CN101945108A - 一种在ldap服务器中进行权限控制的方法及系统 - Google Patents
一种在ldap服务器中进行权限控制的方法及系统 Download PDFInfo
- Publication number
- CN101945108A CN101945108A CN2010102825053A CN201010282505A CN101945108A CN 101945108 A CN101945108 A CN 101945108A CN 2010102825053 A CN2010102825053 A CN 2010102825053A CN 201010282505 A CN201010282505 A CN 201010282505A CN 101945108 A CN101945108 A CN 101945108A
- Authority
- CN
- China
- Prior art keywords
- information
- user
- operated
- ldap
- server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Abstract
本发明公开了一种在LDAP服务器中进行权限控制的方法及系统,所述系统包括:简化目录访问协议(LDAP)服务器及LDAP客户端;所述方法包括:在LDAP服务器侧设置以下信息的对应关系,该信息包括:管理者标识信息、该管理者可操作的用户的标识信息及该用户可被操作的属性的信息;所述LDAP服务器在收到一用户通过LDAP客户端发来的携带该用户标识信息及被操作用户的标识信息的访问请求后,将根据上述对应关系得到的对应的被操作用户的可被操作的属性的信息发送给所述LDAP客户端进行显示。本发明在不影响原有LDAP服务器权限控制功能的情况下,避免了业务逻辑上的无效操作,增强了数据安全性。
Description
技术领域
本发明涉及通讯领域,尤其涉及一种在LDAP(Lightweight DirectoryAccess Protocol,简化目录访问协议)服务器中实进行权限控制的方法及系统。
背景技术
LDAP服务器以树状结构存储签约用户数据。对于各个签约用户来说,LDAP服务器中保存的数据是相同的,均为统一的树状结构。在正常情况下,可以使用LDAP权限控制功能对签约用户数据的访问进行限制(如在文档《Internet-Draft:Access Control Model for LDAPv3》中记载的方法),但该LDAP权限控制功能的一个限制是:只能允许或者不允许用户访问签约用户数据,而无法按照签约用户的标识来区分哪些记录可以被该用户访问。
一个典型的应用场景,当LDAP服务器保存有多个地区的签约用户信息时,理想情况下应保证每个地区的客户端只能访问本地区的签约用户信息,不是本地区的客户端则无法访问,也就是说某个地区的操作人员只能操作本地区的签约用户数据。但是现有LDAP服务器只能根据用户标识区分该用户是否可访问签约用户数据,而无法做到控制该用户只能操作其所在地区的签约数据。
发明内容
本发明要解决的技术问题是提供一种在LDAP服务器中进行权限控制的方法及系统,以克服现有LDAP服务器无法做到控制哪些签约数据可以被操作的缺陷。
为解决上述问题,本发明提供了一种在简化目录访问协议服务器中进行权限控制的方法,包括:
在简化目录访问协议(LDAP)服务器侧设置以下信息的对应关系,该信息包括:管理者标识信息、该管理者可操作的用户的标识信息及该用户可被操作的属性的信息;所述LDAP服务器在收到一用户通过LDAP客户端发来的携带该用户标识信息及被操作用户的标识信息的访问请求后,将根据上述对应关系得到的对应的被操作用户的可被操作的属性的信息发送给所述LDAP客户端进行显示。
进一步地,上述方法还可具有以下特征:
所述对应关系采用正则表达式的形式进行设置。
进一步地,上述方法还可具有以下特征:
具有对应关系的所述信息中还包括:与所述用户可被操作的属性的信息对应的操作动作的信息;
则所述LDAP服务器将根据所述对应关系得到的对应的被操作用户的可被操作的属性的信息及操作动作的信息一同发送给所述LDAP客户端进行显示。
进一步地,上述方法还可具有以下特征:
所述LDAP客户端在获知管理者从其显示的信息中选择一个操作动作后,将该操作动作的信息及对应的被操作用户的可被操作的属性的信息发送给所述LDAP服务器,由所述LDAP服务器对该操作用户的相应属性执行相应的操作动作。
进一步地,上述方法还可具有以下特征:
所述操作动作包括:添加、删除和/或修改。
本发明还提供了一种在简化目录服务器中进行权限控制的系统,包括:简化目录访问协议(LDAP)服务器及LDAP客户端;
所述LDAP客户端用于提供界面供工户输入该用户标识信息及被操作用户的标识信息,还用于在获知用户输入完毕后,将所述输入的用户标识信息及被操作用户的标识信息通过访问请求发送给所述LDAP服务器;还用于显示所述LDAP服务器发来的被操作用户的可被操作的属性的信息;
所述LDAP服务器中设置有以下信息的对应关系,该信息包括:管理者标识信息、该管理者可操作的用户的标识信息及该用户可被操作的属性的信息;所述LDAP服务器用于在收到所述LDAP客户端发来的所述访问请求后,将根据所述对应关系得到的对应的被操作用户的可被操作的属性的信息发送给所述LDAP客户端。
进一步地,上述系统还可具有以下特征:
所述对应关系采用正则表达式的形式进行设置。
进一步地,上述系统还可具有以下特征:
所述具有对应关系的信息中还包括:与所述用户可被操作的属性的信息对应的操作动作的信息;
所述LDAP服务器还用于将根据所述对应关系得到的对应的被操作用户的可被操作的属性的信息及操作动作的信息一同发送给所述LDAP客户端;
所述LDAP客户端除用于显示所述LDAP服务器发来的被操作用户的可被操作的属性的信息外,还用于显示对应的操作动作信息。
进一步地,上述系统还可具有以下特征:
所述LDAP客户端还用于在获知用户从其显示的信息中选择一个操作动作后,将该操作动作的信息及对应的被操作用户的可被操作的属性的信息发送给所述LDAP服务器;
所述LDAP服务器还用于根据LDAP服务器发来的所述操作动作的信息及对应的被操作用户的可被操作的属性的信息,对该操作用户的相应属性执行相应的操作动作。
进一步地,上述系统还可具有以下特征:
所述操作动作包括:添加、删除和/或修改。
本发明在不影响原有LDAP服务器权限控制功能的情况下,解决了签约用户的操作视图问题,可以实现为不同的客户端呈现不同的视图,将客户端可以操作的签约用户限定在视图范围内,防止超出视图范围外意外的数据修改,因此避免了业务逻辑上的无效操作,增强了数据安全性。使用了LDAP权限控制的扩展,对原有LDAP服务器的逻辑改动较小,且具有在LDAP服务器间良好的移植性。而且,可以由LDAP客户端动态查询、修改用户签约数据,减小了维护成本。
附图说明
图1是本发明实施例中实现LDAP视图控制功能的流程图;
图2是本发明实施例中采用本发明所述方法进行权限控制规则的改动说明图。
具体实施方式
下面结合附图对技术方案的实施作进一步的详细描述。
本发明所述方法包括:在LDAP服务器侧设置管理者标识信息、该管理者可操作的用户的标识信息(如用户的IMSI(International Mobile SubscriberIdentity,国际移动用户识别码)或IMPU(IP Multimedia Public Identity,多媒体公共标识)等)及该用户可被操作的属性的信息;该LDAP服务器在收到一用户通过LDAP客户端发来的携带该用户标识信息及被操作用户的标识信息的访问请求后,将根据上述对应关系得到的对应的被操作用户的可被操作的属性的信息发送给LDAP客户端,由LDAP客户端显示给用户。其中,上述对应关系可采用正则表达式的形式进行设置,以实现更为精细的视图控制功能。而该对应关系的存储方式可以是文件、数据库或者其他永久存储介质。
此外,上述对应关系中还可包括:与该用户可被操作的属性的信息对应的操作动作的信息,其中,操作动作可以但不限于包括:添加、删除和/或修改;则LDAP服务器将根据对应关系得到的对应的被操作用户的可被操作的属性的信息及操作动作的信息一同发送给LDAP客户端进行显示。
在后续操作中,当LDAP客户端在获知管理者从其显示的信息中选择一个操作动作后,将该操作动作的信息及对应的被操作用户的可被操作的属性的信息发送给LDAP服务器,由LDAP服务器对该操作用户的相应属性执行相应的操作动作。
此外,如果LDAP服务器在收到访问请求后,无法根据上述对应关系得到对应的被操作用户的可被操作的属性的信息,则LDAP服务器拒绝处理此请求,并向LDAP客户端返回明确的错误信息。
下面用两个实例对采用正则表达式的方式设置上述对应关系进行进一步说明。
例如,为了赋予用户甲访问WCDMA(Wideband Code Division MultipleAccess,宽带码分多址)的用户数据的权限,那么可以定义ACL((AccessControl List,访问控制列表)为:
entryACI:grant:wo#[all]#authnLevel:strong:authz-ID-dn:cn=ellen,dc=tivoli,dc=com″用户甲的登录DN″
这样,为强认证方式登录的用户甲赋予了此条目下所有属性的修改-增加权限和修改-删除权限。
如若想赋予用户甲访问WCDMA部分用户数据的权限,那么可以定义ACL为:
entryACIRegex:dn:cn=wbaseinfo,serv=wcdma,imsi=46000*,cn=u_wImsiDom,dc=zte,dc=com#grant:wo#[all]#authnLevel:strong:authz-ID-dn:cn=ellen,dc=tivoli,dc=com
这样,为强认证方式登录的用户甲赋予此条目所有属性的修改-增加权限和修改-删除权限,但仅限于IMSI为46000开始的用户号码。
如图1所示,采用本发明所述方法对LDAP服务器中用户签约数据进行操作的方法,包括以下步骤:
步骤101:LDAP客户端启动,开始登录LDAP服务器;
步骤102:LDAP客户端发送绑定请求;
步骤103:LDAP服务器处理绑定请求,返回绑定响应;
步骤104:LDAP客户端已接入系统,开始业务操作;
步骤105:LDAP客户端发送访问请求,其中携带用户标识信息及被操作用户的标识信息;
步骤106:LDAP服务器进行权限判断,将根据上述对应关系得到的对应的被操作用户的可被操作的属性的信息通过访问响应发送给LDAP客户端;
步骤107:LDAP客户端查看完成后,开始注销;
步骤108:LDAP客户端发送去绑定请求;
步骤109:LDAP服务器处理去绑定请求,直接断开客户端连接。
图2是本发明中有关权限控制规则的改动说明图。
图左边显示的是完整的DIT树,管理员可以针对其中的某个子树进行权限控制,例如可限制应用程序只能访问路径为“IMSI=*”子树上的数据。如果将权限控制范围改为“IMSI=46000*”,即访问为一个正则表达式时,就可以限制应用程序只能访问以46000开头的部分用户数据。从而实现视图的功能。
此外,本发明所述在简化目录服务器中进行权限控制的系统,包括:LDAP服务器及LDAP客户端;
LDAP客户端用于提供界面供工户输入该用户标识信息及被操作用户的标识信息,还用于在获知用户输入完毕后,将输入的用户标识信息及被操作用户的标识信息通过访问请求发送给LDAP服务器;还用于显示LDAP服务器发来的被操作用户的可被操作的属性的信息;
LDAP服务器中设置有以下信息的对应关系,该信息包括:管理者标识信息、该管理者可操作的用户的标识信息及该用户可被操作的属性的信息;LDAP服务器用于在收到LDAP客户端发来的所述访问请求后,将根据上述对应关系得到的对应的被操作用户的可被操作的属性的信息发送给LDAP客户端。其中,上述对应关系可以但不限于采用正则表达式的形式进行设置。
该具有对应关系的信息中还可包括:与用户可被操作的属性的信息对应的操作动作的信息;则LDAP服务器还可用于将根据上述对应关系得到的对应的被操作用户的可被操作的属性的信息及操作动作的信息一同发送给、LDAP客户端;而LDAP客户端除用于显示LDAP服务器发来的被操作用户的可被操作的属性的信息外,还可用于显示对应的操作动作信息。
优选地,LDAP客户端还可用于在获知用户从其显示的信息中选择一个操作动作后,将该操作动作的信息及对应的被操作用户的可被操作的属性的信息发送给LDAP服务器;相应地,LDAP服务器还可用于根据LDAP服务器发来的上述操作动作的信息及对应的被操作用户的可被操作的属性的信息,对该操作用户的相应属性执行相应的操作动作。其中,操作动作包括:添加、删除和/或修改。
综上所述,本发明在对已有系统改动及影响最小的情况下实现了LDAP操作的视图功能,使得操作权限控制的依据不仅局限于登录的操作员,也取决于所操作的签约用户,增加了数据安全性。
本领域普通技术人员可以理解上述方法中的全部或部分步骤可通过程序来指令相关硬件完成,所述程序可以存储于计算机可读存储介质中,如只读存储器、磁盘或光盘等。可选地,上述实施例的全部或部分步骤也可以使用一个或多个集成电路来实现。相应地,上述实施例中的各模块/单元可以采用硬件的形式实现,也可以采用软件功能模块的形式实现。本发明不限制于任何特定形式的硬件和软件的结合。
Claims (10)
1.一种在简化目录访问协议服务器中进行权限控制的方法,包括:
在简化目录访问协议(LDAP)服务器侧设置以下信息的对应关系,该信息包括:管理者标识信息、该管理者可操作的用户的标识信息及该用户可被操作的属性的信息;所述LDAP服务器在收到一用户通过LDAP客户端发来的携带该用户标识信息及被操作用户的标识信息的访问请求后,将根据上述对应关系得到的对应的被操作用户的可被操作的属性的信息发送给所述LDAP客户端进行显示。
2.如权利要求1所述的方法,其特征在于:
所述对应关系采用正则表达式的形式进行设置。
3.如权利要求1或2所述的方法,其特征在于:
具有对应关系的所述信息中还包括:与所述用户可被操作的属性的信息对应的操作动作的信息;
则所述LDAP服务器将根据所述对应关系得到的对应的被操作用户的可被操作的属性的信息及操作动作的信息一同发送给所述LDAP客户端进行显示。
4.如权利要求3所述的方法,其特征在于,所述方法还包括:
所述LDAP客户端在获知管理者从其显示的信息中选择一个操作动作后,将该操作动作的信息及对应的被操作用户的可被操作的属性的信息发送给所述LDAP服务器,由所述LDAP服务器对该操作用户的相应属性执行相应的操作动作。
5.如权利要求3所述的方法,其特征在于:
所述操作动作包括:添加、删除和/或修改。
6.一种在简化目录服务器中进行权限控制的系统,包括:简化目录访问协议(LDAP)服务器及LDAP客户端;
所述LDAP客户端用于提供界面供工户输入该用户标识信息及被操作用户的标识信息,还用于在获知用户输入完毕后,将所述输入的用户标识信息及被操作用户的标识信息通过访问请求发送给所述LDAP服务器;还用于显示所述LDAP服务器发来的被操作用户的可被操作的属性的信息;
所述LDAP服务器中设置有以下信息的对应关系,该信息包括:管理者标识信息、该管理者可操作的用户的标识信息及该用户可被操作的属性的信息;所述LDAP服务器用于在收到所述LDAP客户端发来的所述访问请求后,将根据所述对应关系得到的对应的被操作用户的可被操作的属性的信息发送给所述LDAP客户端。
7.如权利要求6所述的系统,其特征在于:
所述对应关系采用正则表达式的形式进行设置。
8.如权利要求6或7所述的系统,其特征在于:
所述具有对应关系的信息中还包括:与所述用户可被操作的属性的信息对应的操作动作的信息;
所述LDAP服务器还用于将根据所述对应关系得到的对应的被操作用户的可被操作的属性的信息及操作动作的信息一同发送给所述LDAP客户端;
所述LDAP客户端除用于显示所述LDAP服务器发来的被操作用户的可被操作的属性的信息外,还用于显示对应的操作动作信息。
9.如权利要求8所述的系统,其特征在于:
所述LDAP客户端还用于在获知用户从其显示的信息中选择一个操作动作后,将该操作动作的信息及对应的被操作用户的可被操作的属性的信息发送给所述LDAP服务器;
所述LDAP服务器还用于根据LDAP服务器发来的所述操作动作的信息及对应的被操作用户的可被操作的属性的信息,对该操作用户的相应属性执行相应的操作动作。
10.如权利要求8所述的系统,其特征在于:
所述操作动作包括:添加、删除和/或修改。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201010282505.3A CN101945108B (zh) | 2010-09-14 | 2010-09-14 | 一种在ldap服务器中进行权限控制的方法及系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201010282505.3A CN101945108B (zh) | 2010-09-14 | 2010-09-14 | 一种在ldap服务器中进行权限控制的方法及系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN101945108A true CN101945108A (zh) | 2011-01-12 |
CN101945108B CN101945108B (zh) | 2015-12-16 |
Family
ID=43436876
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201010282505.3A Active CN101945108B (zh) | 2010-09-14 | 2010-09-14 | 一种在ldap服务器中进行权限控制的方法及系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN101945108B (zh) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102387139A (zh) * | 2011-10-17 | 2012-03-21 | 迈普通信技术股份有限公司 | 一种与应用业务分离的权限控制方法、系统及装置 |
CN102790766A (zh) * | 2012-06-29 | 2012-11-21 | 华为技术有限公司 | 对象查询的方法、系统、对象查询装置和对象查询获取装置 |
CN105574125A (zh) * | 2015-12-12 | 2016-05-11 | 天津南大通用数据技术股份有限公司 | 基于ldapv3扩展操作的目录条目批量增删操作实现方法 |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20020116648A1 (en) * | 2000-12-14 | 2002-08-22 | Ibm Corporation | Method and apparatus for centralized storing and retrieving user password using LDAP |
CN1485746A (zh) * | 2002-09-27 | 2004-03-31 | 鸿富锦精密工业(深圳)有限公司 | 用户权限安全管理系统及方法 |
CN1996955A (zh) * | 2006-12-15 | 2007-07-11 | 华为技术有限公司 | 一种访问用户数据的方法及用户档案管理服务器 |
US20080307510A1 (en) * | 2007-03-19 | 2008-12-11 | Ricoh Company, Limited | Information processing apparatus and information processing method |
CN101394403A (zh) * | 2007-09-20 | 2009-03-25 | 柯尼卡美能达商用科技株式会社 | 数据传输设备、数据传输系统和地址注册方法 |
CN101447981A (zh) * | 2008-04-03 | 2009-06-03 | 中兴通讯股份有限公司 | 基于ldap协议的客户端与服务器的交互方法及系统 |
-
2010
- 2010-09-14 CN CN201010282505.3A patent/CN101945108B/zh active Active
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20020116648A1 (en) * | 2000-12-14 | 2002-08-22 | Ibm Corporation | Method and apparatus for centralized storing and retrieving user password using LDAP |
CN1485746A (zh) * | 2002-09-27 | 2004-03-31 | 鸿富锦精密工业(深圳)有限公司 | 用户权限安全管理系统及方法 |
CN1996955A (zh) * | 2006-12-15 | 2007-07-11 | 华为技术有限公司 | 一种访问用户数据的方法及用户档案管理服务器 |
US20080307510A1 (en) * | 2007-03-19 | 2008-12-11 | Ricoh Company, Limited | Information processing apparatus and information processing method |
CN101394403A (zh) * | 2007-09-20 | 2009-03-25 | 柯尼卡美能达商用科技株式会社 | 数据传输设备、数据传输系统和地址注册方法 |
CN101447981A (zh) * | 2008-04-03 | 2009-06-03 | 中兴通讯股份有限公司 | 基于ldap协议的客户端与服务器的交互方法及系统 |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102387139A (zh) * | 2011-10-17 | 2012-03-21 | 迈普通信技术股份有限公司 | 一种与应用业务分离的权限控制方法、系统及装置 |
CN102387139B (zh) * | 2011-10-17 | 2014-05-14 | 迈普通信技术股份有限公司 | 一种与应用业务分离的权限控制方法、系统及装置 |
CN102790766A (zh) * | 2012-06-29 | 2012-11-21 | 华为技术有限公司 | 对象查询的方法、系统、对象查询装置和对象查询获取装置 |
CN105574125A (zh) * | 2015-12-12 | 2016-05-11 | 天津南大通用数据技术股份有限公司 | 基于ldapv3扩展操作的目录条目批量增删操作实现方法 |
CN105574125B (zh) * | 2015-12-12 | 2019-04-30 | 天津南大通用数据技术股份有限公司 | 基于ldapv3扩展操作的目录条目批量增删操作实现方法 |
Also Published As
Publication number | Publication date |
---|---|
CN101945108B (zh) | 2015-12-16 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
RU2420029C2 (ru) | Способ конфигурирования точки доступа и управления точкой доступа и контроллер доступа | |
US8095674B2 (en) | Method, system and terminal for access control in device management | |
US7197125B1 (en) | Method and apparatus for selecting and managing wireless network services using a directory | |
US7181441B2 (en) | Management of user profile data | |
CN111163473B (zh) | 一种基于nrf权限等级的5g核心网数据防护方法 | |
CN101064714B (zh) | 一种业务发放的方法 | |
US20210337463A1 (en) | Systems and methods for prioritizing service set identifiers on a wireless access point | |
EP2408140B1 (en) | Method, control point, apparatus and communication system for configuring access right | |
CN101395852B (zh) | 针对网络中设备实现配置管理的方法及系统 | |
CN102017687B (zh) | 终端设备管理树管理对象实例化的方法及设备 | |
US9071505B2 (en) | Method and system for dynamically allocating services for subscribers data traffic | |
US7366945B2 (en) | Method of setting backup of home location register | |
CN102469440B (zh) | 用户数据迁移方法、系统和装置 | |
WO2014183668A1 (zh) | 一种机器类型通信应用的资源管理方法、节点和系统 | |
CN1382341A (zh) | 通信网络用于实现跨越网络节点的用户移动性的方法 | |
CN101945108A (zh) | 一种在ldap服务器中进行权限控制的方法及系统 | |
US20070162980A1 (en) | SYSTEM AND METHOD FOR PROVIDING CONTENT SECURITY IN UPnP SYSTEMS | |
EP2223496B1 (en) | Method and arrangement for network roaming of corporate extension identities | |
CN103200153B (zh) | 一种ip多媒体子系统业务开通方法、设备及系统 | |
WO2020147854A1 (zh) | 认证方法、装置、系统以及存储介质 | |
JP2001224062A (ja) | 移動端末用のホーム及びローミング用プロビジョニング方法 | |
US20180091371A1 (en) | Multi-terminal interaction relation maintenance system and method | |
CN101662456B (zh) | 发放终端业务的方法和系统 | |
CN100370767C (zh) | 对移动用户使用无线局域网业务进行管理的方法 | |
CN116055486B (zh) | 一种基于区块链的策略安全管理装置及方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant |