CN101160906A - 涉及跨分布式目录的组成员资格的访问授权的方法和系统 - Google Patents
涉及跨分布式目录的组成员资格的访问授权的方法和系统 Download PDFInfo
- Publication number
- CN101160906A CN101160906A CNA2006800120401A CN200680012040A CN101160906A CN 101160906 A CN101160906 A CN 101160906A CN A2006800120401 A CNA2006800120401 A CN A2006800120401A CN 200680012040 A CN200680012040 A CN 200680012040A CN 101160906 A CN101160906 A CN 101160906A
- Authority
- CN
- China
- Prior art keywords
- group
- server
- directory
- list
- user
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/45—Network directories; Name-to-address mapping
- H04L61/4505—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
- H04L61/4523—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using lightweight directory access protocol [LDAP]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明提出了一种用于在分布式目录环境中执行目录操作的系统,所述分布式目录环境包括分布式目录服务器和充当客户机与所述分布式目录环境之间的中间代理的代理服务器。所述代理服务器向目录服务器发送请求,以便根据由每个目录服务器支持的分布式目录的每个部分中的组表项来收集与用户的组成员资格有关的信息。所述代理服务器发送所述用户的组成员资格的编辑后的信息以及所述代理服务器代表所述用户请求的任何目录操作。目录服务器接收组成员资格的所述编辑后的信息以及所请求的目录操作,然后根据分布式目录信息树的本地存储部分以及根据所接收的所述用户的组成员资格信息来执行所请求的目录操作。
Description
技术领域
本发明涉及改进的数据处理系统,具体地说,涉及用于数据库访问的方法和装置;更具体地说,本发明涉及根据来自分布式目录的信息来执行认证操作的方法和装置。
背景技术
目录是用于管理与人、组织、数据处理系统和其他信息资源有关的信息的特殊类型的数据库。目录内的信息组织在分层名称空间中。每个表项是命名对象并包括一组属性。每个属性具有定义的属性类型以及一个或多个值。每个表项都由明确的特异名称(DN)来标识,其中特异名称是表项中选定属性的级联。目录服务提供了用于搜索目录和从目录检索信息的机制。发布了各种用于定义目录和目录服务的标准。例如,X.500规范定义了目录标准;可以在Weider等人1992年3月在Internet Engineering TaskForce(IETF)RFC 1309中发表的“Technical Overview of DirectoryService Using the X.500 Protocol”中找到更多信息。作为另一个实例,轻量目录访问协议(LDAP)规范定义了用于访问支持X.500目录模型的目录的协议;可以在Wahl等人1997年12月在IETF RFC 2251中发表的“Lightweight Directory Access Protocol(v3)”中找到更多信息。
目录的逻辑表示并不一定反映目录的物理存储的组织。通过类似于许多类型的存储器系统的方式,可以作为连贯整体逻辑地支持目录,但仍以分布方式物理地支持目录。例如,单个目录可以存储在许多服务器间,其中每个服务器支持目录的子树。
目录使用的实例可以是存储与个体(例如,企业的雇员,其中每个个体都是分布式数据处理系统的许多用户之一)有关的信息的目录。目录中的表项可以存储有关个体的属性;目录中特定用户的表项将由用户的特异名称来标识。此外,可以定义组,以使该组表示用户的集合;目录中的表项可以包含有关组成员资格的信息。目录中的表项可以存储有关组的属性;目录中特定组的表项将由组的特异名称标识。“用户表项”一词可以指目录中表示存储特定用户的属性的表项,而“组表项”一词可以指目录中表示存储特定组的属性的表项。
当为包含用户表项和组表项的目录使用分布式存储机制时,会出现各种信息处理问题。例如,代表指定用户针对指定目标对象执行的特定类型的操作可能要求对指定用户在特定组中的成员资格的肯定性确定,以作为成功完成特定类型操作的要求。尽管指定用户可能属于特定的组,即,指定的用户可能拥有所要求的组成员资格,但是在采用分布式目录时,确定该事实可能存在问题。在一些情况下,指定用户的用户表项可能位于由不同服务器支持的分布式目录的一部分(而不是分布式目录中包含指定用户所属组的组表项的另一部分)。因此,当服务器尝试执行针对指定用户的操作时,从分布式目录的本地存储和本地支持的部分检索用户表项可能很平常;但是,检索必要的组表项可能很困难,因为服务器可能不具备随时可用的信息或机制来定位和/或检索存储在分布式目录的其他位置的组表项。也就是说,如果指定用户的用户表项位于一个服务器,而具有该用户作为其成员的组的组表项位于其他服务器,则为了确定指定用户属于该组,必须克服分布式存储的障碍。
更具体和困难的问题是在分布式目录间进行访问控制所要求的确定组成员资格的操作。例如,就目录而言,用户可能是一个或多个组的成员,而组成员资格用于确定对该目录中表项的访问。也就是说,应仅向特定组的成员提供对其中定义了用户和用户组的目录的特定部分的访问。在当前的目录服务器实施方式中,限制访问并不困难,因为假定用户和用户组位于同一目录服务器上。但是,存在在典型的分布式数据处理环境中支持分布式目录系统的需要,其中分布式目录系统提供在多个目录服务器间分隔和支持的单个目录信息树(DIT);客户机应能够透明地访问分布式目录服务器,由此自动且无缝地从目录信息树中检索信息,无需了解有关数据如何在支持服务器间分割的详细信息。在此方面,一些当前的系统采用了协助访问在多个服务器上支持的目录信息树的代理服务器。
但是,在评估组成员资格以确定分布式目录环境中的访问时存在两个主要问题。首先,组成员资格评估很困难,因为用户表项、组表项和目标对象表项可能存在于任何支持分布式目录的服务器上。第二,在特定服务器确定了给定用户的组成员资格之后,需要将有关组成员资格的信息从该特定服务器传送到支持分布式目录的其他服务器,以便代表给定用户支持有关访问分布式目录中的信息的操作,这些其他服务器中的任何一个服务器都可能支持和存储所述目录。
一种避免其中用户表项、组表项和目标对象表项位于在不同系统上支持的分布式目录的不同部分的问题的解决方案如下。通常,使用访问控制列表(ACL)来将对目录的一部分的访问限于特定用户和组,并且访问控制列表引用这些特定的用户和组;因此,处理访问控制列表要求从目录中检索用户表项和组表项。因此,一种当前的解决方案要求计算环境确保与ACL引用的所有用户和组有关的信息同时本地地位于由评估ACL的服务器所支持的目录的部分中。这可以通过将所有用户表项和所有组表项复制到所有支持分布式目录的服务器上来实现。但是,因为目标对象的表项通常与用户表项以及组表项处于同一子树,所以此任务变得很繁重。复制所有用户表项和组表项还要求复制用户表项或组表项的相应子树中的所有表项,由此背离了分布式目录的目的。
另一个解决方案是为每个分布式目录服务器定义用户和组的集合。但是,该解决方案很脆弱且不灵活。将必须在不同于数据的子树中定义用户和组。用户也只能访问一个服务器的数据。因此,该解决方案将违反分布式目录环境应以对最终用户表现为无缝的方式来支持分区的数据的要求。
其他解决方案是使管理员手动确定给定用户的组成员资格或使应用采用其自己的算法来具体确定给定用户的组成员资格。但是,在确定了组成员资格之后,无法与目录服务器传送该信息。此外,组成员资格的确定易于出错,它将是双倍的付出;目录服务器已具有用于确定组成员资格的算法。
因此,提供一种用于评估给定用户的组成员资格的方法是有利的,以便确定分布式目录环境中的访问,使得可以支持分布式目录而没有复制数据的额外要求或没有限制分布式目录的各部分的存储位置的额外要求。
发明内容
本发明提供了一种用于在分布式目录环境中执行目录操作的方法、系统、装置或计算机程序产品,所述分布式目录环境包括一个或多个分布式目录服务器以及充当客户机与所述分布式目录环境之间的中间代理的代理服务器。所述代理服务器向目录服务器发送请求,以便根据由每个目录服务器支持的分布式目录的每个部分中的组表项来收集或编辑与用户的组成员资格有关的信息。所述代理服务器然后发送所述用户的组成员资格的编辑后的信息以及所述代理服务器代表所述用户发送到目录服务器的任何目录操作。目录服务器接收并接受组成员资格的所述编辑后的信息以及所请求的目录操作,然后根据分布式目录信息树的本地存储部分以及根据所接收的所述用户的组成员资格信息来执行所请求的目录操作。
附图说明
在所附权利要求书中提出了被认为是本发明特征的新颖特性。当结合附图阅读时,通过参考以下详细说明,将最佳地理解发明本身、其进一步的目标和其优点,这些附图是:
图1A示出了其中可以实现本发明的典型分布式数据处理系统;
图1B示出了在其中可以实现本发明的数据处理系统中使用的典型计算机体系结构;
图1C是示出了企业域的典型分布式数据处理系统的方块图;
图2A是示出了典型分布式目录环境的方块图;
图2B是示出了根据本发明实施例的已被增强为包括根据组成员资格来支持目录访问授权的功能的分布式目录环境的方块图;
图3A是示出了客户机或客户机应用与目录代理服务器之间的典型数据流的方块图;
图3B是示出了根据本发明实施例的在目录代理服务器与目录服务器之间的获得有关给定用户的组成员资格的信息的数据流的方块图;
图3C是示出了根据本发明实施例的在目录代理服务器与目录服务器之间的根据标识的用户或客户机及其关联的组成员资格来执行目录操作的数据流的方块图;
图4是示出了根据本发明实施例的在代理服务器处编辑一组有关给定用户的组成员资格以随后在分布式目录环境中的给定用户的目录操作期间使用的过程的流程图;
图5是示出了根据本发明实施例的在代理服务器处执行请求的目录操作同时使用一组有关分布式目录环境中的给定用户的组成员资格的过程的流程图;
图6是示出了根据本发明实施例的在目录服务器处执行请求的目录操作同时使用一组由目录代理服务器提供的有关分布式目录环境中的给定用户的组成员资格的过程的流程图。
具体实施方式
一般地说,可以包括或涉及本发明的设备包括各种不同的数据处理技术。因此,作为背景,在更详细地说明本发明之前,将描述分布式数据处理系统中的硬件和软件组件的典型组织。
现在参考附图,图1A示出了数据处理系统的典型网络,每个系统都可以实现本发明的一部分。分布式数据处理系统100包含网络101,后者是可用于在分布式数据处理系统100中连接在一起的各种设备与计算机之间提供通信链路的介质。网络101可以包括永久性连接(例如,电线或光缆),或通过电话或无线通信的临时连接。在示出的实例中,服务器102和服务器103与存储单元104一起连接到网络101。此外,客户机105-107也连接到网络101。客户机105-107和服务器102-103可以由各种计算设备(例如,大型机、个人电脑、个人数字助理(PDA)等)表示。分布式数据处理系统100可以包括未示出的其他服务器、客户机、路由器、其他设备和对等体系结构。
在示出的实例中,分布式数据处理系统100可以包括因特网,其中网络101表示使用各种协议(例如,轻量目录访问协议(LDAP)、传输控制协议/网际协议(TCP/IP)、文件传输协议(FTP)、超文本传输协议(HTTP)、无线应用协议(WAP)等)来彼此通信的网络和网关的世界范围的集合。当然,分布式数据处理系统100还可以包括许多不同类型的网络,例如,内联网、局域网(LAN)或广域网(WAN)。例如,服务器102直接支持客户机109和网络110,后者包括无线通信链路。启用网络的电话111通过无线链路112连接到网络110,PDA 113通过无线链路114连接到网络110。电话111和PDA 113也可以使用适当的技术(例如,蓝牙TM无线技术)来直接跨无线链路115在它们自身之间传送数据,以创建所谓的个人区域网络(PAN)或个人专用网络。通过类似的方式,PDA 113可以通过无线通信链路116将数据传送到PDA 107。
可以在各种硬件平台上实现本发明;图1A旨在作为异构计算环境的实例而非作为本发明的体系结构限制。
现在参考图1B,该图示出了其中可以实现本发明的数据处理系统(如图1A中示出的那些系统)的典型计算机体系结构。数据处理系统120包含一个或多个连接到内部系统总线123的中央处理单元(CPU)122,该内部系统总线互连随机存取存储器(RAM)124、只读存储器126,以及输入/输出适配器128,输入/输出适配器128支持各种I/O设备,例如打印机130、盘装置132或其他未显示的设备,例如音频输出系统等。系统总线123还连接提供对通信链路136的访问的通信适配器134。用户接口适配器148连接各种用户设备,例如键盘140和鼠标142,或其他未显示的设备,例如触摸屏、触笔、麦克风等。显示适配器144将系统总线123连接到显示设备146。
本领域的技术人员将理解,图1B中的硬件可以根据系统实施方式而改变。例如,系统可以具有一个或多个处理器(例如,基于IntelPentium的处理器和数字信号处理器(DSP)),以及一个或多个类型的易失性和非易失性存储器。除了图1B示出的硬件或替代图1B示出的硬件,还可以使用其他外围设备。示出的实例并非旨在暗示有关本发明的体系结构限制。
除了能够在多种硬件平台上实现,本发明可以在各种软件环境中实现。可以使用典型的操作系统来控制每个数据处理系统中的程序执行。例如,一个设备可以运行Unix操作系统,而另一个设备包含简单的Java运行时环境。代表性的计算机平台可以包括浏览器,其是公知的访问以各种格式存在的超文本文档(例如,图形文件、字处理文件、扩展标记语言(XML)、超文本标记语言(HTML)、手持设备标记语言(HDML)、无线标记语言(WML)以及各种其他格式和类型的文件)的软件应用。
可以在各种硬件和软件平台上实现本发明,如以上针对图1A和图1B所描述的。但是,更具体地说,本发明涉及改进的分布式数据处理环境。在更详细地说明本发明之前,先说明典型分布式数据处理环境的一些方面。
本文中对附图的说明可能涉及由客户机设备或客户机设备的用户进行的特定操作。本领域的技术人员将理解,去往/来自客户机的响应和/或请求有时由用户发起,有时由客户机通常代表客户机的用户自动发起。因此,当在附图说明中提到客户机或客户机的用户时,应理解“客户机”和“用户”一词可以交换使用,而不会显著影响所述过程的含义。
在下文中可以将特定计算任务描述为由功能单元执行。功能单元可以由例程、子例程、进程、子进程、过程、函数、方法、面向对象的对象、软件模块、小应用程序、插件、ActiveXTM控件、脚本,或某些其他用于执行计算任务的固件或软件的组件来表示。
在本文中对附图的说明可以涉及各种组件之间的信息交换,并且可以将信息的交换描述为通过消息的交换来实现,例如,后面跟随响应消息的请求消息。应指出的是,可能包括同步或异步请求/响应交换的计算组件之间的信息交换可以通过各种数据交换机制(例如,消息、方法调用、远程过程调用、事件信号通知,或其他机制)等价地实现。
在下文中在术语和功能方面将本发明说明为与X.500目录以及轻量目录访问协议(LDAP)关联,但是,应指出的是,可以使用各种目录实现方案和协议来实现本发明。
现在参考图1C,方块图示出了企业域的典型分布式数据处理系统。在典型企业计算环境或基于因特网的计算环境下,企业域150托管用户151例如能够经由网络154使用客户机设备153上的浏览器应用152来访问的受控资源。
企业域150支持多个服务器。应用服务器155支持可通过基于Web的应用或其他类型的应用(包括遗留应用)访问的资源。认证服务器156支持各种认证机制,例如,用户名/密码、X.509证书、安全令牌或SSL会话。
代理服务器157执行企业域150的各种功能。可以通过配置文件和企业策略数据库158来管理地配置代理服务器157,以控制代理服务器157的功能,例如,缓存网页以便从应用服务器映射内容或通过输入数据流过滤单元159和输出数据流过滤单元160来过滤入站和出站的数据流。输入数据流过滤单元159可以对入站请求执行多个检查,而输出数据流过滤单元160可以对出站响应执行多个检查;可以根据在各种企业策略中指定的目标和条件来执行每个检查。
企业域150包括授权服务器161,后者接受用户注册表数据库162、访问控制列表(ACL)数据库163,以及来自其他域的第三方数据流164中的信息。授权服务器161通过针对用户服务请求检查策略和/或访问控制列表来判定是否授权用户访问由域150中的应用服务器155提供的特定服务。代理服务器157、授权服务器161,或代理服务器157与授权服务器161之间的组合或协同努力使用一组用户特定的权限,以确定或控制对应用服务器155和其他受控资源的访问以响应用户请求。
企业域150中的上述实体代表许多计算环境中的典型实体。基于Web的应用能够利用各种方法来提示用户输入认证信息,通常为HTML表单中的用户名/密码组合。在图1C示出的实例中,可以在客户机153可以访问资源之前要求认证用户151,在此之后为客户机153建立会话。在图1C中,在从客户机153接收到入站请求之后,输入数据流过滤单元159可以判定客户机153是否已经建立了会话;如果否,则可以调用认证服务器156上的认证服务以便认证用户151。如果客户机153已建立了会话,则可以在许可访问受控资源之前对入站请求执行其他检查;可以在企业认证策略中规定其他检查。
现在参考图2A,方块图示出了典型的分布式目录环境。用户202操作客户机应用204,后者可以在客户机设备(例如,图1C中示出客户机153)上执行。客户机应用204通过代理的目录服务器(也称为目录代理服务器或代理目录服务器,其示为代理服务器206)与目录服务器交互;代理服务器206可以在用户的客户机设备或连接设备(例如,图1A中示出的那些设备)的网络中的其他位置执行。代理服务器206可以与配置文件208关联,配置文件208包含通过管理性用户应用管理的信息以控制代理服务器206的功能。
代理服务器206充当分布式目录环境的中间代理。代理服务器206能够根据各种目录方案和协议(包括LDAP规范)来执行操作。代理服务器206包含代理授权控制功能单元210,后者生成代理授权控件(也称为代理的授权控件),其由代理服务器206用来代表客户机应用204(或等价地,代表用户202)执行有关分布式目录的操作。如Wahl等人在1997年12月发表在IETF RFC 2251上的“Lightweight Directory Access Protocol(v3)”中所述,控件是一种指定与LDAP操作一起使用的扩展信息的方法。控件可以作为LDAP请求的一部分发送且仅应用到所附的请求。如果服务器识别控件类型并且其适用于操作,则服务器将在执行所请求的操作时利用控件;可以使用各种可选的参数来通知服务器在控件不可识别或不合适时是否忽略控件。控件还包含分配给控件的对象标识符。
因此,代理授权控制功能单元210可以提供将代理特异名称(DN)接受为输入参数的应用编程接口(API);该输入参数指定了当代理服务器206代表客户机应用204或用户202执行操作时,要采用的标识的表项的特异名称。所提供的API可以由调用方用来创建包含代理授权标识的LDAP控件;然后,将创建的代理授权控件包括在LDAP操作中以请求来自目录服务器的操作。通过使用代理授权控制机制,客户机(或在此情况下,代理服务器206)可以使用其自己的标识来绑定到目录引擎,但被许可另一个用户(即,用户202或客户机应用204)的代理授权权限以访问目标目录。当LDAP服务器接收到带有代理授权控件的操作时,针对管理组和/或预定代理授权组来验证绑定的DN,以判定是否应许可绑定的DN代理授权权限。也就是说,绑定的应用客户机(在此实例中为代理服务器206)必须是管理组或代理授权组的成员,以便请求代理授权操作。有关使用代理授权控件的更多信息,请参考Weltman在2003年4月发表的IETF因特网草案(draft-weltman-ldapv3-Droxy-12.txt)“LDAP ProxiedAuthorization Control”。LDAP协议还支持扩展机制,该机制允许为未在LDAP规范中定义的服务定义其他操作。扩展操作允许客户机使用可能特定于特定实施方式的预定句法和语义来做出请求和接收响应。
分布式目录环境包括多个目录服务器212-216,它们在与代理服务器206和客户机应用204相同的分布式数据处理环境中交互操作,例如,通过类似于图1A和图1C中示出的分布式数据处理环境的方式。目录服务器212-216支持访问包含分布式目录的各部分(即,目录信息树的各部分)的数据存储(示为分布式目录数据存储218-222)的功能。目录服务器212-216还包含未在图2A中示出的支持接收和处理代理的授权控件(例如,可能由代理服务器206或其他目录客户机发送)的功能。
通过与以上进一步描述的情况类似的方式,对特定目录操作有意义的用户表项、组表项和目标对象表项可以位于在不同系统上支持的分布式目录的不同部分中。在图2A示出的实例中:目标对象表项224位于分布式目录数据存储218中;用户表项226位于分布式目录数据存储220中;并且组表项228位于分布式目录数据存储222中。
现在参考图2B,方块图示出了根据本发明实施例的已增强为包括根据组成员资格来支持目录访问授权的功能的分布式目录环境。图2B类似于图2A,其中相同的标号表示相同的元件;但是,与图2A相比,图2B示出了支持本发明实施例的其他功能。
图2B示出了根据本发明的包含两种增强分布式目录环境的机制的示例性实施例。第一机制包括支持向分布式目录环境中的目录服务器请求在给出用户特异名称和一组属性时评估组成员资格的功能。该机制允许组成员资格评估,而无需用户的表项位于同一服务器。例如,如果应用正在代表用户执行操作,则可以使用该机制来确定分布式目录中用户所属的组。
第二机制包括以下功能:支持请求目录服务器执行目录操作,同时接受指定用户属于多个组的断言,如与用户的组成员资格(连同目录操作请求一起提供)有关的信息中指示的。例如,一旦确定用户属于多个组,则可以代表用户在所有后续的目录操作请求中发送有关这些组的信息,例如,组的特异名称和组的属性,由此向用户提供同样有效的授权访问,就好像所有用于确定授权访问的必需信息都位于本地。也就是说,用户随后具有相同的访问权限,就像所有必需的组表项存储在同一目录服务器时用户所具有的权限一样。
图2B示出了其中这两个机制由代理目录服务器以及一个或多个目录服务器中的功能单元表示的示例性实施例。第一机制由代理服务器206上的多服务器组成员资格编辑功能单元250以及目录服务器上的相应组件(目录服务器212上的组成员资格评估功能单元(GMEFU)252、目录服务器214上的GMEFU 254,以及目录服务器216上的GMEFU 256)来支持。第一机制使用新颖的扩展目录操作,该操作可以由代理服务器用于确定和评估给定用户的组成员资格。当目录服务器从代理服务器接收到扩展操作时,目录服务器访问其后端数据存储并确定组成员资格;在下文中根据其余附图说明了该机制的更多详细信息。
第二机制由代理服务器206上的组断言控制生成功能单元260以及目录服务器上的相应组件(目录服务器212上的组断言控制处理功能单元(GACPFU)262、目录服务器214上的GACPFU 264,以及目录服务器216上的GACPFU 266)来支持。第二机制采用可以由代理服务器结合任何目录操作使用的新颖控件(在本文中称为组断言控件);在优选实施例中,可以根据LDAP控件来格式化和处理组断言控件。当目录服务器从代理服务器接收到组断言控件以及目录操作时,目录服务器假定已标识的用户(即,正在为其执行目录操作的标识)属于多个已标识组(即,如组断言控件中指定的多个组);可以假定目录服务器根据分布式目录环境中的目录服务器与代理服务器之间的隐含或明确的信任关系来接受组断言控件。在接收组断言控件之后,目录服务器根据断言的多个组来执行用于访问分布式目录的所有授权判定。可以与代理授权控件一起使用组断言控件,以便结合同一目录操作来使用组断言控件和代理授权控件;当对同一目录操作而言采用所述两个控件时,目录服务器代表提供的用户标识根据已标识用户的组成员资格的集合来执行所请求的目录操作。在下文中根据其余附图说明了此机制的其他详细信息。
现在参考图3A,方块图示出了客户机或客户机应用与目录代理服务器之间的典型数据流。客户机302将代表目录操作请求的请求消息304发送到代理服务器306。在执行所请求的目录操作之后,代理服务器306将代表所请求目录操作的响应的响应消息308返回客户机302。然后,客户机302对其接收的信息执行一些其他计算任务。通过这种方式,在客户机与目录代理服务器之间的有关目录操作的请求和响应的交换类似于典型分布式目录环境中存在的数据流。可以假定代理服务器306获得或之前缓存了用于执行用户或客户机(为其执行目录操作)的认证操作(未显示)的用户标识以及任何必需的认证证书。
现在参考图3B,方块图示出了根据本发明实施例的在目录代理服务器与目录服务器之间的获得有关给定用户的组成员资格的信息的数据流。代理服务器312将请求消息316发送到目录服务器314;请求消息316代表使目录服务器314根据由目录服务器314支持的目录信息树的一部分中存储的信息来确定已标识用户所属的组的请求。请求消息316包含用于标识特定用户的用户DN 318并还包含特定用户的用户属性320,以便根据本地驻留在由目录服务器314支持的数据存储中的组表项来执行组成员资格确定。在目录服务器314确定了已标识用户的相应多个组成员资格之后,目录服务器314向代理服务器312返回代表先前指定用户的组评估确定的响应的响应消息322。响应消息322包含多个组DN 324并优选地还包含附带的组DN的多个相应的组属性326;响应消息322还可以回应用户DN 318以及用户属性320。可以假定在必要时加密保护分布式目录环境中的消息。
通过这种方式,代理服务器和目录服务器能够交换请求和响应以使代理服务器能够获得用户的为特定目录服务器(例如,目录服务器314)所知的多个组成员资格。但是,在分布式目录环境中,目录服务器314将是支持在许多物理数据存储间拆分目录信息树的多个目录服务器中的一个服务器,例如,如示出了多个目录服务器的图2B中所示的那样。因此,如下文更详细说明的,代理服务器将组成员资格评估请求发送到分布式目录环境中的每个目录服务器,以便确定给定用户的全部组成员资格,分散在包含分布式目录的数据存储间的组表项可以反映所述组成员资格。
现在参考图3C,方块图示出了根据本发明实施例的在目录代理服务器与目录服务器之间的根据标识的用户或客户机及其关联的组成员资格来执行目录操作的数据流。图3B和图3C中相同的标号表示相同的元件。代理服务器312将请求消息332发送到目录服务器314;请求消息332代表使目录服务器314根据提供的有关已标识用户的信息来执行目录操作的请求。
应指出的是,用于请求如图3C中所示的目录操作的请求消息332与用于请求如图3A中所示的目录操作的请求消息304并不完全相同;已经修改、复制并修改,或生成请求消息304以包括来自请求消息304的复制信息。因此,请求消息332包含任何来自请求消息304的用于执行原始请求的目录操作的必要信息。此外,请求消息332包含代理授权控制334,后者包括用于标识特定用户的用户DN 318并还包括特定用户的用户属性320;目录服务器314接受代理授权控制334允许代理服务器312充当客户机(例如,图3A中的客户机302)的代理。也就是说,代理授权控制334通知接收目录服务器(例如,目录服务器314)代理服务器312被授权请求由请求消息332代表的目录操作,就好像目录服务器314直接从客户机302接收到请求消息332那样。
根据本发明的新颖功能,请求消息332还包含组断言控制336。如上所述,例如,通过使用以上根据图3B描述的请求/响应交换,代理服务器312先前已收集了与已标识用户的组成员资格有关的信息。现在代理服务器312在目录操作期间通过发送组断言控制336以及目录操作请求来断言此累积的组成员资格信息。组断言控制336包含多个组DN 338并优选地还包含附带的组DN的多个相应的组属性340;组断言控制还可以包含任何其他适当的信息,例如对象ID(OID)。在一些情况下,请求消息332中的多个组DN和组属性可以与图3B中的响应消息332内的多个组DN和组属性完全相同。但是,更可能的是,它们并不完全相同,因为组断言控制336中的组成员资格信息包括从一个或多个目录服务器(包括目录服务器314)中检索的零个或多个组DN。
在执行所请求的目录操作之后,目录服务器314将响应消息342发送到代理服务器312;响应消息342包含目录操作的结果,它可能包括失败信息。代理服务器312处理响应消息342并将响应消息返回发出请求的客户机,例如,如图3A所示。
现在参考图4,流程图示出了根据本发明实施例的在代理服务器处编辑一组有关给定用户的组成员资格以随后在分布式目录环境中的给定用户的目录操作期间使用的过程。该过程在目录代理服务器确定执行有关给定用户的验证操作时开始(步骤402);该确定将由未在图4中示出的先前事件触发,并且该过程可以以其他未在图4中示出的步骤结束。例如,代理服务器可以从客户机应用接收登录分布式目录环境的请求。作为另一个实例,代理服务器可以接收初始目录操作的请求,但是在确定代理服务器尚未具有发出请求的用户的认证证书之后,代理服务器确定执行有关该用户的认证操作。图4中的认证操作示出了用户名-密码验证过程,但是可以执行备选类型的认证操作,例如,基于数字证书的认证操作。
代理服务器通过例如与客户机应用交互来获得用户的用户名和密码组合(步骤404)。代理服务器搜索分布式目录以查找并检索适当的用户表项(步骤406),并且根据用户表项中存储的用户密码来验证先前获得的用户密码(步骤408)。如果未验证该密码,则会报告某种类型的错误,并且该过程将结束;否则,假定验证了该密码,则代理服务器缓存该用户表项以供后续使用(步骤410)。
在步骤402-410中示出的认证相关的过程通常在许多目录环境中执行。但是,图4还示出了根据本发明的实施例执行的新颖步骤。
代理服务器在其分布式目录环境中检索分布式目录服务器的列表(步骤412);该列表可以从任何适当的位置(包括代理服务器的配置文件)来检索。然后,代理服务器遍历目录服务器的列表并执行一系列有关列表中每个目录服务器的步骤。
代理服务器检索有关列表中下一个目录服务器的信息(步骤414);该目录服务器被视为有关代理服务器当前操作的当前目录服务器。检索的有关当前目录服务器的信息可以包括各种信息:目录服务器的标识符;用于联系目录服务器的协议;用于联系目录服务器的地址;以及任何其他可在特定分布式目录环境中使用以通知代理服务器如何执行各种操作的信息。然后,代理服务器向当前目录服务器发送扩展操作以获得用户的组成员资格(步骤416);扩展操作将包括用户的用户DN和用户属性。在某些时刻,代理服务器接收来自当前目录服务器的任何组成员资格信息(步骤418);组信息包括多个组DN和多个组属性以及任何其他适当的信息。
然后,代理服务器检查在目录服务器列表中是否存在其他目录服务器(步骤420),如果是,则过程返回步骤414以执行有关其他目录服务器的组成员资格信息的检索。如果没有其他目录服务器,则代理服务器编辑用户的组成员资格的列表(步骤422)。缓存有关组成员资格的信息以用于后续的与用户的用户DN关联的目录操作(步骤424),并且过程结束。
现在参考图5,流程图示出了根据本发明实施例的在代理服务器处执行请求的目录操作同时使用一组有关分布式目录环境中的给定用户的组成员资格的过程。过程在目录代理服务器接收到来自客户机应用的目录操作请求时开始(步骤502)。如果分布式目录操作支持或要求安全操作,则可以假定代理服务器已认证了发出请求的客户机或其用户;如果否,则可以在步骤502之后执行认证操作,例如,如图4中所示。然后,代理服务器检索代表其请求目录操作的用户的用户DN和用户属性(步骤504),并且代理服务器生成要包括在代理服务器随后发送到目录服务器的目录请求中的代理验证控制(步骤506)。
通常在许多目录环境中执行步骤502-506中示出的代理相关的过程。但是,图5还示出了根据本发明的实施例执行的新颖步骤。
代理服务器检索先前缓存的用户的组成员资格信息(步骤508),然后生成包含用户的组成员资格信息的组断言控制(步骤510)。代理服务器创建包含所生成的代理授权控制和生成的组断言控制的目录请求(步骤512),并且代理服务器根据需要将该目录请求发送到一个或多个目录服务器(步骤514)。在某个后续的时刻,代理服务器接收来自一个或多个目录服务器的目录响应(步骤516),例如,对应于其有关步骤514的操作。然后,代理服务器生成目录响应并将其发送到发出请求的客户机应用(步骤518),并且过程结束。
现在参考图6,流程图示出了根据本发明实施例的在目录服务器处执行请求的目录操作同时使用一组由目录代理服务器提供的有关分布式目录环境中的给定用户的组成员资格的过程。该过程在目录服务器从目录代理服务器接收到目录操作请求时开始(步骤602)。目录服务器从所接收的目录操作请求中识别和检索代理授权控制和组断言控制(步骤604)。然后,目录服务器通过某种方式来验证代理授权控制(步骤606)。如果验证失败,则将报告和/或返回某种类型的错误;假定验证了代理授权控制,则目录服务器执行其与在代理授权控制中标识的用户有关的后续操作。
然后,目录服务器从组断言控制中检索组成员资格信息(步骤608)。目录服务器代表标识的用户执行有关组成员资格信息的所请求的目录操作(步骤610)。将目录操作的结果的信息存储在所生成的目录响应中(步骤612),并且将目录响应发送到发出请求的代理服务器(步骤614),由此结束该过程。
鉴于上文提供的详细说明,本发明的优点应是显而易见的。当目录服务器接收到目录操作请求中的组断言控制时,组断言控制包含与先前已经评估的给定用户的组成员资格有关的信息。然后,目录服务器可以使用在其目录信息树的一部分中存储的信息和使用所接收的组成员资格信息(例如,多个组DN和关联的组属性)来执行所请求的目录操作。
如果所请求的目录操作需要访问其中将访问限于特定组的用户的目录信息树的一部分,则目录服务器能够判定该用户是否属于该特定组。因此,本发明提供了一种机制,所述机制支持评估给定用户的组成员资格以便确定分布式目录环境中的访问,使得可以支持分布式目录而无需额外要求复制数据或额外要求限制分布式目录的一部分的存储位置。
重要的是指出,虽然在完整功能的数据处理系统的上下文中说明了本发明,但是本领域的技术人员将理解,可以以计算机可读介质中的指令的形式和各种其他形式来发布与本发明关联的某些过程,与实际用于执行发布的信号承载介质的特定类型无关。计算机可读介质的实例包括诸如EPROM、ROM、磁带、纸、软盘、硬盘驱动器、RAM以及CD-ROM之类的介质以及诸如数字和模拟通信链路之类的传输型介质。
出于示例的目的给出了对本发明的描述,但是所述描述并非旨在是穷举的或是将本发明限于所公开的实施例。对于本领域的技术人员来说,许多修改和变化都将是显而易见的。实施例的选择是为了解释本发明的原理及其实际应用,并且当适合于其他构想的使用时,使得本领域的其他技术人员能够理解本发明以便实现具有各种修改的各种实施例。
Claims (27)
1.一种用于在分布式目录环境中执行目录操作的方法,其中所述分布式目录环境包括一个或多个分布式目录服务器以及充当客户机与所述分布式目录环境之间的中间代理的代理服务器,所述方法包括:
将第一请求从代理服务器发送到目录服务器,其中所述第一请求指示了用户,所述目录服务器根据由所述目录服务器支持的分布式目录一部分中的组表项来为所述用户确定组成员资格;
在所述代理服务器处接收来自所述目录服务器的第一响应,其中第一响应包含代表所述用户具有组成员资格的组的组表项的一组特异名称和属性;以及
在所述代理服务器处存储代表所述用户具有组成员资格的组的组表项的所述一组特异名称和属性。
2.如权利要求1中所述的方法,还包括:
通过采用目录访问协议中的扩展操作以从目录服务器请求和接收信息来在所述代理服务器处获得代表所述用户具有组成员资格的组的组表项的一组特异名称和属性。
3.如权利要求1或2中所述的方法,还包括:
在所述代理服务器处获得来自所述分布式目录环境中的每个目录服务器的代表所述用户具有组成员资格的组的组表项的一组特异名称和属性。
4.如权利要求1、2或3中所述的方法,还包括:
根据来自所述分布式目录环境中的多个目录服务器的响应,生成代表所述用户具有组成员资格的组的组表项的一组编辑的特异名称和属性。
5.如权利要求4中所述的方法,还包括:
将第二请求从所述代理服务器发送到目录服务器,其中所述第二请求指示了要代表所述用户执行的目录操作,并且其中所述第二请求包含代表所述用户具有组成员资格的组的组表项的所述一组编辑的特异名称和属性。
6.如权利要求5中所述的方法,还包括:
生成控制,所述控制包含代表所述用户具有组成员资格的组的组表项的所述一组编辑的特异名称和属性,其中根据目录访问协议来格式化所述控制;以及
将所述生成的控制放置在所述第二请求中。
7.一种用于在分布式目录环境中执行目录操作的方法,其中所述分布式目录环境包括一个或多个分布式目录服务器以及充当客户机与所述分布式目录环境之间的中间代理的代理服务器,所述方法包括:
在所述分布式目录环境中的目录服务器处接收来自代理服务器的第一请求,其中所述第一请求包含用户的特异名称和属性;
根据所述用户的所述特异名称和属性以及根据由所述目录服务器支持的目录信息树中的组表项来评估所述用户的组成员资格;以及
将第一响应从所述目录服务器发送到所述代理服务器,其中所述第一响应包含代表所述用户具有组成员资格的组的组表项的第一组特异名称和属性。
8.如权利要求7中所述的方法,还包括:
在所述分布式目录环境中的目录服务器处接收来自代理服务器的第二请求,其中所述第二请求指示了要由所述目录服务器执行的目录操作,其中所述第二请求包含代表所述用户具有组成员资格的组的组表项的第二组特异名称和属性,并且其中所述第二请求包含所述用户的特异名称和属性。
9.如权利要求8中所述的方法,还包括:
根据由所述目录服务器支持的所述目录信息树、所述用户的所述特异名称和属性,以及代表所述用户具有组成员资格的组的组表项的所述第二组特异名称和属性来执行所述目录操作;以及
在执行所述目录操作之后将第二响应从所述目录服务器发送到所述代理服务器。
10.一种在计算机可读介质上的用于在分布式目录环境中执行目录操作的计算机程序产品,其中所述分布式目录环境包括一个或多个分布式目录服务器以及充当客户机与所述分布式目录环境之间的中间代理的代理服务器,所述计算机程序产品包括:
用于将第一请求从代理服务器发送到目录服务器的装置,其中所述第一请求指示了用户,所述目录服务器根据由所述目录服务器支持的分布式目录一部分中的组表项来为所述用户确定组成员资格;
用于在所述代理服务器处接收来自所述目录服务器的第一响应的装置,其中第一响应包含代表所述用户具有组成员资格的组的组表项的一组特异名称和属性;以及
用于在所述代理服务器处存储代表所述用户具有组成员资格的组的组表项的所述一组特异名称和属性的装置。
11.如权利要求10中所述的计算机程序产品,还包括:
用于通过采用目录访问协议中的扩展操作以从目录服务器请求和接收信息来在所述代理服务器处获得代表所述用户具有组成员资格的组的组表项的一组特异名称和属性的装置。
12.如权利要求10或11中所述的计算机程序产品,还包括:
用于在所述代理服务器处获得来自所述分布式目录环境中的每个目录服务器的代表所述用户具有组成员资格的组的组表项的一组特异名称和属性的装置。
13.如权利要求10、11或12中所述的计算机程序产品,还包括:
用于根据来自所述分布式目录环境中的多个目录服务器的响应,生成代表所述用户具有组成员资格的组的组表项的一组编辑的特异名称和属性的装置。
14.如权利要求13中所述的计算机程序产品,还包括:
用于将第二请求从所述代理服务器发送到目录服务器的装置,其中所述第二请求指示了要代表所述用户执行的目录操作,并且其中所述第二请求包含代表所述用户具有组成员资格的组的组表项的所述一组编辑的特异名称和属性。
15.如权利要求14中所述的计算机程序产品,还包括:
用于生成控制的装置,所述控制包含代表所述用户具有组成员资格的组的组表项的所述一组编辑的特异名称和属性,其中根据目录访问协议来格式化所述控制;以及
用于将所述生成的控制放置在所述第二请求中的装置。
16.一种在计算机可读介质上的用于在分布式目录环境中执行目录操作的计算机程序产品,其中所述分布式目录环境包括一个或多个分布式目录服务器以及充当客户机与所述分布式目录环境之间的中间代理的代理服务器,所述计算机程序产品包括:
用于在所述分布式目录环境中的目录服务器处接收来自代理服务器的第一请求的装置,其中所述第一请求包含用户的特异名称和属性;
用于根据所述用户的所述特异名称和属性以及根据由所述目录服务器支持的目录信息树中的组表项来评估所述用户的组成员资格的装置;以及
用于将第一响应从所述目录服务器发送到所述代理服务器的装置,其中所述第一响应包含代表所述用户具有组成员资格的组的组表项的第一组特异名称和属性。
17.如权利要求16中所述的计算机程序产品,还包括:
用于在所述分布式目录环境中的目录服务器处接收来自代理服务器的第二请求的装置,其中所述第二请求指示了要由所述目录服务器执行的目录操作,其中所述第二请求包含代表所述用户具有组成员资格的组的组表项的第二组特异名称和属性,并且其中所述第二请求包含所述用户的特异名称和属性。
18.如权利要求17中所述的计算机程序产品,还包括:
用于根据由所述目录服务器支持的所述目录信息树、所述用户的所述特异名称和属性,以及代表所述用户具有组成员资格的组的组表项的所述第二组特异名称和属性来执行所述目录操作的装置;以及
用于在执行所述目录操作之后将第二响应从所述目录服务器发送到所述代理服务器的装置。
19.一种用于在分布式目录环境中执行目录操作的装置,其中所述分布式目录环境包括一个或多个分布式目录服务器以及充当客户机与所述分布式目录环境之间的中间代理的代理服务器,所述装置包括:
用于将第一请求从代理服务器发送到目录服务器的装置,其中所述第一请求指示了用户,所述目录服务器根据由所述目录服务器支持的分布式目录一部分中的组表项来为所述用户确定组成员资格;
用于在所述代理服务器处接收来自所述目录服务器的第一响应的装置,其中第一响应包含代表所述用户具有组成员资格的组的组表项的一组特异名称和属性;以及
用于在所述代理服务器处存储代表所述用户具有组成员资格的组的组表项的所述一组特异名称和属性的装置。
20.如权利要求19中所述的装置,还包括:
用于通过采用目录访问协议中的扩展操作以从目录服务器请求和接收信息来在所述代理服务器处获得代表所述用户具有组成员资格的组的组表项的一组特异名称和属性的装置。
21.如权利要求19中所述的装置,还包括:
用于在所述代理服务器处获得来自所述分布式目录环境中的每个目录服务器的代表所述用户具有组成员资格的组的组表项的一组特异名称和属性的装置。
22.如权利要求19中所述的装置,还包括:
用于根据来自所述分布式目录环境中的多个目录服务器的响应,生成代表所述用户具有组成员资格的组的组表项的一组编辑的特异名称和属性的装置。
23.如权利要求22中所述的装置,还包括:
用于将第二请求从所述代理服务器发送到目录服务器的装置,其中所述第二请求指示了要代表所述用户执行的目录操作,并且其中所述第二请求包含代表所述用户具有组成员资格的组的组表项的所述一组编辑的特异名称和属性。
24.如权利要求23中所述的装置,还包括:
用于生成控制的装置,所述控制包含代表所述用户具有组成员资格的组的组表项的所述一组编辑的特异名称和属性,其中根据目录访问协议来格式化所述控制;以及
用于将所述生成的控制放置在所述第二请求中的装置。
25.一种用于在分布式目录环境中执行目录操作的装置,其中所述分布式目录环境包括一个或多个分布式目录服务器以及充当客户机与所述分布式目录环境之间的中间代理的代理服务器,所述装置包括:
用于在所述分布式目录环境中的目录服务器处接收来自代理服务器的第一请求的装置,其中所述第一请求包含用户的特异名称和属性;
用于根据所述用户的所述特异名称和属性以及根据由所述目录服务器支持的目录信息树中的组表项来评估所述用户的组成员资格的装置;以及
用于将第一响应从所述目录服务器发送到所述代理服务器的装置,其中所述第一响应包含代表所述用户具有组成员资格的组的组表项的第一组特异名称和属性。
26.如权利要求25中所述的装置,还包括:
用于在所述分布式目录环境中的目录服务器处接收来自代理服务器的第二请求的装置,其中所述第二请求指示了要由所述目录服务器执行的目录操作,其中所述第二请求包含代表所述用户具有组成员资格的组的组表项的第二组特异名称和属性,并且其中所述第二请求包含所述用户的特异名称和属性。
27.如权利要求26中所述的装置,还包括:
用于根据由所述目录服务器支持的所述目录信息树、所述用户的所述特异名称和属性,以及代表所述用户具有组成员资格的组的组表项的所述第二组特异名称和属性来执行所述目录操作的装置;以及
用于在执行所述目录操作之后将第二响应从所述目录服务器发送到所述代理服务器的装置。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US11/105,613 US20060235850A1 (en) | 2005-04-14 | 2005-04-14 | Method and system for access authorization involving group membership across a distributed directory |
| US11/105,613 | 2005-04-14 | ||
| PCT/EP2006/061457 WO2006108815A1 (en) | 2005-04-14 | 2006-04-07 | Method and system for access authorization involving group membership across a distributed directory |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101160906A true CN101160906A (zh) | 2008-04-09 |
| CN101160906B CN101160906B (zh) | 2011-12-28 |
Family
ID=36500604
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2006800120401A Expired - Fee Related CN101160906B (zh) | 2005-04-14 | 2006-04-07 | 涉及跨分布式目录的组成员资格的访问授权的方法和系统 |
Country Status (6)
| Country | Link |
|---|---|
| US (1) | US20060235850A1 (zh) |
| EP (1) | EP1875706A1 (zh) |
| JP (1) | JP4979683B2 (zh) |
| CN (1) | CN101160906B (zh) |
| CA (1) | CA2604335C (zh) |
| WO (1) | WO2006108815A1 (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2010072158A1 (zh) * | 2008-12-24 | 2010-07-01 | 华为技术有限公司 | 一种业务链中的用户身份验证方法、设备及系统 |
Families Citing this family (19)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20070055775A1 (en) * | 2005-09-06 | 2007-03-08 | Chia Mei Kwang K | Method and system for controlling information access from a website via Web or WAP access |
| US8412750B2 (en) * | 2005-09-26 | 2013-04-02 | Research In Motion Limited | LDAP to SQL database proxy system and method |
| US20100077316A1 (en) * | 2006-11-22 | 2010-03-25 | Omansky Adam H | Method and system for inspectng and managing information |
| US7562075B2 (en) | 2006-12-07 | 2009-07-14 | International Business Machines Corporation | Change approvals for computing systems |
| AU2008235407B2 (en) * | 2007-04-10 | 2012-10-18 | Apertio Limited | Variant entries in network data repositories |
| US8230455B2 (en) * | 2007-07-11 | 2012-07-24 | International Business Machines Corporation | Method and system for enforcing password policy for an external bind operation in a distributed directory |
| US8935805B2 (en) * | 2007-07-11 | 2015-01-13 | International Business Machines Corporation | Method and system for enforcing password policy in a distributed directory |
| US8042153B2 (en) * | 2008-01-09 | 2011-10-18 | International Business Machines Corporation | Reducing overhead associated with distributed password policy enforcement operations |
| US8347347B2 (en) * | 2008-01-09 | 2013-01-01 | International Business Machines Corporation | Password policy enforcement in a distributed directory when policy information is distributed |
| US8473505B2 (en) * | 2009-06-30 | 2013-06-25 | Sap Ag | System and method for providing delegation assistance |
| US8769035B2 (en) * | 2009-10-30 | 2014-07-01 | Cleversafe, Inc. | Distributed storage network for storing a data object based on storage requirements |
| US8793355B2 (en) * | 2010-04-27 | 2014-07-29 | Symantec Corporation | Techniques for directory data resolution |
| US8806040B2 (en) * | 2010-12-06 | 2014-08-12 | Red Hat, Inc. | Accessing external network via proxy server |
| EP3035629A1 (en) * | 2014-12-19 | 2016-06-22 | Gemalto Sa | Method for authenticating attributes in a non-traceable manner and without connection to a server |
| US10606902B1 (en) * | 2016-09-29 | 2020-03-31 | EMC IP Holding Company LLC | Method and system for cached early-binding document search |
| US10291602B1 (en) * | 2017-04-12 | 2019-05-14 | BlueTalon, Inc. | Yarn rest API protection |
| US11070540B1 (en) * | 2018-12-28 | 2021-07-20 | Juniper Networks, Inc. | Dynamic provisioning of user groups within computer networks based on user attributes |
| US20210136059A1 (en) * | 2019-11-05 | 2021-05-06 | Salesforce.Com, Inc. | Monitoring resource utilization of an online system based on browser attributes collected for a session |
| US11411954B1 (en) * | 2021-12-27 | 2022-08-09 | Coretech LT, UAB | Access control policy for proxy services |
Family Cites Families (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6366913B1 (en) * | 1998-10-21 | 2002-04-02 | Netscape Communications Corporation | Centralized directory services supporting dynamic group membership |
| US6684331B1 (en) * | 1999-12-22 | 2004-01-27 | Cisco Technology, Inc. | Method and apparatus for distributing and updating group controllers over a wide area network using a tree structure |
| US6708170B1 (en) * | 1999-12-14 | 2004-03-16 | International Business Machines Corporation | Method and system for usage of non-local data within a lightweight directory access protocol directory environment |
| FR2816781B1 (fr) * | 2000-11-10 | 2003-01-31 | Evidian | Procede et dispositif de securisation d'un portail dans un systeme informatique |
| US6633872B2 (en) * | 2000-12-18 | 2003-10-14 | International Business Machines Corporation | Extendible access control for lightweight directory access protocol |
| FR2818853B1 (fr) * | 2000-12-26 | 2004-04-23 | Matra Nortel Communications | Serveur d'annuaire reparti |
| US7165182B2 (en) * | 2002-07-05 | 2007-01-16 | Sun Microsystems, Inc. | Multiple password policies in a directory server system |
| US7571180B2 (en) * | 2003-06-27 | 2009-08-04 | Attachmate Corporation | Utilizing LDAP directories for application access control and personalization |
-
2005
- 2005-04-14 US US11/105,613 patent/US20060235850A1/en not_active Abandoned
-
2006
- 2006-04-07 EP EP06725660A patent/EP1875706A1/en not_active Withdrawn
- 2006-04-07 JP JP2008505876A patent/JP4979683B2/ja not_active Expired - Fee Related
- 2006-04-07 CN CN2006800120401A patent/CN101160906B/zh not_active Expired - Fee Related
- 2006-04-07 CA CA2604335A patent/CA2604335C/en active Active
- 2006-04-07 WO PCT/EP2006/061457 patent/WO2006108815A1/en not_active Application Discontinuation
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2010072158A1 (zh) * | 2008-12-24 | 2010-07-01 | 华为技术有限公司 | 一种业务链中的用户身份验证方法、设备及系统 |
| CN101764791B (zh) * | 2008-12-24 | 2013-08-28 | 华为技术有限公司 | 一种业务链中的用户身份验证方法、设备及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| US20060235850A1 (en) | 2006-10-19 |
| CA2604335C (en) | 2016-03-29 |
| JP2009532748A (ja) | 2009-09-10 |
| WO2006108815A1 (en) | 2006-10-19 |
| CA2604335A1 (en) | 2006-10-19 |
| CN101160906B (zh) | 2011-12-28 |
| EP1875706A1 (en) | 2008-01-09 |
| JP4979683B2 (ja) | 2012-07-18 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101160906B (zh) | 涉及跨分布式目录的组成员资格的访问授权的方法和系统 | |
| US8095658B2 (en) | Method and system for externalizing session management using a reverse proxy server | |
| EP1964360B1 (en) | Method and system for extending authentication methods | |
| US7296077B2 (en) | Method and system for web-based switch-user operation | |
| CN1328636C (zh) | 用于对等授权的方法和系统 | |
| JP3569122B2 (ja) | セッション管理システム、サービス提供サーバ、セッション管理サーバ、セッション管理方法及び記録媒体 | |
| US6496855B1 (en) | Web site registration proxy system | |
| US5944793A (en) | Computerized resource name resolution mechanism | |
| US5848412A (en) | User controlled browser identification disclosing mechanism | |
| US8464311B2 (en) | Method and system for implementing privacy notice, consent, and preference with a privacy proxy | |
| CN100462957C (zh) | 基于隐私策略的消息路由方法和系统 | |
| US20060136985A1 (en) | Method and system for implementing privacy policy enforcement with a privacy proxy | |
| US20040073660A1 (en) | Cross-site timed out authentication management | |
| US20030061512A1 (en) | Method and system for a single-sign-on mechanism within application service provider (ASP) aggregation | |
| US20060253420A1 (en) | Method and system for creating a protected object namespace from a WSDL resource description | |
| US8572675B2 (en) | System and method for facilitating the provision of web services across different internet security domains | |
| US20040083243A1 (en) | Privacy preferences roaming and enforcement | |
| CN101116311A (zh) | 实现用于web服务的授权策略的方法和系统 | |
| WO2000052900A1 (en) | An internet interface system | |
| US7243138B1 (en) | Techniques for dynamic rule-based response to a request for a resource on a network | |
| JP5039053B2 (ja) | マクロ・サポートによりhttpセキュリティ・メッセージ処理を外部化するための方法およびシステム | |
| JP2002183089A (ja) | ログイン認証装置、およびログイン認証方法 | |
| JP3437680B2 (ja) | 対話管理型情報提供方法及び装置 | |
| JP2008077614A (ja) | セッション管理プログラム及びセッション管理方法 | |
| JPH0950422A (ja) | コンピュータネットワーク上の対話継承型アクセス制御方法及びそのサーバコンピュータ |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20111228 |