CN102843256B - 一种基于轻型目录访问协议(ldap)的it系统管理方法 - Google Patents
一种基于轻型目录访问协议(ldap)的it系统管理方法 Download PDFInfo
- Publication number
- CN102843256B CN102843256B CN201210144703.2A CN201210144703A CN102843256B CN 102843256 B CN102843256 B CN 102843256B CN 201210144703 A CN201210144703 A CN 201210144703A CN 102843256 B CN102843256 B CN 102843256B
- Authority
- CN
- China
- Prior art keywords
- ldap
- user
- self
- service platform
- management method
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Landscapes
- Storage Device Security (AREA)
- Telephonic Communication Services (AREA)
Abstract
一种基于轻型目录访问协议(LDAP)的IT系统管理方法,其首先配置LDAP服务器基本信息、基准节点和自助服务台系统中的用户信息与LDAP中用户属性的映射关系;然后,创建查询控制器,将已配置的映射关系和用户登录名传入LDAP查询控制器,通过设置的LDAP基准节点及封装后的查询控制器访问LDAP,获得用户完整的可区分名称(DN),然后查询LDAP中的该用户信息;使用系统预置的隐藏账户登录系统,将LDAP信息作为用户属性置入隐藏用户,进而通过自动服务台处理请求。本发明使用内置账户登录,大大降低了数据库的大数据量操作,从而使得自助服务台系统的负载大幅降低。
Description
技术领域
本发明IT系统运维管理技术领域,尤其涉及一种基于轻型目录访问协议(以下简称LDAP)的IT系统管理方法。
背景技术
当今企业的多数业务都已基于IT系统运转,保证运维管理系统的良好运作是企业稳定运营的基础之一。但由于大中型企业和机构的组织庞杂、人员众多且对IT系统依赖性越来越强,导致运维系统的压力与日俱增。
自助服务台能更好地促进业务部门和IT部门的沟通,提供除传统的电话、邮件沟通方式之外的另一种提交方式。业务部门用户可在自助服务台亲自录入请求,避免因电话中描述不清而造成的描述偏差,提高了工作效率。也可跟踪自己所报事故的处理情况,在请求处理完毕后,对处理结果做出满意度反馈,督促运维人员不断提高服务质量。
虽然IT部门人数有限,但自助服务台却承载着大量的业务系统用户。通常的做法是在运维系统中维护业务系统用户信息,登录自助服务台时,使用运维系统中的权限进行验证,验证通过即可登录系统、提交请求。
这种传统方式存在着若干弊端:
1)添加人员信息到运维系统中,耗费了许多数据采集及录入时间。并且随着人员数量的增长,出错的几率也在增加。
2)组织机构及人员的变动随时可能发生,这就使得大量人员信息的同步工作变得十分困难,无形中增加了后期的维护成本。
3)遇到并发用户访问量较大的情况,大量的用户会对整个运维系统造成较大负荷。这时企业只有两个选择,错峰访问或对系统软硬件进行升级。前者会造成使用上的不便,后者大幅提高了系统维护的成本。
发明内容
鉴于现有技术的缺陷,本发明提供一种基于轻型目录访问协议(LDAP)的IT系统管理方法,其特征在于包括如下步骤:
步骤一、配置用于获取LDAP用户信息所需访问的LDAP服务器主机、端口、验证方式;
步骤二、设置连接LDAP服务器所需的用户信息的基准节点、以及连接LDAP服务器所需的用户名、密码;
步骤三、配置自助服务台系统中的用户信息与LDAP中用户属性的映射关系;
步骤四、用户在自助服务台输入用户登录名及密码后,通过LDAP系统校验用户是否具有登录权限;
步骤五、若LDAP校验通过,则创建查询控制器,将已配置的映射关系传入LDAP查询控制器,并将用户登录名作为相对唯一可区分名称置入查询控制器;
步骤六、通过设置的LDAP基准节点及封装后的查询控制器访问LDAP,获得用户完整的可区分名称(DN);
步骤七、通过获取到的DN进一步查询LDAP中的该用户信息;
步骤八、使用系统预置的隐藏账户登录系统,将LDAP信息作为用户属性置入隐藏用户,进而通过自动服务台处理请求。
进一步,所述的基于轻型目录访问协议(LDAP)的IT系统管理方法,其特征在于在自助服务台系统中预先初始化一个内置用户,将所述LDAP用户信息作为属性封装入内置用户实体,并使用该内置用户登录自助服务台。
进一步,所述的基于轻型目录访问协议(LDAP)的IT系统管理方法,其特征在于登录自助服务台系统后,通过程序判断用户实体是否包含LDAP用户属性,若包含则证明当前用户是基于LDAP进行的登录。
进一步,所述的基于轻型目录访问协议(LDAP)的IT系统管理方法,其特征在于所述用户信息是实时从LDAP服务器获取的。
进一步,所述的基于轻型目录访问协议(LDAP)的IT系统管理方法,其特征将LDAP用户属性中的唯一标识(通常为CN)作为提出人用户ID保存至工单的隐藏域。
本发明减少维护大批量人员信息至自助服务台系统的工作量,在人员变更时能够做到数据的实时同步。与传统处理方式相比,本发明的不同之处在于:不在自助服务台系统中维护用户信息,同导入用户数据相比,减少了后期维护的成本。用户信息实时从LDAP获取,保证了数据同步的实时性。使用内置账户登录,遇到大用户并发量的情况,由于所有用户均使用内置用户一人登录,直接查询该用户信息获取相关权限,大大降低了数据库的大数据量操作,从而使得自助服务台系统的负载大幅降低,从而提高运维系统的稳定性。
附图说明
图1是本发明基于轻型目录访问协议(LDAP)的IT系统管理方法中设置LDAP服务器的流程图;
图2是本发明基于轻型目录访问协议(LDAP)的IT系统管理方法中LDAP用户登录自助服务台系统的流程图。
具体实施方式
为使本发明的上述目的、特征和优点更加明显易懂,下面结合附图和具体实施方式对本发明作进一步详细的说明。
由于本发明的实现方式基于与LDAP系统的集成,登录验证及用户信息的获取均需访问轻型目录访问协议LDAP(Lightweight Directory Access Protocol)服务器。故应先对LDAP服务器信息进行设置。图1是本发明基于轻型目录访问协议(LDAP)的IT系统管理方法中设置LDAP服务器的流程图;如图1所示,具体包括如下步骤:
a)设置LDAP服务器的主机名及端口
b)根据实际情况选择LDAP的验证方式:
none:在自助服务台登录时,如果用户在LDAP中存在,不进行密码校验直接登录;
simple:若企业LDAP服务设置为支持简单身份认证,应选择simple的验证方式;
strong:若企业LDAP服务设置为支持强身份认证,应选择strong的验证方式;
c)设置连接LDAP服务器所需的Base DN(基准DN,用户信息的基准节点,所有信息均作为该节点的子节点)、连接LDAP服务器所需的用户名、密码。设置完毕后可通过测试连接验证配置信息是否正确。
d)配置自助服务台系统中的用户信息与LDAP中属性的映射关系
提出人信息包含唯一标识、姓名、邮箱、办公地址、手机号码、固定电话、员工编号、所属部门。配置提出人信息与LDAP用户信息映射关系时,应以LDAP中实际存在的属性为准,即存在哪些属性配置哪些,不存在的无需配置。例如提出人唯一标识对应LDAP中的通用名CN(Common Name),通常用作识别登录名),提出人姓名对应LDAP中用户姓名属性等。
图2是本发明基于轻型目录访问协议(LDAP)的IT系统管理方法中LDAP用户登录自助服务台系统的流程图。如图所示,通过LDAP验证自助服务台登录权限包括如下步骤:
a)在自助服务台系统初始化时预先内置一个用户,该用户具有登录系统、处理工单的权限。
b)用户在自助服务台输入用户名及密码后,若未集成LDAP,则仍通过运维系统校验是否具有登录权限;若已集成LDAP,则通过LDAP系统校验用户是否具有登录权限。
c)若LDAP校验通过,则创建LDAP查询控制器,将已配置的映射属性传入LDAP查询控制器,并将登录名作为RDN(Relative Distinguished Name)(RDN:相对DN,条目在父节点下的唯一可区分名称)置入LDAP查询控制器作为查询条件。
d)通过设置的连接LDAP服务器的基准Ba se DN(基准DN,用户信息的基准节点,所有信息均作为该节点的子节点)及置入的查询控制器中的可区分名称访问LDAP服务器,查询LDAP服务器中的用户信息,获得用户完整的可区分名称(DN)。
e)通过获取到的DN进一步查询LDAP中该用户的详细信息。详细信息为系统管理中配置的LDAP用户映射属性的域值,例如映射关系中配置自助服务台用户账号映射LDAP中cn属性、员工编号映射LDAP中uid属性,则通过本步骤可获取到登录名域值为‘zhangsan’、员工编号域值为‘1339’等信息。
f)通过内置用户帐号(已知)登录自助服务台系统,由于用户已知且权限固定,避免了对人员信息表、权限信息表大数据量查询的操作,若登录失败则返回登录页面并弹出提示信息。
g)登录成功后首先获取到内置用户的用户对象(包含用户信息、权限信息)并将步骤e)中获取到的LDAP用户信息组装成属性集合,作为自助服务台内置用户对象的属性置入其中。
h)将用户信息放入Session(会话)中,由于Session存储在服务器内存中,不需要每次操作都对数据库进行操作,减少数据库访问开销,提升用户页面操作的速度。当用户退出系统时清除Session中的内容。
i)将用户信息通过UTF-8进行转码,并用Base64进行加密,完成后将其放入Cookie中,存储在用户本地客户端。这样在用户浏览器会话结束之前,无需再次进行登录验证,避免重复操作数据库。当用户退出系统时清除Cookie中的内容。
j)若系统采用Java语言实现,可将用户对象存储于TreadLocal(线程局部变量)中,TreadLocal为每个使用局部变量的线程建立副本,可有效的处理多线程并发的情况,使系统具有更高的并发性。
登录自助服务台系统后,通过程序判断用户实体是否包含LDAP用户属性。若包含则证明当前用户是基于LDAP进行的登录,这时系统中涉及用户信息的显示需从LDAP用户属性中获取,数据也应显示当前LDAP用户有权限看到的数据,具体包括:用户提交请求时,将当前用户实体中的LDAP属性作为提出人信息传递到起草的工单中,并将LDAP用户属性中的唯一标识(通常为CN)作为提出人用户ID保存至工单的隐藏域。
将待办、已办、草稿等列表,按照提出人ID等于当前LDAP用户唯一标识的条件进行过滤,即用户只能针对自己提交的请求进行跟踪查看,对于其他自助服务台用户的工单并无查看权限,实现权限的控制。
传统做法将用户信息(姓名、编号、联系方式、所属部门、地址等)手动添加或导入至系统,一旦其中的任何一项信息发生改变,都需要运维人员手工进行同步以保证数据的准确性。登录自助服务台系统时,用户的每次登录操作均需通过运维系统进行权限验证。
与传统处理方式相比,本发明的不同之处在于:a)不在自助服务台系统中维护用户信息,同导入用户数据相比,减少了后期维护的成本。b)用户信息实时从LDAP获取,保证了数据同步的实时性。c)使用内置账户登录,遇到大量用户并发的情况,由于所有用户均使用内置用户一人登录,可直接查询内置用户的用户、权限等信息,大大减少了数据库的大数据量操作,从而使得自助服务台系统的负载大幅降低,提高运维系统的稳定性。本发明使运维人员在自助服务台用户信息新建与同步方面实现零维护,在大量用户并发的情况下也能保障系统的稳定性。
最后应当说明的是:以上实施例仅用以说明本发明的技术方案而非对其限制;尽管参照较佳实施例对本发明进行了详细的说明,所属领域的普通技术人员应当理解:依然可以对本发明的具体实施方式进行修改或者对部分技术特征进行等同替换;而不脱离本发明技术方案的精神,其均应涵盖在本发明请求保护的技术方案范围当中。
Claims (4)
1.一种基于轻型目录访问协议(LDAP)的IT系统管理方法,其特征在于包括如下步骤:
步骤一、配置用于获取LDAP用户信息所需访问的LDAP服务器主机、端口、验证方式;
步骤二、设置连接LDAP服务器所需的用户信息的基准节点、以及连接LDAP服务器所需的用户名、密码;
步骤三、配置自助服务台系统中的用户信息与LDAP中用户属性的映射关系;
步骤四、用户在自助服务台输入用户登录名及密码后,通过LDAP系统校验用户是否具有登录权限;
步骤五、若LDAP校验通过,则创建查询控制器,将已配置的映射关系传入LDAP查询控制器,并将用户登录名作为相对唯一可区分名称置入查询控制器;
步骤六、通过设置的LDAP基准节点及封装后的查询控制器访问LDAP,获得用户完整的可区分名称(DN);
步骤七、通过获取到的完整的可区分名称进一步查询LDAP中的该用户信息;
步骤八、使用系统预置的隐藏账户登录系统,将LDAP信息作为用户属性置入隐藏用户,进而通过自助服务台处理请求。
2.根据权利要求1所述的基于轻型目录访问协议(LDAP)的IT系统管理方法,其特征
在于在自助服务台系统中预先初始化一个内置用户,将所述LDAP用户信息作为属性封装入内置用户实体,并使用该内置用户登录自助服务台。
3.根据权利要求1所述的基于轻型目录访问协议(LDAP)的IT系统管理方法,其特征在于登录自助服务台系统后,通过程序判断用户实体是否包含LDAP用户属性,若包含则证明当前用户是基于LDAP进行的登录。
4.根据权利要求1所述的基于轻型目录访问协议(LDAP)的IT系统管理方法,其特征在于所述用户信息是实时从LDAP服务器获取的。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210144703.2A CN102843256B (zh) | 2012-05-11 | 2012-05-11 | 一种基于轻型目录访问协议(ldap)的it系统管理方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210144703.2A CN102843256B (zh) | 2012-05-11 | 2012-05-11 | 一种基于轻型目录访问协议(ldap)的it系统管理方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102843256A CN102843256A (zh) | 2012-12-26 |
| CN102843256B true CN102843256B (zh) | 2015-01-07 |
Family
ID=47370333
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201210144703.2A Active CN102843256B (zh) | 2012-05-11 | 2012-05-11 | 一种基于轻型目录访问协议(ldap)的it系统管理方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102843256B (zh) |
Families Citing this family (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105471965A (zh) * | 2015-11-17 | 2016-04-06 | 国云科技股份有限公司 | 一种多个异构系统同步用户数据到一个ldap的方法 |
| CN108322421B (zh) * | 2017-01-16 | 2021-04-13 | 医渡云(北京)技术有限公司 | 计算机系统安全管理方法及装置 |
| CN107145606A (zh) * | 2017-06-09 | 2017-09-08 | 郑州云海信息技术有限公司 | 一种数据管理方法及装置 |
| CN109241712B (zh) * | 2018-09-29 | 2021-02-05 | 苏州浪潮智能科技有限公司 | 一种用于访问文件系统的方法和装置 |
| CN110753044A (zh) * | 2019-10-12 | 2020-02-04 | 山东英信计算机技术有限公司 | 一种身份认证方法、系统、电子设备及存储介质 |
| CN111400355B (zh) * | 2020-03-24 | 2024-01-30 | 网易(杭州)网络有限公司 | 一种数据查询方法及装置 |
| CN112231654B (zh) * | 2020-10-16 | 2024-02-06 | 北京天融信网络安全技术有限公司 | 运维数据隔离方法、装置、电子设备及存储介质 |
| CN114218177A (zh) * | 2021-12-09 | 2022-03-22 | 中国邮政储蓄银行股份有限公司 | 信息处理方法及装置、计算机可读存储介质、处理器 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1805336A (zh) * | 2005-01-12 | 2006-07-19 | 北京航空航天大学 | 面向asp模式的单一登录方法及系统 |
| CN101605031A (zh) * | 2008-06-13 | 2009-12-16 | 新奥特(北京)视频技术有限公司 | 一种面向电视台应用的跨域单点登陆系统 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20050289356A1 (en) * | 2004-06-29 | 2005-12-29 | Idan Shoham | Process for automated and self-service reconciliation of different loging IDs between networked computer systems |
-
2012
- 2012-05-11 CN CN201210144703.2A patent/CN102843256B/zh active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1805336A (zh) * | 2005-01-12 | 2006-07-19 | 北京航空航天大学 | 面向asp模式的单一登录方法及系统 |
| CN101605031A (zh) * | 2008-06-13 | 2009-12-16 | 新奥特(北京)视频技术有限公司 | 一种面向电视台应用的跨域单点登陆系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN102843256A (zh) | 2012-12-26 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102843256B (zh) | 一种基于轻型目录访问协议(ldap)的it系统管理方法 | |
| CN112615849B (zh) | 微服务访问方法、装置、设备及存储介质 | |
| US9003297B2 (en) | Integrated enterprise software and social network system user interfaces utilizing cloud computing infrastructures and single secure portal access | |
| CN108322471B (zh) | 多租户身份和数据安全性管理云服务 | |
| US7356840B1 (en) | Method and system for implementing security filters for reporting systems | |
| US8768715B2 (en) | System and method for resource management | |
| US8205247B2 (en) | Method of authenticating a client, identity and service providers, authentication and authentication assertion request signals and corresponding computer programs | |
| US7509672B1 (en) | Cross-platform single sign-on data sharing | |
| US7512585B2 (en) | Support for multiple mechanisms for accessing data stores | |
| CN107395779B (zh) | 域事件的验证 | |
| CN101552801B (zh) | 一种在线浏览和下载用户群组通讯录的方法和系统 | |
| US8051168B1 (en) | Method and system for security and user account integration by reporting systems with remote repositories | |
| CN108701182A (zh) | 多租户身份云服务的数据管理 | |
| US20040010514A1 (en) | Automatic configuration of attribute sets | |
| JP2003526138A (ja) | 自動化された接続サービスシステム | |
| WO2021068518A1 (zh) | 一种身份认证方法、系统、电子设备及存储介质 | |
| CN101373527A (zh) | 系统参与人的权限控制方法 | |
| CN103023921A (zh) | 一种认证接入方法和认证系统 | |
| US7801967B1 (en) | Method and system for implementing database connection mapping for reporting systems | |
| US10003592B2 (en) | Active directory for user authentication in a historization system | |
| CN111083038A (zh) | 一种企业管理在线即时通讯系统及方法 | |
| CN110611660A (zh) | 一种企业级多域名登录的集成方法 | |
| US20080034068A1 (en) | Automatic Application Provisioning | |
| US20030055935A1 (en) | System for managing a computer network | |
| CN111159689A (zh) | 一种支持多系统统一用户管理的方法及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |