ldap伺服器的用戶權限信息配置系統、裝置和方法

2023-05-27 11:53:31

專利名稱：ldap伺服器的用戶權限信息配置系統、裝置和方法
技術領域：
本發明涉及計算機領域，具體而言，涉及一種Idap伺服器的用戶權限信息配置系 統、裝置和方法。
背景技術：
傳統的輕量級目錄訪問協議(Lightweight Directory AccessProtocol，簡稱為 ldap)伺服器中的安全管理分為兩部分，其中，一部分主要涉及到通訊鏈路的安全控制，另 外一部分主要涉及到用戶操作權限的安全控制。具體地，Idap伺服器中的用戶操作權限的安全控制，是通過訪問控制列表(Access Control List，簡稱為ACL)描述腳本在伺服器上實現，在ACL腳本中記錄了多條規則，每 條規則描述某個用戶對某個資源擁有某項權限，而Idap伺服器在接收到客戶端的請求後， 按照請求的詳細信息和登錄的用戶名，掃描ACL，從而可以進一步判斷是否應該處理這個請 求。由於ACL信息也是schema數據的一部分，而schema描述了目錄服務中所包含的 對象間的結構關係，因此，Idap伺服器可以根據schema，對用戶數據進行組織和定位，並檢 查Idap請求的合法性。具體地，ACL描述腳本可以永久保存在Idap伺服器中，其存放方式可以是文本文 件或者資料庫，但是無論其以何種形式存放，在Idap請求處理過程中，都需要自上往下掃 描所有ACL信息，直至找到匹配的記錄後再判斷操作權限。在這種情況下，在Idap伺服器 加載ACL並開始運行前，管理員基本無法獲知某個用戶的某項操作與具體的哪一條規則匹 配。圖1是現有的Idap伺服器的用戶安全配置的方法流程圖，如圖1所示，按照現有 的安全配置方法，若需要修改Idap伺服器的用戶安全配置，需要執行以下步驟步驟1 管理員按照客戶端的業務需求定義規則，包括對用戶所應該呈現的數據、 這些數據間的相互關係、用戶對於這些數據的操作權限等；步驟2 客戶端試用，反饋結果是否正確；步驟3 管理員按照客戶端的反饋再次修改規則，跳轉至步驟2。由以上描述可知，在現有技術中，由管理員直接在Idap伺服器上配置用戶權限信 息，並通過客戶端進行測試，客戶端與管理員之間需要經過多次交流，循環執行，才能為用 戶配置合適的權限信息，配置的效率較低。

發明內容
針對現有技術中由管理員直接在Idap伺服器配置用戶權限信息而導致配置的效 率較低的問題而提出本發明，為此，本發明的主要目的在於提供一種在客戶端進行Idap服 務器的用戶權限信息配置方法、裝置及系統，以提高配置的效率。根據本發明的一個方面，首先提供了一種Idap伺服器的用戶權限信息配置系統。
根據本發明的Idap伺服器的用戶權限信息配置系統，包括ldap伺服器和權限設 置客戶端，其中，Idap伺服器，用於存儲系統中的用戶的用戶權限信息；權限設置客戶端，與Idap伺服器相連，用於設置Idap伺服器存儲的用戶權限信 肩、ο根據本發明的另一個方面，還提供了一種Idap伺服器的用戶權限信息配置裝置。根據本發明的Idap伺服器的用戶權限信息配置裝置，包括第一發送模塊、第一 接收模塊和第二發送模塊，其中，第一發送模塊，用於向Idap伺服器發送接入請求；第一接收模塊，用於接收Idap伺服器返回的接入請求響應；第二發送模塊，用於向Idap伺服器發送設置請求，請求設置Idap伺服器中存儲的 用戶的用戶權限信息。根據本發明的再一個方面，還提供了一種Idap伺服器的用戶權限信息配置方法。根據本發明的Idap伺服器的用戶權限信息配置方法，具體包括以下處理首先，Idap伺服器接收權限設置客戶端發送的設置請求，其中，該設置請求用於請 求設置Idap伺服器存儲的用戶權限信息；然後，Idap伺服器對權限設置客戶端進行鑑權，鑑權通過後，接受權限設置客戶端 對用戶權限信息的設置。通過本發明的上述至少一個方案，通過與Idap伺服器直接連接的權限設置客戶 端對Idap伺服器中存儲的用戶權限信息進行設置，從而可以方便、快速的對Idap伺服器存 儲的用戶權限信息進行修改，進而提高了用戶信息配置的效率。


此處所說明的附圖用來提供對本發明的進一步理解，構成本申請的一部分，本發 明的示意性實施例及其說明用於解釋本發明，並不構成對本發明的不當限定。在附圖中圖1是現有的Idap伺服器的用戶安全配置的方法流程圖；圖2是根據本發明實施例提供的Idap伺服器的用戶權限信息配置系統的結構示 意圖；圖3是根據本發明優選實施例的提供的Idap伺服器的用戶權限信息配置系統的 結構示意圖；圖4是根據本發明實施例的Idap伺服器的用戶權限信息配置裝置的結構示意 圖；圖5是根據本發明優選實施例的Idap伺服器的用戶權限信息配置裝置的結構示 意圖；圖6是根據本發明實施例的Idap伺服器的用戶權限信息配置方法流程圖；圖7是實施例一的流程圖；圖8是實施例二的流程圖。
具體實施例方式功能概述針對在現有技術中，在Idap伺服器配置用戶權限信息時存在的效率較低的問題， 本發明實施例，提供了一種Idap伺服器的用戶權限信息配置方案。在本發明實施例中，增 加了一個與Idap伺服器連接的權限設置客戶端，管理員通過權限設置客戶端對Idap服務 器中存儲的用戶權限信息進行設置，並且，管理員還可以通過權限設置客戶端瀏覽Idap服 務器存儲的用戶權限信息，以對用戶權限信息配置的正確性進行檢查。在不衝突的情況下，本申請中的實施例及實施例中的特徵可以相互組合。以下結合附圖對本發明的有選實施例進行說明，應當理解，此處描述的優選實施 例僅用於說明和解釋本發明，並不限定本發明。根據本發明實施例，首先提供了 一種輕量級目錄訪問協議伺服器的用戶權限信息 配置系統。圖2是根據本發明實施例提供的Idap伺服器的用戶權限信息配置系統的結構示 意圖，如圖2所示，上述的Idap伺服器的用戶權限信息配置系統主要包括ldap伺服器20 和權限設置客戶端21。其中，Idap伺服器20，用於存儲系統中的用戶的用戶權限信息；權限設置客戶端21，與上述的Idap伺服器20相連，在具體應用中，權限設置客戶 端21可以通過Idap接口與Idap伺服器20相連，該權限設置客戶端21用於設置Idap服 務器20存儲的用戶權限信息。在具體應用中，為了保證用戶權限信息的安全性，只有管理員才可以對Idap服務 器20中存儲的用戶權限信息進行設置(包括修改、增加或刪除等操作)，因此，Idap服務 器20還需要對權限設置客戶端21進行鑑權，在鑑權通過後，Idap伺服器20才接受權限設 置客戶端21對Idap伺服器20存儲的用戶權限信息的設置。在具體應用中，由於Idap伺服器中存儲的用戶權限信息一般是以ACL信息的方式 存儲的，如果管理員在配置用戶權限信息時，以ACL信息格式進行設置，則需要管理員掌握 其連接的Idap伺服器存儲的用戶權限信息存儲的格式，從而增加學習成本，並且，也不便 於在各個Idap伺服器之間進行遷移，因此，可以在權限設置客戶端21設置用戶權限配置界 面，該界面可以提示管理員輸入相應的參數，通過該界面管理員可以方便地對Idap伺服器 中存儲的用戶權限信息執行設置操作，具體地，管理員可以通過該權限配置界面增加、修改 或刪除Idap伺服器中存儲的用戶權限信息中一項或多項記錄。避免了管理員對ACL信息 格式的學習過程，降低了在各個Idap伺服器間遷移時的成本。圖3是根據本發明優選實施例的提供的Idap伺服器的用戶權限信息配置系統的 結構示意圖，如圖3所示，本發明實施例的Idap伺服器的用戶權限信息配置系統還可以包 括權限瀏覽客戶端22，在具體應用過程中，權限瀏覽客戶端22可以通過Idap接口與上述 Idap伺服器20相連。具體的，如圖3所示，權限瀏覽客戶端22還可以包括發送模塊220、接收模塊221 和顯示模塊222，其中，發送模塊220，用於向Idap伺服器20發送查詢請求，以查詢一個或多個用戶的用 戶權限信息；
接收模塊221，用於接收Idap伺服器20返回的一個或多個用戶的用戶權限信息；顯示模塊222，用於顯示接收模塊221接收到的用戶權限信息。具體地，顯示模塊222可以採用樹狀結構顯示接收模塊221接收到的用戶權限信 息。具體地，由於Idap伺服器中所存放的信息是有層次結構的，以樹狀的圖形方式在界面 中顯示用戶可以訪問的數據，可以直觀的瀏覽每個用戶的權限信息；樹狀圖有唯一的根節 點，該根節點以及根節點衍生出的「樹枝」和「樹葉」，完整的表示了 Idap伺服器所包含的資 源以及資源間的相互關係，樹狀圖中的每一個節點上都顯示了該用戶對該資源擁有哪些權 限，選擇樹中的各個節點可以查看相應節點的權限信息。或者，為了瀏覽的方便，顯示模塊222也可以採用相互連結的快捷訪問方式顯示 接收模塊221接收到的用戶權限信息。具體地，可以在每一個節點上設置一些快捷訪問的 連結，通過這些連結可以直接跳轉到上級節點、下一個同級節點或各個下級節點。在具體應用中，上述權限設置客戶端21和權限瀏覽客戶端22可以合一設置，也可 以分開設置，具體可以根據實際需要進行設置。根據本發明實施例，還提供了一種Idap伺服器的用戶權限信息配置裝置，該裝置 可以作為上述權限設置客戶端21應用在上述系統中。圖4是根據本發明實施例的Idap伺服器的用戶權限信息配置裝置的結構示意圖， 如圖4所示，根據本發明實施例的Idap伺服器的用戶權限信息配置裝置包括第一發送模 塊40、第一接收模塊41和第二發送模塊42。其中，第一發送模塊40，用於向Idap伺服器發送接入請求；優選地，該接入請求可以是 鑑權請求，Idap伺服器在接收到接入請求後，對該裝置進行鑑權，並在鑑權通過的情況下， 向Idap伺服器返回接入請求響應，指示鑑權通過。第一接收模塊41，用於接收Idap伺服器返回的接入請求響應；第二發送模塊42，用於向Idap伺服器發送設置請求，請求設置Idap伺服器中存 儲的用戶的用戶權限信息。具體地，該裝置可以在發送的設置請求中攜帶要設置(包括增 加、刪除、修改等)用戶權限信息的相關信息，Idap伺服器接收到該設置請求後，根據該設 置請求中攜帶的相關信息，增加、刪除或修改存儲的相關的用戶權限信息。圖5是根據本發明優選實施例的Idap伺服器的用戶權限信息配置裝置的結構示 意圖，如圖5所示，本發明實施例的Idap伺服器的用戶權限信息配置裝置還可以包括第三 發送模塊43、第二接收模塊44和顯示模塊45。其中，第三發送模塊43，用於向Idap伺服器 發送查詢請求，以查詢一個或多個用戶的用戶權限信息；第二接收模塊44，用於接收Idap 伺服器返回的一個或多個用戶的用戶權限信息；顯示模塊45，用於顯示第二接收模塊44接 收到的一個或多個用戶的用戶權限信息。根據本發明實施例，還提供了一種Idap伺服器的用戶權限信息配置方法，該方法 可以通過上述的系統或裝置實現。圖6是根據本發明實施例的Idap伺服器的用戶權限信息配置方法流程圖，如圖6 所示，根據本發明實施例的Idap伺服器的用戶權限信息配置方法主要包括以下步驟(步驟 S601-步驟 S602)步驟S601 =Idap伺服器接收權限設置客戶端發送的設置請求；上述的設置請求用於請求設置Idap伺服器存儲的用戶權限信息。
步驟S602 =Idap伺服器對權限設置客戶端進行鑑權，鑑權通過後，接受權限設置 客戶端對用戶權限信息的設置。在具體實施過程中，上述的Idap伺服器的用戶權限信息配置方法還可以包括以 下操作l)ldap伺服器接收權限瀏覽客戶端發送的查詢請求，其中，上述的查詢請求用於 查詢一個或多個用戶的用戶權限信息；2) Idap伺服器向權限瀏覽客戶端返回一個或多個用戶的用戶權限信息；3)權限瀏覽客戶端顯示Idap伺服器返回的一個或多個用戶的用戶權限信息。下面結合具體實施例對本發明實施例提供的技術方案的具體實現過程進行詳細 說明。實施例一在本實施例中，權限設置客戶端和權限瀏覽客戶端為同一客戶端，即將上述的權 限設置客戶端和ap限瀏覽客戶端合一設置。圖7是本實施例中實現檢測並配置Idap伺服器中存儲的用戶權限信息的流程圖， 如圖7所示，在本實施例中對Idap伺服器中存儲的用戶權限信息進行檢測和配置的過程主 要包括以下步驟步驟701 用戶登錄權限瀏覽器客戶端/權限設置客戶端(以下統稱客戶端)，輸 入用戶名以及密碼；步驟702 客戶端通過ldap bind(綁定)消息請求接入Idap伺服器；步驟703 =Idap伺服器收到客戶端的請求後，對用戶信息進行校驗，返迴響應；步驟704 如果認證方法要求客戶端多次發接入請求，則客戶端繼續發後續的接 入請求；步驟705 所有的接入請求處理完畢，Idap伺服器認為客戶端認證通過，允許客戶 端開始Idap操作；步驟706 客戶端已連接Idap伺服器，彈出圖形化用戶界面，等待輸入；步驟707 操作權限瀏覽器客戶端向Idap伺服器發ldap search(查詢)請求，請 求查詢用戶權限信息；步驟708 =Idap伺服器向客戶端返回此用戶相關的用戶權限信息，權限瀏覽器客 戶端界面中顯示此用戶相關的所有數據以及數據的訪問權限；步驟709 選擇希望修改的權限信息，輸入修改後的內容(如果是首次修改，要求 操作人員輸入管理員用戶名/密碼，並發送到Idap伺服器進行校驗)。權限設置客戶端向 Idap伺服器發送Idapmodify (修改)請求，請求修改用戶權限信息；步驟710 =Idap伺服器修改用戶權限信息，並響應到權限設置客戶端；步驟711 用戶確認權限設置正確，退出系統；步驟712 客戶端向Idap伺服器發ldap imbind(去綁定)消息請求退出系統；步驟713 可選的消息，Idap伺服器向客戶端返回ldap unbind(去綁定)響應消 息，客戶端退出。實施例二 在本實施例中，權限設置客戶端和權限瀏覽客戶端為不同的客戶端，即將上述的權限設置客戶端和權限瀏覽客戶端分開設置。

圖8是本實施例中實現檢測並配置Idap伺服器中存儲的用戶權限信息的流程圖， 如圖8所示，在本實施例中對Idap伺服器中存儲的用戶權限信息進行檢測和配置的過程主 要包括以下步驟步驟801 用戶登錄權限瀏覽器客戶端，輸入用戶名以及密碼；步驟802 權限瀏覽器客戶端通過ldap bind (綁定)消息請求接入Idap伺服器；步驟803 =Idap伺服器收到權限瀏覽器客戶端的請求後，對用戶信息進行校驗，返 迴響應；步驟804 如果認證方法要求權限瀏覽器客戶端多次發接入請求，則客戶端繼續 發後續的接入請求；步驟805 所有的接入請求處理完畢，Idap伺服器認為權限瀏覽器客戶端認證通 過，允許權限瀏覽器客戶端開始Idap操作；步驟806 權限瀏覽客戶端已連接Idap伺服器，彈出圖形化用戶界面，等待輸入；步驟807 操作權限瀏覽器客戶端向Idap伺服器發ldap search (查詢)請求，請 求查詢用戶權限信息；步驟808 =Idap伺服器向權限瀏覽客戶端發送相關的用戶權限信息，並且，這些信 息顯示在權限瀏覽器客戶端界面中；步驟809 找到需要重新設置的用戶權限信息，啟動權限設置客戶端；步驟810 操作人員輸入管理員用戶名/密碼，並發送到Idap伺服器進行校驗)， 權限設置客戶端向Idap伺服器發送ldap modify (修改)請求，請求修改用戶權限信息；步驟811 =Idap伺服器修改用戶權限信息，並響應到權限設置客戶端；步驟812 用戶確認權限設置正確，退出系統；步驟813 權限瀏覽客戶端和權限設置客戶端向Idap伺服器發ldap unbind(去 綁定)消息請求退出系統；步驟814:可選的消息，Idap伺服器向權限瀏覽客戶端和權限設置客戶端返回 ldap unbind (去綁定)響應消息，客戶端退出。綜上所述，藉助本發明實施例提供的上述技術方案，能夠實現用戶瀏覽客戶端/ 權限設置客戶端方便、快速的對用戶權限信息進行修改，從而提高了用戶信息配置的效率， 提高了用戶體驗。顯然，本領域的技術人員應該明白，上述的本發明的各模塊或各步驟可以用通用 的計算裝置來實現，它們可以集中在單個的計算裝置上，或者分布在多個計算裝置所組成 的網絡上，可選地，它們可以用計算裝置可執行的程序代碼來實現，從而，可以將它們存儲 在存儲裝置中由計算裝置來執行，或者將它們分別製作成各個集成電路模塊，或者將它們 中的多個模塊或步驟製作成單個集成電路模塊來實現。這樣，本發明不限制於任何特定的 硬體和軟體結合。以上所述僅為本發明的優選實施例而已，並不用於限制本發明，對於本領域的技 術人員來說，本發明可以有各種更改和變化。凡在本發明的精神和原則之內，所作的任何修 改、等同替換、改進等，均應包含在本發明的保護範圍之內。
權利要求
1.一種輕量級目錄訪問協議Idap伺服器的用戶權限信息配置系統，其特徵在於，包括Idap伺服器，用於存儲系統中的用戶的用戶權限信息；權限設置客戶端，與所述Idap伺服器相連，用於設置所述Idap伺服器存儲的所述用戶 權限信息。
2.根據權利要求1所述的系統，其特徵在於，所述系統還包括權限瀏覽客戶端，包括發送模塊，用於向所述Idap伺服器發送查詢請求，查詢一個或多個用戶的用戶權限信息；接收模塊，用於接收所述Idap伺服器返回的所述一個或多個用戶的用戶權限信息； 顯示模塊，用於顯示所述接收模塊接收到的所述用戶權限信息。
3.根據權利要求2所述的系統，其特徵在於，所述顯示模塊採用樹狀結構顯示所述接 收模塊接收到的所述用戶權限信息，或者，所述顯示模塊採用相互連結的快捷訪問方式顯 示所述接收模塊接收到的所述用戶權限信息。
4.根據權利要求2所述的系統，其特徵在於，所述權限瀏覽客戶端通過Idap接口與所 述Idap伺服器相連。
5.根據權利要求1至4中任一項所述的系統，其特徵在於，所述Idap伺服器還用於對 權限設置客戶端進行鑑權，在鑑權通過後，接受所述權限設置客戶端對所述Idap伺服器存 儲的所述用戶權限信息的設置。
6.根據權利要求1至4中任一項所述的系統，其特徵在於，所述權限設置客戶端設置有 用戶權限配置界面，用戶通過所述用戶權限配置界面對所述Idap伺服器存儲的所述用戶 權限信息執行設置操作，其中，所述設置操作包括增加、修改或刪除所述用戶權限信息中 一項或多項記錄。
7.根據權利要求1至4中任一項所述的系統，其特徵在於，所述權限設置客戶端通過 Idap接口與所述Idap伺服器相連。
8.—種Idap伺服器的用戶權限信息配置裝置，其特徵在於，包括 第一發送模塊，用於向Idap伺服器發送接入請求；第一接收模塊，用於接收所述Idap伺服器返回的接入請求響應； 第二發送模塊，用於向所述Idap伺服器發送設置請求，請求設置所述Idap伺服器中存 儲的用戶的用戶權限信息。
9.根據權利要求8所述的裝置，其特徵在於，所述裝置還包括第三發送模塊，用於向所述Idap伺服器發送查詢請求，以查詢一個或多個用戶的用戶 權限信息；第二接收模塊，用於接收所述Idap伺服器返回的所述一個或多個用戶的用戶權限信息；顯示模塊，用於顯示所述第二接收模塊接收到的所述一個或多個用戶的用戶權限信肩、ο
10.一種Idap伺服器的用戶權限信息配置方法，其特徵在於，包括Idap伺服器接收權限設置客戶端發送的設置請求，其中，所述設置請求用於請求設置所述Idap伺服器存儲的用戶權限信息；所述Idap伺服器對所述權限設置客戶端進行鑑權，鑑權通過後，接受所述權限設置客 戶端對所述用戶權限信息的設置。
11.根據權利要求10所述的方法，其特徵在於，所述方法還包括 所述Idap伺服器接收權限瀏覽客戶端發送的查詢請求，其中，所述查詢請求用於查詢 一個或多個用戶的用戶權限信息；所述Idap伺服器向所述權限瀏覽客戶端返回所述一個或多個用戶的用戶權限信息； 所述權限瀏覽客戶端顯示所述Idap伺服器返回的所述一個或多個用戶的用戶權限信肩、ο
全文摘要
本發明公開了一種ldap伺服器的用戶權限信息配置系統、裝置和方法，上述的ldap伺服器的用戶權限信息配置系統包括ldap伺服器和權限設置客戶端，其中，ldap伺服器，用於存儲系統中的用戶的用戶權限信息；權限設置客戶端，與ldap伺服器相連，用於設置ldap伺服器存儲的用戶權限信息。通過本發明，能夠實現快速的對用戶權限信息進行修改，從而提高了用戶信息配置的效率，提高了用戶體驗。
文檔編號H04L29/08GK102064953SQ20091022182
公開日2011年5月18日 申請日期2009年11月12日 優先權日2009年11月12日
發明者沈健 申請人:中興通訊股份有限公司