功能权限,即进行权限管理。应用系统根据配置策略将指定的LDAP用户从LDAP服务器中同步到系统中,从而实现对LDAP用户的统一认证管理。所述配置策略包括范围设置和过滤条件两个部分组成。范围设置格式形如:ou=sales,dc=test,dc=com,其含义是限定组织单元为sales;过滤条件格式形如:(&(objectclass=*)(cn=zhao*)),含义为仅同步赵姓用户。将符合上述条件的用户从LDAP服务器中导入进来,然后为不同用户设置不同的功能权限。但在实际应用中,需要同步的OU(OrganizationUnit,组织单元)级数会很多,涉及人员的数目也很庞大,可能会达到数十万甚至上百万,因此,针对单个用户逐个授予功能权限工作量巨大,现有技术中一般的做法是先在应用系统中创建分组,然后指定用户的分组,将权限相同的用户纳入同一个分组中,最后再针对不同分组进行授权。不论是逐个用户授权还是分组授权,现有技术都存在系统维护工作量大的缺点,并且当用户权限变化的时候,需要在应用系统中作对应的权限调整,使得系统的维护任务更加繁重。
技术实现思路
有鉴于此,本专利技术提供一种基于LDAP用户权限管理的装置和方法,以解决现有技术存在的不足。具体地,所述装置应用在与LDAP服务器交互的应用系统的服务器上,该装置包括:配置模块,用于设置LDAP同步的目录范围;同步模块,用于将所述LDAP同步的目录范围下的组织单元同步到应用系统中,并将所述组织单元下的用户同步到应用系统中与该组织单元对应的分组下;授权模块,用于在同步后对应用系统中的分组进行功能授权。所述方法包括以下步骤:A、设置LDAP同步的目录范围;B、将所述LDAP同步的目录范围下的组织单元同步到应用系统中,并将所述组织单元下的用户同步到应用系统中与该组织单元对应的分组下;C、对应用系统中的分组进行功能授权。由以上技术方案可见,本专利技术通过设置同步策略,将LDAP服务器上的用户同步到应用系统中,实现智能分组,大大降低了管理员的维护负担。附图说明图1是本专利技术一种实施方式的装置逻辑图;图2是本专利技术一种实施方式的方法流程图;图3是本专利技术一种实施方式中某公司的LDAP组织结构示意图;图4是图3所示的本专利技术在某应用场景下应用系统分组级数为2的LDAP人员分组示意图;图5是图3所示的本专利技术在某应用场景下应用系统分组级数为1的LDAP人员分组示意图。具体实施方式针对现有技术中存在的问题,本专利技术提供了一种基于LDAP用户权限管理的装置和方法,应用在与LDAP服务器交互的应用系统的服务器上。请参考图1和图2,该装置包括,配置模块、同步模块以及授权模块。该装置在实现本专利技术时,执行如下处理流程:步骤101,配置模块设置LDAP同步的目录范围。在LDAP服务器中,LDAP目录以树状的层次结构来存储数据。类似DNS的主机名那样,LDAP目录标识名(DistinguishedName,简称DN)是用来读取单个记录,即可以理解DN为树状结构的节点,LDAP目录树的最顶部就是根,也就是基准DN,基准DN通常使用公司的域名表示,在根目录下,用OU把数据从逻辑上区分开。在设置应用系统权限的时候,首先要确定使用该系统的用户范围。本步骤中,设置需要同步的DN,就是指定LDAP服务器上树状结构的节点,该节点以下的用户都会在后续步骤中同步到应用系统中,也就是说该节点以下的所有用户都将有权访问该应用系统。步骤102,配置模块设置应用系统进行权限管理的分组级数。本步骤中,所述分组级数是由管理员根据实际需要设置的一个运行参数,在实际应用中,管理员可以针对某个LDAP服务单独设置,也可以针对全局的LDAP服务进行统一设置。步骤103,同步模块用于将LDAP服务器上指定DN下面的OU同步到应用系统中,具体地,是将所述OU下的用户同步到应用系统中与该OU对应的分组下。本步骤中,当应用系统中没有与需要同步的LDAP组织单元对应的分组时,同步模块进一步地在该应用系统中创建与该LDAP组织单元对应的新分组。所述对应的分组可以和OU同名,也可以是预设好的分组名,比方说依据情况可以在OU名前加入公司名。以下以分组名和OU同名为例讲解。本步骤在执行的时候具体分为两种情况。请参考图3所示的某IT公司的LDAP组织图,假定步骤101中指定LDAP根作为同步的DN,那么在服务器上market和software的OU的层次是1,sales、sells、test以及research的OU的层次是2。一、如果配置模块设置所述分组级数大于等于2,那么服务器上OU所在的层次就没有超出所述分组级数。本步骤中,同步模块将market、software、sales等OU同步到应用系统中同名的分组中,具体地,是将所述OU同步到应用系统中对应的分组中,并将该OU下面的用户同步到应用系统同名的分组下。同步完成后可在应用系统中形成如图4所示的LDAP人员分组示意图,其中实线表示分组之间的连接,虚线表示分组与其用户之间的连接。二、如果配置模块设置所述分组级数是1,那么服务器上market和software的OU层次没有超出所述分组级数,同步模块会将其同步到应用系统中同名的分组中,而sales、sells、test以及research的OU层次为2,超出了所述分组级数,此时,在本专利技术实施例中,会将这些组织单元的用户同步到应用系统中与该组织单元的上级组织单元同名的分组中,具体地,将sales和sells下的用户Jack和Peter同步到market分组下,将test和research下的用户John和Tom同步到software分组下。同步完成后形成可在应用系统中形成如图5所示的LDAP人员分组示意图,其中实线表示分组之间的连接,虚线表示分组与其用户之间的连接。步骤104,授权模块在同步完成后对应用系统中的分组进行功能授权。本步骤中,授权模块依据管理员的指示进行授权。参考步骤103中的两种情况。一、以图4所示的LDAP人员分组示意图为例,可以根据需要为用户设置不同权限,比方说,Hellen作为市场部(market)的领导,在应用系统中授权其可以查阅、处理销售和售后相关的业务;Jack作为销售部门(sales)的员工,只能查阅、本文档来自技高网...
【技术保护点】
一种基于LDAP用户权限管理的装置,应用在与LDAP服务器交互的应用系统的服务器上,其特征在于,该装置包括:配置模块,用于设置LDAP同步的目录范围;同步模块,用于将所述LDAP同步的目录范围下的组织单元同步到应用系统中,并将所述组织单元下的用户同步到应用系统中与该组织单元对应的分组下;授权模块,用于在同步后对应用系统中的分组进行功能授权。
【技术特征摘要】
1.一种基于LDAP用户权限管理的装置,应用在与LDAP服务器交互的应用系统的服务器上,其特征在于,该装置包括:配置模块,用于设置LDAP同步的目录范围;同步模块,用于将所述LDAP同步的目录范围下的组织单元同步到应用系统中,并将所述组织单元下的用户同步到应用系统中与该组织单元对应的分组下;授权模块,用于在同步后对应用系统中的分组进行功能授权。2.根据权利要求1所述的装置,其特征在于,配置模块进一步用于设置对应用系统进行权限管理的分组级数;同步模块进一步用于当所述组织单元所在的层次超出所述分组级数的时候,将该组织单元的用户同步到应用系统中该组织单元的上级组织单元所对应的分组中。3.根据权利要求1所述的装置,其特征在于,当应用系统中没有与需要同步的LDAP组织单元对应的分组时,所述同步模块进一步用于创建与该组织单元对应的新分组。4.根据权利要求1所述的装置,其特征在于,当LDAP服务器上所述组织单元下的用户有变化的时候,同步模块重新执行同步。...
【专利技术属性】
技术研发人员:许文雨,
申请(专利权)人:杭州华三通信技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。