The publication of an access control system, authentication server and method, the method includes: an authentication server storing user information in all the pre established database, and all user permissions are stored in a hierarchical tree structure in the Lightweight Directory Access Protocol (LDAP) directory; when receiving access to the server to send the user information, the authentication server determines whether the received user information is the user authentication; when the received user information is the user authentication, the authentication server searches in the LDAP directory and the user information corresponding to the user permissions and user credentials are generated according to user permissions to find the authentication server; sending the generated user according to access to the server and the server cluster for server cluster and data exchange between the access server. The embodiment of the invention realizes the unified management of the password and the centralized management of the authority.
【技术实现步骤摘要】
一种控制访问权限的系统、认证服务器和方法
本专利技术实施例涉及但不限于云计算技术,尤指一种控制访问权限的系统、认证服务器和方法。
技术介绍
随着云计算应用的普及,服务器数量越来越多,服务器上的虚拟机数量和关联关系也日渐复杂,安全问题伴随着虚拟机存在的整个生命周期中,涵盖的内容贯穿产品设计、开发、测试、运维、基础设施(如,互联网数据中心(IDC,InternetDataCenter)、内网、外网办公网)等各个方面。用户登录某一个IDC线上服务器以进行与服务器集群之间的数据交互。其中,对IDC线上服务器的用户权限需要进行合理、规范、统一的用户权限验证和管理。其中,常见的认证方式是按照机器的,即用户每次修改用户信息(用户信息包括用户名和口令)中的口令(密码)后,都需要对所有相关机器一一进行该用户的口令的修改以及根据修改后的用户信息调整用户信息与用户权限,密码权限管理混乱,并且容易遗漏。
技术实现思路
本申请提供了一种控制访问权限的系统、认证服务器和方法,能够实现密码的统一管理以及权限的集中管理。为了达到本申请目的,本申请提供了一种控制访问权限的系统,包括:认证服务器、访问服 ...
【技术保护点】
一种控制访问权限的系统,其特征在于,包括:认证服务器、访问服务器和服务器集群;其中,认证服务器,用于将全部的用户信息存储在预先建立的数据库中;将全部的用户权限按层次树状结构存储在轻量目录访问协议LDAP目录中;当接收到访问服务器发送的用户信息时,判断接收到的用户信息是否是认证用户;当判断出接收到的用户信息是认证用户时,在LDAP目录中查找与该用户信息对应的用户权限并根据查找到的用户权限生成用户凭据;将生成的用户凭据发送给访问服务器与服务器集群;访问服务器,用于将用户输入的用户信息发送给认证服务器;接收认证服务器发送的用户凭据;根据接收到的用户凭据与服务器集群进行数据交互;服 ...
【技术特征摘要】
1.一种控制访问权限的系统,其特征在于,包括:认证服务器、访问服务器和服务器集群;其中,认证服务器,用于将全部的用户信息存储在预先建立的数据库中;将全部的用户权限按层次树状结构存储在轻量目录访问协议LDAP目录中;当接收到访问服务器发送的用户信息时,判断接收到的用户信息是否是认证用户;当判断出接收到的用户信息是认证用户时,在LDAP目录中查找与该用户信息对应的用户权限并根据查找到的用户权限生成用户凭据;将生成的用户凭据发送给访问服务器与服务器集群;访问服务器,用于将用户输入的用户信息发送给认证服务器;接收认证服务器发送的用户凭据;根据接收到的用户凭据与服务器集群进行数据交互;服务器集群,用于接收到来自认证服务器发送的用户凭据,对该用户开放与该用户凭据对应的用户权限以与访问服务器进行数据交互。2.根据权利要求1所述的系统,其特征在于,所述用户信息包括:用户名和口令;所述认证服务器中用于将全部的用户信息存储在预先建立的数据库中包括:采用预先部署的网络认证协议Kerberos服务Service分别对每个用户的用户名和口令进行加密;将加密后的每个用户的用户名和口令对应存储在所述预先建立的数据库中。3.根据权利要求2所述的系统,其特征在于,所述认证服务器中用于判断接收到的用户信息是否是认证用户包括:采用所述预先部署的KerberosService对接收到的用户名和口令进行加密;将对接收到的加密后的用户名和口令与已存储在所述预先建立的数据库中的加密后的用户名和口令进行比较;当所述对接收到的加密后的用户名和口令与所述已存储在所述预先建立的数据库中的加密后的用户名和口令中的某一加密后的用户名和口令一致时,判断出接收到的用户信息是认证用户;当所述对接收到的加密后的用户名和口令与所述已存储在所述预先建立的数据库中的加密后的用户名和口令中的任一加密后的用户名和口令均不一致时,验证出接收到的用户信息不是认证用户。4.根据权利要求1所述的系统,其特征在于,所述认证服务器通过预先部署的LDAP服务Service将所述全部的用户权限按层次树状结构存储在LDAP目录中。5.一种认证服务器,其特征在于,包括:密码管理单元、权限管理单元、收发单元、认证单元和处理单元;其中,密码管理单元,用于将全部的用户信息存储在预先建立的数据库中;权限管理单元,用于将全部的用户权限按层次树状结构存储在轻量目录访问协议LDAP目录中;收发单元,用于当接收到访问服务器发送的用户信息时,将接收到的用户信息发送给认证单元;将生成的用户凭据发送给访问服务器和集群服务器;认证单元,用于判断接收到的用户信息是否是认证用户;当判断出接收到的用户信息是认证用户时,通知处理单元;处理单元,用于接收到来自匹配单元发送的通知,在LDAP目录中查找与该用户信息对应的...
【专利技术属性】
技术研发人员:许陆丹,
申请(专利权)人:郑州云海信息技术有限公司,
类型:发明
国别省市:河南,41
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。