专利名称:一种在ldap服务器中进行权限控制的方法及系统的制作方法
技术领域:
本发明涉及通讯领域,尤其涉及一种在LDAP(Lightweight DirectoryAccess Protocol,简化目录访问协议)服务器中实进行权限控制的方法及系统。
背景技术:
LDAP服务器以树状结构存储签约用户数据。对于各个签约用户来说,LDAP服务器 中保存的数据是相同的,均为统一的树状结构。在正常情况下,可以使用LDAP权限控制功 能对签约用户数据的访问进行限制(如在文档《Internet-Draft :Access Control Model for LDAPv3》中记载的方法),但该LDAP权限控制功能的一个限制是只能允许或者不允许 用户访问签约用户数据,而无法按照签约用户的标识来区分哪些记录可以被该用户访问。一个典型的应用场景,当LDAP服务器保存有多个地区的签约用户信息时,理想情 况下应保证每个地区的客户端只能访问本地区的签约用户信息,不是本地区的客户端则无 法访问,也就是说某个地区的操作人员只能操作本地区的签约用户数据。但是现有LDAP服 务器只能根据用户标识区分该用户是否可访问签约用户数据,而无法做到控制该用户只能 操作其所在地区的签约数据。
发明内容
本发明要解决的技术问题是提供一种在LDAP服务器中进行权限控制的方法及系 统,以克服现有LDAP服务器无法做到控制哪些签约数据可以被操作的缺陷。为解决上述问题,本发明提供了一种在简化目录访问协议服务器中进行权限控制 的方法,包括在简化目录访问协议(LDAP)服务器侧设置以下信息的对应关系,该信息包括管 理者标识信息、该管理者可操作的用户的标识信息及该用户可被操作的属性的信息;所述 LDAP服务器在收到一用户通过LDAP客户端发来的携带该用户标识信息及被操作用户的标 识信息的访问请求后,将根据上述对应关系得到的对应的被操作用户的可被操作的属性的 信息发送给所述LDAP客户端进行显示。进一步地,上述方法还可具有以下特征所述对应关系采用正则表达式的形式进行设置。进一步地,上述方法还可具有以下特征具有对应关系的所述信息中还包括与所述用户可被操作的属性的信息对应的操 作动作的信息;则所述LDAP服务器将根据所述对应关系得到的对应的被操作用户的可被操作的 属性的信息及操作动作的信息一同发送给所述LDAP客户端进行显示。进一步地,上述方法还可具有以下特征所述LDAP客户端在获知管理者从其显示的信息中选择一个操作动作后,将该操 作动作的信息及对应的被操作用户的可被操作的属性的信息发送给所述LDAP服务器,由
4所述LDAP服务器对该操作用户的相应属性执行相应的操作动作。进一步地,上述方法还可具有以下特征所述操作动作包括添加、删除和/或修改。本发明还提供了一种在简化目录服务器中进行权限控制的系统,包括简化目录 访问协议(LDAP)服务器及LDAP客户端;所述LDAP客户端用于提供界面供工户输入该用户标识信息及被操作用户的标识 信息,还用于在获知用户输入完毕后,将所述输入的用户标识信息及被操作用户的标识信 息通过访问请求发送给所述LDAP服务器;还用于显示所述LDAP服务器发来的被操作用户 的可被操作的属性的信息;所述LDAP服务器中设置有以下信息的对应关系,该信息包括管理者标识信息、 该管理者可操作的用户的标识信息及该用户可被操作的属性的信息;所述LDAP服务器用 于在收到所述LDAP客户端发来的所述访问请求后,将根据所述对应关系得到的对应的被 操作用户的可被操作的属性的信息发送给所述LDAP客户端。进一步地,上述系统还可具有以下特征所述对应关系采用正则表达式的形式进行设置。进一步地,上述系统还可具有以下特征所述具有对应关系的信息中还包括与所述用户可被操作的属性的信息对应的操 作动作的信息;所述LDAP服务器还用于将根据所述对应关系得到的对应的被操作用户的可被操 作的属性的信息及操作动作的信息一同发送给所述LDAP客户端;所述LDAP客户端除用于显示所述LDAP服务器发来的被操作用户的可被操作的属 性的信息外,还用于显示对应的操作动作信息。进一步地,上述系统还可具有以下特征所述LDAP客户端还用于在获知用户从其显示的信息中选择一个操作动作后,将 该操作动作的信息及对应的被操作用户的可被操作的属性的信息发送给所述LDAP服务 器;所述LDAP服务器还用于根据LDAP服务器发来的所述操作动作的信息及对应的被 操作用户的可被操作的属性的信息,对该操作用户的相应属性执行相应的操作动作。进一步地,上述系统还可具有以下特征所述操作动作包括添加、删除和/或修改。本发明在不影响原有LDAP服务器权限控制功能的情况下,解决了签约用户的操 作视图问题,可以实现为不同的客户端呈现不同的视图,将客户端可以操作的签约用户限 定在视图范围内,防止超出视图范围外意外的数据修改,因此避免了业务逻辑上的无效操 作,增强了数据安全性。使用了 LDAP权限控制的扩展,对原有LDAP服务器的逻辑改动较小, 且具有在LDAP服务器间良好的移植性。而且,可以由LDAP客户端动态查询、修改用户签约 数据,减小了维护成本。
图1是本发明实施例中实现LDAP视图控制功能的流程图2是本发明实施例中采用本发明所述方法进行权限控制规则的改动说明图。
具体实施例方式下面结合附图对技术方案的实施作进一步的详细描述。本发明所述方法包括在LDAP服务器侧设置管理者标识信息、该管理者可操作的 用户的标识信息(如用户的IMSI (International Mobile Subscriberldentity,国际移动 用户识别码)或IMPU(IP Multimedia Public Identity,多媒体公共标识)等)及该用户 可被操作的属性的信息;该LDAP服务器在收到一用户通过LDAP客户端发来的携带该用户 标识信息及被操作用户的标识信息的访问请求后,将根据上述对应关系得到的对应的被操 作用户的可被操作的属性的信息发送给LDAP客户端,由LDAP客户端显示给用户。其中,上 述对应关系可采用正则表达式的形式进行设置,以实现更为精细的视图控制功能。而该对 应关系的存储方式可以是文件、数据库或者其他永久存储介质。此外,上述对应关系中还可包括与该用户可被操作的属性的信息对应的操作动 作的信息,其中,操作动作可以但不限于包括添加、删除和/或修改;则LDAP服务器将根 据对应关系得到的对应的被操作用户的可被操作的属性的信息及操作动作的信息一同发 送给LDAP客户端进行显示。在后续操作中,当LDAP客户端在获知管理者从其显示的信息中选择一个操作动 作后,将该操作动作的信息及对应的被操作用户的可被操作的属性的信息发送给LDAP服 务器,由LDAP服务器对该操作用户的相应属性执行相应的操作动作。此外,如果LDAP服务器在收到访问请求后,无法根据上述对应关系得到对应的被 操作用户的可被操作的属性的信息,则LDAP服务器拒绝处理此请求,并向LDAP客户端返回 明确的错误信息。下面用两个实例对采用正则表达式的方式设置上述对应关系进行进一步说明。例如,为了赋予用户甲访问WCDMA(Wideband Code Division MultipleAccess,宽 带码分多址)的用户数据的权限,那么可以定义ACL((ACCesSC0ntr0l List,访问控制列 表)为entryACIgrant:wo#[all]#authnLevelstrong:authz-ID-dn:cn = ellen,dc = tivoli,dc = com"用户甲的登录DN〃这样,为强认证方式登录的用户甲赋予了此条目下所有属性的修改_增加权限和 修改-删除权限。如若想赋予用户甲访问WCDMA部分用户数据的权限,那么可以定义ACL为entryACIRegex :dn :cn = wbaseinfo, serv = wcdma,imsi = 46000*,cn = u_ wlmsiDom, dc = zte, dc = com#grant:wo#[all]#authnLevel:strong:authz-ID-dn:cn = ellen, dc = tivoli, dc = com这样,为强认证方式登录的用户甲赋予此条目所有属性的修改_增加权限和修 改_删除权限,但仅限于IMSI为46000开始的用户号码。如图1所示,采用本发明所述方法对LDAP服务器中用户签约数据进行操作的方 法,包括以下步骤步骤101 =LDAP客户端启动,开始登录LDAP服务器;
6
步骤102 =LDAP客户端发送绑定请求;步骤103 =LDAP服务器处理绑定请求,返回绑定响应;步骤104 =LDAP客户端已接入系统,开始业务操作;步骤105 =LDAP客户端发送访问请求,其中携带用户标识信息及被操作用户的标 识信息;步骤106 =LDAP服务器进行权限判断,将根据上述对应关系得到的对应的被操作 用户的可被操作的属性的信息通过访问响应发送给LDAP客户端;步骤107 =LDAP客户端查看完成后,开始注销;步骤108 =LDAP客户端发送去绑定请求;步骤109 =LDAP服务器处理去绑定请求,直接断开客户端连接。图2是本发明中有关权限控制规则的改动说明图。图左边显示的是完整的DIT树,管理员可以针对其中的某个子树进行权限控制, 例如可限制应用程序只能访问路径为“IMSI = *”子树上的数据。如果将权限控制范围改 为“IMSI = 46000*”,即访问为一个正则表达式时,就可以限制应用程序只能访问以46000 开头的部分用户数据。从而实现视图的功能。此外,本发明所述在简化目录服务器中进行权限控制的系统,包括LDAP服务器 及LDAP客户端;LDAP客户端用于提供界面供工户输入该用户标识信息及被操作用户的标识信息, 还用于在获知用户输入完毕后,将输入的用户标识信息及被操作用户的标识信息通过访问 请求发送给LDAP服务器;还用于显示LDAP服务器发来的被操作用户的可被操作的属性的 fn息;LDAP服务器中设置有以下信息的对应关系,该信息包括管理者标识信息、该管 理者可操作的用户的标识信息及该用户可被操作的属性的信息;LDAP服务器用于在收到 LDAP客户端发来的所述访问请求后,将根据上述对应关系得到的对应的被操作用户的可被 操作的属性的信息发送给LDAP客户端。其中,上述对应关系可以但不限于采用正则表达式 的形式进行设置。该具有对应关系的信息中还可包括与用户可被操作的属性的信息对应的操作动 作的信息;则LDAP服务器还可用于将根据上述对应关系得到的对应的被操作用户的可被 操作的属性的信息及操作动作的信息一同发送给、LDAP客户端;而LDAP客户端除用于显示 LDAP服务器发来的被操作用户的可被操作的属性的信息外,还可用于显示对应的操作动作 fn息ο优选地,LDAP客户端还可用于在获知用户从其显示的信息中选择一个操作动作 后,将该操作动作的信息及对应的被操作用户的可被操作的属性的信息发送给LDAP服务 器;相应地,LDAP服务器还可用于根据LDAP服务器发来的上述操作动作的信息及对应的被 操作用户的可被操作的属性的信息,对该操作用户的相应属性执行相应的操作动作。其中, 操作动作包括添加、删除和/或修改。综上所述,本发明在对已有系统改动及影响最小的情况下实现了 LDAP操作的视 图功能,使得操作权限控制的依据不仅局限于登录的操作员,也取决于所操作的签约用户, 增加了数据安全性。
7
本领域普通技术人员可以理解上述方法中的全部或部分步骤可通过程序来指令 相关硬件完成,所述程序可以存储于计算机可读存储介质中,如只读存储器、磁盘或光盘 等。可选地,上述实施例的全部或部分步骤也可以使用一个或多个集成电路来实现。相应 地,上述实施例中的各模块/单元可以采用硬件的形式实现,也可以采用软件功能模块的 形式实现。本发明不限制于任何特定形式的硬件和软件的结合。
权利要求
一种在简化目录访问协议服务器中进行权限控制的方法,包括在简化目录访问协议(LDAP)服务器侧设置以下信息的对应关系,该信息包括管理者标识信息、该管理者可操作的用户的标识信息及该用户可被操作的属性的信息;所述LDAP服务器在收到一用户通过LDAP客户端发来的携带该用户标识信息及被操作用户的标识信息的访问请求后,将根据上述对应关系得到的对应的被操作用户的可被操作的属性的信息发送给所述LDAP客户端进行显示。
2.如权利要求1所述的方法,其特征在于所述对应关系采用正则表达式的形式进行设置。
3.如权利要求1或2所述的方法,其特征在于具有对应关系的所述信息中还包括与所述用户可被操作的属性的信息对应的操作动 作的信息;则所述LDAP服务器将根据所述对应关系得到的对应的被操作用户的可被操作的属性 的信息及操作动作的信息一同发送给所述LDAP客户端进行显示。
4.如权利要求3所述的方法,其特征在于,所述方法还包括所述LDAP客户端在获知管理者从其显示的信息中选择一个操作动作后,将该操作动 作的信息及对应的被操作用户的可被操作的属性的信息发送给所述LDAP服务器,由所述 LDAP服务器对该操作用户的相应属性执行相应的操作动作。
5.如权利要求3所述的方法,其特征在于所述操作动作包括添加、删除和/或修改。
6.一种在简化目录服务器中进行权限控制的系统,包括简化目录访问协议(LDAP)服 务器及LDAP客户端;所述LDAP客户端用于提供界面供工户输入该用户标识信息及被操作用户的标识信 息,还用于在获知用户输入完毕后,将所述输入的用户标识信息及被操作用户的标识信息 通过访问请求发送给所述LDAP服务器;还用于显示所述LDAP服务器发来的被操作用户的 可被操作的属性的信息;所述LDAP服务器中设置有以下信息的对应关系,该信息包括管理者标识信息、该管 理者可操作的用户的标识信息及该用户可被操作的属性的信息;所述LDAP服务器用于在 收到所述LDAP客户端发来的所述访问请求后,将根据所述对应关系得到的对应的被操作 用户的可被操作的属性的信息发送给所述LDAP客户端。
7.如权利要求6所述的系统,其特征在于所述对应关系采用正则表达式的形式进行设置。
8.如权利要求6或7所述的系统,其特征在于所述具有对应关系的信息中还包括与所述用户可被操作的属性的信息对应的操作动 作的信息;所述LDAP服务器还用于将根据所述对应关系得到的对应的被操作用户的可被操作的 属性的信息及操作动作的信息一同发送给所述LDAP客户端;所述LDAP客户端除用于显示所述LDAP服务器发来的被操作用户的可被操作的属性的 信息外,还用于显示对应的操作动作信息。
9.如权利要求8所述的系统,其特征在于所述LDAP客户端还用于在获知用户从其显示的信息中选择一个操作动作后,将该操 作动作的信息及对应的被操作用户的可被操作的属性的信息发送给所述LDAP服务器;所述LDAP服务器还用于根据LDAP服务器发来的所述操作动作的信息及对应的被操作 用户的可被操作的属性的信息,对该操作用户的相应属性执行相应的操作动作。
10.如权利要求8所述的系统,其特征在于 所述操作动作包括添加、删除和/或修改。
全文摘要
本发明公开了一种在LDAP服务器中进行权限控制的方法及系统,所述系统包括简化目录访问协议(LDAP)服务器及LDAP客户端;所述方法包括在LDAP服务器侧设置以下信息的对应关系,该信息包括管理者标识信息、该管理者可操作的用户的标识信息及该用户可被操作的属性的信息;所述LDAP服务器在收到一用户通过LDAP客户端发来的携带该用户标识信息及被操作用户的标识信息的访问请求后,将根据上述对应关系得到的对应的被操作用户的可被操作的属性的信息发送给所述LDAP客户端进行显示。本发明在不影响原有LDAP服务器权限控制功能的情况下,避免了业务逻辑上的无效操作,增强了数据安全性。
文档编号H04L29/06GK101945108SQ20101028250
公开日2011年1月12日 申请日期2010年9月14日 优先权日2010年9月14日
发明者沈健 申请人:中兴通讯股份有限公司