专利名称:ldap服务器的用户权限信息配置系统、装置和方法
技术领域:
本发明涉及计算机领域,具体而言,涉及一种Idap服务器的用户权限信息配置系 统、装置和方法。
背景技术:
传统的轻量级目录访问协议(Lightweight Directory AccessProtocol,简称为 ldap)服务器中的安全管理分为两部分,其中,一部分主要涉及到通讯链路的安全控制,另 外一部分主要涉及到用户操作权限的安全控制。具体地,Idap服务器中的用户操作权限的安全控制,是通过访问控制列表(Access Control List,简称为ACL)描述脚本在服务器上实现,在ACL脚本中记录了多条规则,每 条规则描述某个用户对某个资源拥有某项权限,而Idap服务器在接收到客户端的请求后, 按照请求的详细信息和登录的用户名,扫描ACL,从而可以进一步判断是否应该处理这个请 求。由于ACL信息也是schema数据的一部分,而schema描述了目录服务中所包含的 对象间的结构关系,因此,Idap服务器可以根据schema,对用户数据进行组织和定位,并检 查Idap请求的合法性。具体地,ACL描述脚本可以永久保存在Idap服务器中,其存放方式可以是文本文 件或者数据库,但是无论其以何种形式存放,在Idap请求处理过程中,都需要自上往下扫 描所有ACL信息,直至找到匹配的记录后再判断操作权限。在这种情况下,在Idap服务器 加载ACL并开始运行前,管理员基本无法获知某个用户的某项操作与具体的哪一条规则匹 配。图1是现有的Idap服务器的用户安全配置的方法流程图,如图1所示,按照现有 的安全配置方法,若需要修改Idap服务器的用户安全配置,需要执行以下步骤步骤1 管理员按照客户端的业务需求定义规则,包括对用户所应该呈现的数据、 这些数据间的相互关系、用户对于这些数据的操作权限等;步骤2 客户端试用,反馈结果是否正确;步骤3 管理员按照客户端的反馈再次修改规则,跳转至步骤2。由以上描述可知,在现有技术中,由管理员直接在Idap服务器上配置用户权限信 息,并通过客户端进行测试,客户端与管理员之间需要经过多次交流,循环执行,才能为用 户配置合适的权限信息,配置的效率较低。
发明内容
针对现有技术中由管理员直接在Idap服务器配置用户权限信息而导致配置的效 率较低的问题而提出本发明,为此,本发明的主要目的在于提供一种在客户端进行Idap服 务器的用户权限信息配置方法、装置及系统,以提高配置的效率。根据本发明的一个方面,首先提供了一种Idap服务器的用户权限信息配置系统。
根据本发明的Idap服务器的用户权限信息配置系统,包括ldap服务器和权限设 置客户端,其中,Idap服务器,用于存储系统中的用户的用户权限信息;权限设置客户端,与Idap服务器相连,用于设置Idap服务器存储的用户权限信 肩、ο根据本发明的另一个方面,还提供了一种Idap服务器的用户权限信息配置装置。根据本发明的Idap服务器的用户权限信息配置装置,包括第一发送模块、第一 接收模块和第二发送模块,其中,第一发送模块,用于向Idap服务器发送接入请求;第一接收模块,用于接收Idap服务器返回的接入请求响应;第二发送模块,用于向Idap服务器发送设置请求,请求设置Idap服务器中存储的 用户的用户权限信息。根据本发明的再一个方面,还提供了一种Idap服务器的用户权限信息配置方法。根据本发明的Idap服务器的用户权限信息配置方法,具体包括以下处理首先,Idap服务器接收权限设置客户端发送的设置请求,其中,该设置请求用于请 求设置Idap服务器存储的用户权限信息;然后,Idap服务器对权限设置客户端进行鉴权,鉴权通过后,接受权限设置客户端 对用户权限信息的设置。通过本发明的上述至少一个方案,通过与Idap服务器直接连接的权限设置客户 端对Idap服务器中存储的用户权限信息进行设置,从而可以方便、快速的对Idap服务器存 储的用户权限信息进行修改,进而提高了用户信息配置的效率。
此处所说明的附图用来提供对本发明的进一步理解,构成本申请的一部分,本发 明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中图1是现有的Idap服务器的用户安全配置的方法流程图;图2是根据本发明实施例提供的Idap服务器的用户权限信息配置系统的结构示 意图;图3是根据本发明优选实施例的提供的Idap服务器的用户权限信息配置系统的 结构示意图;图4是根据本发明实施例的Idap服务器的用户权限信息配置装置的结构示意 图;图5是根据本发明优选实施例的Idap服务器的用户权限信息配置装置的结构示 意图;图6是根据本发明实施例的Idap服务器的用户权限信息配置方法流程图;图7是实施例一的流程图;图8是实施例二的流程图。
具体实施例方式功能概述针对在现有技术中,在Idap服务器配置用户权限信息时存在的效率较低的问题, 本发明实施例,提供了一种Idap服务器的用户权限信息配置方案。在本发明实施例中,增 加了一个与Idap服务器连接的权限设置客户端,管理员通过权限设置客户端对Idap服务 器中存储的用户权限信息进行设置,并且,管理员还可以通过权限设置客户端浏览Idap服 务器存储的用户权限信息,以对用户权限信息配置的正确性进行检查。在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。以下结合附图对本发明的有选实施例进行说明,应当理解,此处描述的优选实施 例仅用于说明和解释本发明,并不限定本发明。根据本发明实施例,首先提供了 一种轻量级目录访问协议服务器的用户权限信息 配置系统。图2是根据本发明实施例提供的Idap服务器的用户权限信息配置系统的结构示 意图,如图2所示,上述的Idap服务器的用户权限信息配置系统主要包括ldap服务器20 和权限设置客户端21。其中,Idap服务器20,用于存储系统中的用户的用户权限信息;权限设置客户端21,与上述的Idap服务器20相连,在具体应用中,权限设置客户 端21可以通过Idap接口与Idap服务器20相连,该权限设置客户端21用于设置Idap服 务器20存储的用户权限信息。在具体应用中,为了保证用户权限信息的安全性,只有管理员才可以对Idap服务 器20中存储的用户权限信息进行设置(包括修改、增加或删除等操作),因此,Idap服务 器20还需要对权限设置客户端21进行鉴权,在鉴权通过后,Idap服务器20才接受权限设 置客户端21对Idap服务器20存储的用户权限信息的设置。在具体应用中,由于Idap服务器中存储的用户权限信息一般是以ACL信息的方式 存储的,如果管理员在配置用户权限信息时,以ACL信息格式进行设置,则需要管理员掌握 其连接的Idap服务器存储的用户权限信息存储的格式,从而增加学习成本,并且,也不便 于在各个Idap服务器之间进行迁移,因此,可以在权限设置客户端21设置用户权限配置界 面,该界面可以提示管理员输入相应的参数,通过该界面管理员可以方便地对Idap服务器 中存储的用户权限信息执行设置操作,具体地,管理员可以通过该权限配置界面增加、修改 或删除Idap服务器中存储的用户权限信息中一项或多项记录。避免了管理员对ACL信息 格式的学习过程,降低了在各个Idap服务器间迁移时的成本。图3是根据本发明优选实施例的提供的Idap服务器的用户权限信息配置系统的 结构示意图,如图3所示,本发明实施例的Idap服务器的用户权限信息配置系统还可以包 括权限浏览客户端22,在具体应用过程中,权限浏览客户端22可以通过Idap接口与上述 Idap服务器20相连。具体的,如图3所示,权限浏览客户端22还可以包括发送模块220、接收模块221 和显示模块222,其中,发送模块220,用于向Idap服务器20发送查询请求,以查询一个或多个用户的用 户权限信息;
接收模块221,用于接收Idap服务器20返回的一个或多个用户的用户权限信息;显示模块222,用于显示接收模块221接收到的用户权限信息。具体地,显示模块222可以采用树状结构显示接收模块221接收到的用户权限信 息。具体地,由于Idap服务器中所存放的信息是有层次结构的,以树状的图形方式在界面 中显示用户可以访问的数据,可以直观的浏览每个用户的权限信息;树状图有唯一的根节 点,该根节点以及根节点衍生出的“树枝”和“树叶”,完整的表示了 Idap服务器所包含的资 源以及资源间的相互关系,树状图中的每一个节点上都显示了该用户对该资源拥有哪些权 限,选择树中的各个节点可以查看相应节点的权限信息。或者,为了浏览的方便,显示模块222也可以采用相互链接的快捷访问方式显示 接收模块221接收到的用户权限信息。具体地,可以在每一个节点上设置一些快捷访问的 链接,通过这些链接可以直接跳转到上级节点、下一个同级节点或各个下级节点。在具体应用中,上述权限设置客户端21和权限浏览客户端22可以合一设置,也可 以分开设置,具体可以根据实际需要进行设置。根据本发明实施例,还提供了一种Idap服务器的用户权限信息配置装置,该装置 可以作为上述权限设置客户端21应用在上述系统中。图4是根据本发明实施例的Idap服务器的用户权限信息配置装置的结构示意图, 如图4所示,根据本发明实施例的Idap服务器的用户权限信息配置装置包括第一发送模 块40、第一接收模块41和第二发送模块42。其中,第一发送模块40,用于向Idap服务器发送接入请求;优选地,该接入请求可以是 鉴权请求,Idap服务器在接收到接入请求后,对该装置进行鉴权,并在鉴权通过的情况下, 向Idap服务器返回接入请求响应,指示鉴权通过。第一接收模块41,用于接收Idap服务器返回的接入请求响应;第二发送模块42,用于向Idap服务器发送设置请求,请求设置Idap服务器中存 储的用户的用户权限信息。具体地,该装置可以在发送的设置请求中携带要设置(包括增 加、删除、修改等)用户权限信息的相关信息,Idap服务器接收到该设置请求后,根据该设 置请求中携带的相关信息,增加、删除或修改存储的相关的用户权限信息。图5是根据本发明优选实施例的Idap服务器的用户权限信息配置装置的结构示 意图,如图5所示,本发明实施例的Idap服务器的用户权限信息配置装置还可以包括第三 发送模块43、第二接收模块44和显示模块45。其中,第三发送模块43,用于向Idap服务器 发送查询请求,以查询一个或多个用户的用户权限信息;第二接收模块44,用于接收Idap 服务器返回的一个或多个用户的用户权限信息;显示模块45,用于显示第二接收模块44接 收到的一个或多个用户的用户权限信息。根据本发明实施例,还提供了一种Idap服务器的用户权限信息配置方法,该方法 可以通过上述的系统或装置实现。图6是根据本发明实施例的Idap服务器的用户权限信息配置方法流程图,如图6 所示,根据本发明实施例的Idap服务器的用户权限信息配置方法主要包括以下步骤(步骤 S601-步骤 S602)步骤S601 =Idap服务器接收权限设置客户端发送的设置请求;上述的设置请求用于请求设置Idap服务器存储的用户权限信息。
步骤S602 =Idap服务器对权限设置客户端进行鉴权,鉴权通过后,接受权限设置 客户端对用户权限信息的设置。在具体实施过程中,上述的Idap服务器的用户权限信息配置方法还可以包括以 下操作l)ldap服务器接收权限浏览客户端发送的查询请求,其中,上述的查询请求用于 查询一个或多个用户的用户权限信息;2) Idap服务器向权限浏览客户端返回一个或多个用户的用户权限信息;3)权限浏览客户端显示Idap服务器返回的一个或多个用户的用户权限信息。下面结合具体实施例对本发明实施例提供的技术方案的具体实现过程进行详细 说明。实施例一在本实施例中,权限设置客户端和权限浏览客户端为同一客户端,即将上述的权 限设置客户端和ap限浏览客户端合一设置。图7是本实施例中实现检测并配置Idap服务器中存储的用户权限信息的流程图, 如图7所示,在本实施例中对Idap服务器中存储的用户权限信息进行检测和配置的过程主 要包括以下步骤步骤701 用户登录权限浏览器客户端/权限设置客户端(以下统称客户端),输 入用户名以及密码;步骤702 客户端通过ldap bind(绑定)消息请求接入Idap服务器;步骤703 =Idap服务器收到客户端的请求后,对用户信息进行校验,返回响应;步骤704 如果认证方法要求客户端多次发接入请求,则客户端继续发后续的接 入请求;步骤705 所有的接入请求处理完毕,Idap服务器认为客户端认证通过,允许客户 端开始Idap操作;步骤706 客户端已连接Idap服务器,弹出图形化用户界面,等待输入;步骤707 操作权限浏览器客户端向Idap服务器发ldap search(查询)请求,请 求查询用户权限信息;步骤708 =Idap服务器向客户端返回此用户相关的用户权限信息,权限浏览器客 户端界面中显示此用户相关的所有数据以及数据的访问权限;步骤709 选择希望修改的权限信息,输入修改后的内容(如果是首次修改,要求 操作人员输入管理员用户名/密码,并发送到Idap服务器进行校验)。权限设置客户端向 Idap服务器发送Idapmodify (修改)请求,请求修改用户权限信息;步骤710 =Idap服务器修改用户权限信息,并响应到权限设置客户端;步骤711 用户确认权限设置正确,退出系统;步骤712 客户端向Idap服务器发ldap imbind(去绑定)消息请求退出系统;步骤713 可选的消息,Idap服务器向客户端返回ldap unbind(去绑定)响应消 息,客户端退出。实施例二 在本实施例中,权限设置客户端和权限浏览客户端为不同的客户端,即将上述的权限设置客户端和权限浏览客户端分开设置。
图8是本实施例中实现检测并配置Idap服务器中存储的用户权限信息的流程图, 如图8所示,在本实施例中对Idap服务器中存储的用户权限信息进行检测和配置的过程主 要包括以下步骤步骤801 用户登录权限浏览器客户端,输入用户名以及密码;步骤802 权限浏览器客户端通过ldap bind (绑定)消息请求接入Idap服务器;步骤803 =Idap服务器收到权限浏览器客户端的请求后,对用户信息进行校验,返 回响应;步骤804 如果认证方法要求权限浏览器客户端多次发接入请求,则客户端继续 发后续的接入请求;步骤805 所有的接入请求处理完毕,Idap服务器认为权限浏览器客户端认证通 过,允许权限浏览器客户端开始Idap操作;步骤806 权限浏览客户端已连接Idap服务器,弹出图形化用户界面,等待输入;步骤807 操作权限浏览器客户端向Idap服务器发ldap search (查询)请求,请 求查询用户权限信息;步骤808 =Idap服务器向权限浏览客户端发送相关的用户权限信息,并且,这些信 息显示在权限浏览器客户端界面中;步骤809 找到需要重新设置的用户权限信息,启动权限设置客户端;步骤810 操作人员输入管理员用户名/密码,并发送到Idap服务器进行校验), 权限设置客户端向Idap服务器发送ldap modify (修改)请求,请求修改用户权限信息;步骤811 =Idap服务器修改用户权限信息,并响应到权限设置客户端;步骤812 用户确认权限设置正确,退出系统;步骤813 权限浏览客户端和权限设置客户端向Idap服务器发ldap unbind(去 绑定)消息请求退出系统;步骤814:可选的消息,Idap服务器向权限浏览客户端和权限设置客户端返回 ldap unbind (去绑定)响应消息,客户端退出。综上所述,借助本发明实施例提供的上述技术方案,能够实现用户浏览客户端/ 权限设置客户端方便、快速的对用户权限信息进行修改,从而提高了用户信息配置的效率, 提高了用户体验。显然,本领域的技术人员应该明白,上述的本发明的各模块或各步骤可以用通用 的计算装置来实现,它们可以集中在单个的计算装置上,或者分布在多个计算装置所组成 的网络上,可选地,它们可以用计算装置可执行的程序代码来实现,从而,可以将它们存储 在存储装置中由计算装置来执行,或者将它们分别制作成各个集成电路模块,或者将它们 中的多个模块或步骤制作成单个集成电路模块来实现。这样,本发明不限制于任何特定的 硬件和软件结合。以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技 术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修 改、等同替换、改进等,均应包含在本发明的保护范围之内。
权利要求
1.一种轻量级目录访问协议Idap服务器的用户权限信息配置系统,其特征在于,包括Idap服务器,用于存储系统中的用户的用户权限信息;权限设置客户端,与所述Idap服务器相连,用于设置所述Idap服务器存储的所述用户 权限信息。
2.根据权利要求1所述的系统,其特征在于,所述系统还包括权限浏览客户端,包括发送模块,用于向所述Idap服务器发送查询请求,查询一个或多个用户的用户权限信息;接收模块,用于接收所述Idap服务器返回的所述一个或多个用户的用户权限信息; 显示模块,用于显示所述接收模块接收到的所述用户权限信息。
3.根据权利要求2所述的系统,其特征在于,所述显示模块采用树状结构显示所述接 收模块接收到的所述用户权限信息,或者,所述显示模块采用相互链接的快捷访问方式显 示所述接收模块接收到的所述用户权限信息。
4.根据权利要求2所述的系统,其特征在于,所述权限浏览客户端通过Idap接口与所 述Idap服务器相连。
5.根据权利要求1至4中任一项所述的系统,其特征在于,所述Idap服务器还用于对 权限设置客户端进行鉴权,在鉴权通过后,接受所述权限设置客户端对所述Idap服务器存 储的所述用户权限信息的设置。
6.根据权利要求1至4中任一项所述的系统,其特征在于,所述权限设置客户端设置有 用户权限配置界面,用户通过所述用户权限配置界面对所述Idap服务器存储的所述用户 权限信息执行设置操作,其中,所述设置操作包括增加、修改或删除所述用户权限信息中 一项或多项记录。
7.根据权利要求1至4中任一项所述的系统,其特征在于,所述权限设置客户端通过 Idap接口与所述Idap服务器相连。
8.—种Idap服务器的用户权限信息配置装置,其特征在于,包括 第一发送模块,用于向Idap服务器发送接入请求;第一接收模块,用于接收所述Idap服务器返回的接入请求响应; 第二发送模块,用于向所述Idap服务器发送设置请求,请求设置所述Idap服务器中存 储的用户的用户权限信息。
9.根据权利要求8所述的装置,其特征在于,所述装置还包括第三发送模块,用于向所述Idap服务器发送查询请求,以查询一个或多个用户的用户 权限信息;第二接收模块,用于接收所述Idap服务器返回的所述一个或多个用户的用户权限信息;显示模块,用于显示所述第二接收模块接收到的所述一个或多个用户的用户权限信肩、ο
10.一种Idap服务器的用户权限信息配置方法,其特征在于,包括Idap服务器接收权限设置客户端发送的设置请求,其中,所述设置请求用于请求设置所述Idap服务器存储的用户权限信息;所述Idap服务器对所述权限设置客户端进行鉴权,鉴权通过后,接受所述权限设置客 户端对所述用户权限信息的设置。
11.根据权利要求10所述的方法,其特征在于,所述方法还包括 所述Idap服务器接收权限浏览客户端发送的查询请求,其中,所述查询请求用于查询 一个或多个用户的用户权限信息;所述Idap服务器向所述权限浏览客户端返回所述一个或多个用户的用户权限信息; 所述权限浏览客户端显示所述Idap服务器返回的所述一个或多个用户的用户权限信肩、ο
全文摘要
本发明公开了一种ldap服务器的用户权限信息配置系统、装置和方法,上述的ldap服务器的用户权限信息配置系统包括ldap服务器和权限设置客户端,其中,ldap服务器,用于存储系统中的用户的用户权限信息;权限设置客户端,与ldap服务器相连,用于设置ldap服务器存储的用户权限信息。通过本发明,能够实现快速的对用户权限信息进行修改,从而提高了用户信息配置的效率,提高了用户体验。
文档编号H04L29/08GK102064953SQ20091022182
公开日2011年5月18日 申请日期2009年11月12日 优先权日2009年11月12日
发明者沈健 申请人:中兴通讯股份有限公司