本发明涉及计算机技术领域,并且更具体地涉及一种基于中标麒麟操作系统的单点登录方法和装置。
背景技术:
中标麒麟操作系统采用传统的linux内核,已经广泛的应用在政府、金融、军队、企业等各行各业。中标麒麟操作系统采用优化和加固的linux3.10内核技术,全面改善内存、cpu(中央处理器)、ipv4/ipv6的性能和可扩展性;能够记录整个系统的活动以及对整个系统所进行的修改;还可以支持最新的autofs(自动安装服务)和nfsv4(网络文件系统),可以使多种unix系统共享映射。
随着企业的发展,业务系统的数量在不断增加,老的系统却不能轻易地替换,这会带来很多的开销。其一是管理上的开销,需要维护的系统越来越多。很多系统的数据是相互冗余和重复的,数据的不一致性会给管理工作带来很大的压力。业务和业务之间的相关性也越来越大,例如公司的计费系统和财务系统、财务系统和人事系统之间都不可避免的有着密切的关系。通常来说,每个单独的系统都会有自己的安全体系和身份认证系统。整合以前,进入每个系统都需要进行登录,这样的局面不仅给管理上带来了很大的困难,在安全方面也埋下了重大的隐患。
技术实现要素:
针对上述现有技术中存在的问题,本发明的目的在于提供一种基于中标麒麟操作系统的单点登录方法和装置,基于轻型的开源目录访问协议(openldap),在ovirt的engine节点上搭建openldap服务端,实现搭建有中标麒麟操作系统的虚拟机的单点登陆,从而提高工作效率,简化应用系统操作过程;同时还可以规避密码安全风险、增加信息系统的安全性。
根据本发明,提供一种基于中标麒麟操作系统的单点登录方法,该方法包括以下步骤:
步骤一:部署ovirtengine节点和ovirtnode节点;
步骤二:通过ovirtengine节点的管理界面在ovirtnode节点上新建虚拟机,虚拟机搭建中标麒麟操作系统;
步骤三:在ovirtengine节点上部署openldap服务端,在虚拟机上部署openldap客户端;
步骤四:利用linux中的rpmbuild制作pam(可插拔式认证模块)认证结构和gdm-plugin的rpm包以搭建sso(单点登录);
步骤五:安装rpm包以实现sso;
步骤六:设置虚拟机的静态ip地址和dns(域名系统),并将虚拟机与openldap服务端连通;
步骤七:使用getent获取用户信息。
进一步地,在步骤六之后进一步包括利用ldapsearch检测虚拟机和openldap服务端之间的连通性。
进一步地,在获取用户信息之后,重新登录ovirt用户界面时,不需要输入用户名和密码便可直接登录虚拟机。
进一步地,ovirtengine节点和ovirtnode节点部署在不同的服务器上。
根据本发明,提供一种基于中标麒麟操作系统的单点登录装置,该装置包括:
部署ovirtengine节点和ovirtnode节点的装置;
通过ovirtengine节点的管理界面在ovirtnode节点上新建虚拟机的装置,虚拟机搭建中标麒麟操作系统;
在ovirtengine节点上部署openldap服务器,并在虚拟机上部署openldap客户端的装置;
利用linux中的rpmbuild制作pam认证结构和gdm-plugin的rpm包以搭建sso的装置;
安装rpm包以实现sso的装置;
设置虚拟机的静态ip地址和dns,并将虚拟机与openldap服务端连通的装置;
使用getent获取用户信息的装置。
进一步地,该装置进一步包括利用ldapsearch检测虚拟机和openldap服务端之间的连通性的装置。
进一步地,在使用getent获取用户信息之后,重新登录ovirt用户界面时,不需要输入用户名和密码便可直接登录虚拟机。
进一步地,ovirtengine节点和ovirtnode节点被部署在不同的服务器上。
根据本发明,提供了一种计算机可读存储介质,其上存储有计算机程序(指令),用于实现基于中标麒麟操作系统的单点登录,其特征在于,程序(指令)被处理器执行时实现基于中标麒麟操作系统的单点登录方法的步骤。
本发明主要针对虚拟机单点登陆,用户只需要登陆一次用户界面,便无需再次输入用户名和密码,可以访问所有相互信任的虚拟机。当用户第一次访问应用系统中,因为还没有登陆,会被引导进认证系统中进行登陆;根据用户提供的登陆信息,认证系统进行身份验证,若验证通过,会给用户一个token,当再次访问其他虚拟机时,用户使用这个token作为自己的认证凭据,若通过验证,则用户无需再次登陆即可访问其他虚拟机,从而提高工作效率,简化应用系统操作过程;同时还可以规避密码安全风险、增加信息系统的安全性。
附图说明
图1为根据本发明的一个实施例的基于中标麒麟操作系统的单点登录的流程图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,下面结合附图,对本发明进行进一步详细说明。应当理解的是,此处所描述的具体实施例仅用以解释本发明,并不用于限定本发明。
要实现单点登陆,需要所有系统中使用同一个身份认证系统,这是实现sso的前提。本发明采用的身份认证系统是openldap,所有用户统一由openldap进行管理。openldap将用户登陆信息与用户信息库进行比较,验证用户信息,验证成功,用户可利用openldap产生的token登陆系统;
图1示出了根据本发明的一个实施例的基于中标麒麟操作系统的单点登录方法的流程图。如图所示,方法开始于框101。在框101,部署两台服务器a、b,在服务器a上部署ovirt云管理平台engine节点并新建用户ldapuser1,在服务器b上部署ovirtnode节点,方法前进到框102。在框102,利用ovirtengine管理界面在ovirtnode节点上新建虚拟机,该虚拟机搭载有中标麒麟操作系统,方法前进到框103。在框103,在ovirtengine节点上搭建openldap服务端,在ovirtnode节点上部署openldap客户端,方法前进到框104。在框104,下载ovirt-guest-agent的源码,搭建gcc、python、makefile环境,利用centos系统(社区企业操作系统),通过命令rpmbuildovirt-guest-agent生成中标麒麟操作系统下专用的rpm包,并在虚拟机上自行安装,方法前进到框105。在框105,设置虚拟机并将虚拟机与openldap连通,具体如下:(1)制作gdm-ovirtcred:gdm-ovirtcred需要经过pam_ovirt_cred.so的验证,无需经过pam_selinux.so的验证,将gdm-ovirtcred中的sessionrequired中pam_selinux.so设置为关闭状态,同时需要将session中的password-auth设置未required;(2)进行gdm-plugin打包:编写gdm-plugin的spec文件,利用rpmbuild将spec文件打包成gdm-plugin;(3)在中标麒麟操作系统中安装spice-vdagent、nslcd、gdm-plugin、pam-module、openldapclient,并执行authconfig-tui设置采用openldap认证方式,uri修改为openldap服务器地址,base修改为openldap服务器的域;(4)修改system-auth文件代码,添加sessionoptional:pam_mkhomedir.soskel=/etc/skel,umask=0022,方法前进到框106。在框106,检测虚拟机和openldap的连通性,执行命令suldapuser1和命令getentpasswdldapuser1以确认用户ldapuser1是否可正常登陆,方法前进到框107。在框107,获取用户信息,根据用户信息,认证系统进行身份验证,若验证通过,登录虚拟机,并且系统会返回一个token,关闭虚拟机控制台,当用户再次登录用户界面时,重新开启虚拟机,用户无需输入用户信息便可访问其他虚拟机。至此,实现了单点登录。
本发明还提供了一种实现上述方法的装置,该装置包括:分别在两台服务器上部署ovirtengine节点和ovirtnode节点的装置;通过ovirtengine节点的管理界面在ovirtnode节点上新建虚拟机的装置,其中,虚拟机搭建中标麒麟操作系统;在ovirtengine节点上部署openldap服务器,并在虚拟机上部署openldap客户端的装置;利用linux中的rpmbuild制作pam认证结构和gdm-plugin的rpm包以搭建sso的装置;安装rpm包以实现sso的装置;设置虚拟机的静态ip地址和dns,并将虚拟机与openldap服务端连通的装置;利用ldapsearch检测虚拟机和openldap之间的连通性的装置;以及使用getent获取用户信息的装置。由此,在使用getent获取用户信息之后,认证系统根据用户提供的登录信息进行身份验证时,若验证通过,会给用户一个token,当再次登录ovirt用户界面时,不需要输入用户名和密码便可直接登录虚拟机,进而实现单点登录。
关于这里所述的过程、系统、方法等,应理解的是虽然这样的过程等的步骤描述为按照一定的顺序排列发生,但这样的过程可以采用以这里描述的顺序之外的顺序完成的描述的步骤实施操作。进一步应该理解的是,某些步骤可以同时执行,可以添加其他步骤,或者可以省略这里所述的某些步骤。换言之,这里的过程的描述提供用于说明某些实施例的目的,并且不应该以任何方式解释为限制要求保护的发明。
相应地,应理解的是上面的描述的目的是说明而不是限制。在阅读上面的描述时,除了提供的示例外许多实施例和应用都是显而易见的。本发明的范围应参照所附权利要求以及与权利要求所要求的权利等效的全部范围而确定,而不是参照上面的说明而确定。可以预期的是这里所讨论的领域将出现进一步的发展,并且所公开的系统和方法将可以结合到这样的未来的实施例中。总之,应理解的是本发明能够进行修正和变化。
还应当理解的是,任何所述的过程或所述过程中的步骤可以与其它公开的过程或步骤组合以形成本公开范围内的结构。本文公开的示例性结构、和过程是为了说明的目的,而不应被解释为限制。