CN107959674B - 网关设备、对第三方ldap服务器用户的访问控制方法及系统 - Google Patents

网关设备、对第三方ldap服务器用户的访问控制方法及系统 Download PDF

Info

Publication number
CN107959674B
CN107959674B CN201711173746.2A CN201711173746A CN107959674B CN 107959674 B CN107959674 B CN 107959674B CN 201711173746 A CN201711173746 A CN 201711173746A CN 107959674 B CN107959674 B CN 107959674B
Authority
CN
China
Prior art keywords
user
party
access control
ldap server
user group
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201711173746.2A
Other languages
English (en)
Other versions
CN107959674A (zh
Inventor
莫冰
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Abt Networks Co ltd
Original Assignee
Beijing Abt Networks Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Abt Networks Co ltd filed Critical Beijing Abt Networks Co ltd
Priority to CN201711173746.2A priority Critical patent/CN107959674B/zh
Publication of CN107959674A publication Critical patent/CN107959674A/zh
Application granted granted Critical
Publication of CN107959674B publication Critical patent/CN107959674B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/104Grouping of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/107Network architectures or network communication protocols for network security for controlling access to devices or network resources wherein the security policies are location-dependent, e.g. entities privileges depend on current location or allowing specific operations only from locally connected terminals
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • H04L67/1095Replication or mirroring of data, e.g. scheduling or transport for data synchronisation between network nodes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/50Network services
    • H04L67/56Provisioning of proxy services
    • H04L67/568Storing data temporarily at an intermediate stage, e.g. caching
    • H04L67/5682Policies or rules for updating, deleting or replacing the stored data

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本申请公开了网关设备、对第三方LDAP服务器用户的访问控制方法及系统,其中,网关设备对第三方LDAP服务器用户的访问控制方法,预先获取第三方LDAP服务器的用户及用户组信息,并建立相同结构的用户对象及用户组对象,生成针对用户对象或用户组对象的访问控制策略。当接收到第三方用户的接入请求时,无需再与第三方服务器进行交互来获取用户的身份信息,既省略了与第三方LDAP服务器的频繁交互步骤,节省设备资源,又能使本地设备对第三方用户的访问控制功能不受到第三方LDAP服务器的限制;同时,使用一条访问控制策略可以实现对第三方LDAP服务器上单一用户的访问控制,也可以实现对用户组下多个用户的访问控制。

Description

网关设备、对第三方LDAP服务器用户的访问控制方法及系统
技术领域
本申请涉及网络信息安全技术领域,尤其涉及一种网关设备及网关设备对第三方LDAP服务器用户的访问控制方法及系统。
背景技术
访问控制是指系统根据用户身份及其所属的预先定义的策略组,限制用户使用数据资源能力的一种手段。而访问控制过程中的用户管理从架构上划分,可以分为用户组织结构、认证服务器和策略控制器三个组成部分;从数据流程上划分,可以分为IP到用户、用户到身份和身份到策略的三个转换过程。
图1给出了现有技术中,对用户进行访问控制的一般实现方法,如图1所示,在本地网关设备中建立用户树,为每个用户分配认证信息,如IP地址、用户名和密码,并为每个用户制定相应的身份,创建用户身份表,最后再针对用户身份表中的用户的各种身份制定相应的策略,形成身份策略表。这样,当有业务流量到来时,就可以在本地实现IP到用户(认证过程)、用户到身份(用户身份表)和身份到策略(身份策略表)的过程,最终根据具体的控制策略进行用户访问控制。然而,上述访问控制过程中,仅采用本地网络设备来维护用户组织结构,基于本地的组织结构提供用户访问控制能力。
在实际部署中,用户组织结构有时会被维护在第三方用户服务器上,在这种场景下,现行的用户访问控制方法至少存在以下几种缺陷:缺陷一,与第三方服务器的频繁交互,使访问控制过程步骤繁琐,使本地网关设备及第三方服务器的组织结构在功能上构成了很大冗余,造成设备资源的浪费;缺陷二,本地网关设备中预设的身份策略表不能应对外来的复杂的分布式的第三方访问用户群,即使为系统或设备配置复杂的控制策略,管理和维护这些复杂的访问控制配置也是难以攻克的技术难点;缺陷三,第三方服务器环境参数的多变,重启服务器,服务器发生故障等因素使得应用服务器的业务系统高可用性得不到保障。
发明内容
本申请提供一种网关设备及网关设备对第三方LDAP服务器用户的访问控制方法及系统,以解决上述现有技术中网关设备难以应对复杂的分布式的第三方用户,并且访问控制能力受到相应的第三方服务器限制的技术问题。
第一方面,本申请提供一种网关设备对第三方LDAP服务器用户的访问控制方法,该方法包括:
获取所述第三方LDAP服务器的用户及用户组信息;
根据所述第三方LDAP服务器的用户及用户组信息,建立用户对象及用户组对象;
生成针对所述用户对象或所述用户组对象的访问控制策略;
当接收到第三方用户的接入请求时,根据所述针对用户对象或所述用户组对象的访问控制策略对所述第三方用户进行访问控制。
采用本实现方式,由于已预先获取第三方LDAP服务器的用户及用户组信息,并建立了相同结构的用户对象及用户组对象,当接收到第三方用户的接入请求时,无需再与第三方服务器进行交互来获取用户的身份信息,因此,既省略了与第三方LDAP服务器的频繁交互步骤,节省了设备资源,又能使本地设备对第三方用户的访问控制功能不受到第三方LDAP服务器的限制;同时,由于本实现方式是根据针对用户对象或所述用户组对象的访问控制策略对所述第三方用户进行访问控制,因此,使用一条访问控制策略可以实现对第三方LDAP服务器上单一用户的访问控制,也可以实现对用户组下多个用户的访问控制。
结合第一方面,在第一方面第一种可能的实现方式中,所述获取第三方LDAP服务器的用户及用户组信息,包括:
向所述第三方LDAP服务器发送用户及用户组信息的获取请求;
接收并存储所述第三方LDAP服务器返回的所述用户及用户组信息。
采用本实现方式,通过本地网关设备与第三方LDAP服务器联动,将第三方LDAP服务器上的用户及用户组信息同步缓存到本地网关设备,使本地网关设备对第三方用户的访问控制功能不受第三方LDAP服务器的限制,网络管理员可以直接通过网关设备查看用户及用户组信息,进一步减少与第三方LDAP服务器交互次数。
结合第一方面第一种可能的实现方式,在第一方面第二种可能的实现方式中,所述获取第三方LDAP服务器的用户及用户组信息,还包括:
周期性向已存储的历史第三方LDAP服务器发送用户及用户组更新信息的获取请求;
接收并存储所述第三方LDAP服务器返回的所述用户及用户组更新信息;
以及,根据所述用户及用户组更新信息,更新所述用户对象及用户组对象。
采用本实现方式,本地网关设备中已存储的历史第三方LDAP服务器上的用户及用户组信息发生变化时,及时更新本地网关设备中对应于该历史第三方LDAP服务器的缓存信息及用户对象及用户组对象,解决本地网关设备缓存的信息失效的问题。
结合第一方面,在第一方面第三种可能的实现方式中,所述根据针对用户对象或所述用户组对象的访问控制策略对所述第三方用户进行访问控制,包括:
根据所述第三方用户的接入请求,确定与所述第三方用户对应的用户对象和/或用户组对象;
确定针对所述第三方用户的访问控制策略;
匹配所述第三方用户的接入请求与所述针对第三方用户的访问控制策略;
根据匹配结果,对所述第三方用户进行访问控制。
采用本实现方式,根据第三方LDAP服务器的用户及用户组信息,建立的用户对象及用户组对象,使用户及用户组信息与用户对象及用户组对象间具有相同的结构和对应关系,根据请求接入的第三方用户的请求信息确定与其对应的用户对象和/或用户组对象后,再根据针对该用户对象和/或用户组对象访问控制策略,对一个第三方用户或者该用户组下的多个第三方用户进行访问控制,分为单独控制和集中控制。
结合第一方面第三种可能的实现方式,在第一方面第四种可能的实现方式中,所述确定针对第三方用户的访问控制策略,包括:
根据所述第三方用户对应的用户对象,确定针对所述第三方用户对应的用户对象的访问控制策略;
根据所述第三方用户对应的用户组对象,确定针对第三方用户对应的用户组对象的访问控制策略。
采用本实现方式,将访问控制策略配置为针对用户对象的访问控制策略和针对用户组对象的访问控制策略,其中,针对用户对象的访问控制策略用于对第三方用户进行单独访问控制,针对用户组对象的访问控制策略用户对某用户组下的多个第三方用户进行集中访问控制。
结合第一方面第四种可能的实现方式,在第一方面第五种可能的实现方式中,所述根据针对用户对象或所述用户组对象的访问控制策略对所述第三方用户进行访问控制,包括:
根据针对第三方用户对应的用户对象的访问控制策略,对所述第三方用户进行单独访问控制;
根据针对第三方用户对应的用户组对象的访问控制策略,对所述第三方用户进行集中访问控制。
第二方面,本申请提供一种网关设备,接收器、发送器、存储器以及处理器,所述处理器包括:
信息获取单元,用于获取第三方LDAP服务器的用户及用户组信息;
对象建立单元,用于根据所述第三方LDAP服务器的用户及用户组信息,建立用户对象及用户组对象;
策略生成单元,用于生成针对所述用户对象或所述用户组对象的访问控制策略;
访问控制单元,用于当接收到第三方用户的接入请求时,根据所述针对用户对象或所述用户组对象的访问控制策略对所述第三方用户进行访问控制。
第三方面,本申请还提供一种对第三方LDAP服务器用户的访问控制系统,该系统包括:网关设备,第三方LDAP服务器和请求终端;其中,
所述第三方LDAP服务器被配置为,接收所述网关设备发送的用户及用户组信息的获取请求,向所述网关设备发送所述用户及用户组信息;
所述网关设备被配置为,根据所述第三方LDAP服务器的用户及用户组信息,建立用户对象及用户组对象;
生成针对所述用户对象或所述用户组对象的访问控制策略;
当接收到所述接入终端发送的第三方用户的接入请求时,根据所述针对用户对象或所述用户组对象的访问控制策略对所述第三方用户进行访问控制。
本申请提供一种网关设备、对第三方LDAP服务器用户的访问控制方法及系统,其中,网关设备对第三方LDAP服务器用户的访问控制方法中,由于已预先获取第三方LDAP服务器的用户及用户组信息,并建立了相同结构的用户对象及用户组对象,当接收到第三方用户的接入请求时,无需再与第三方服务器进行交互来获取用户的身份信息,因此,既省略了与第三方LDAP服务器的频繁交互步骤,节省了设备资源,又能使本地设备对第三方用户的访问控制功能不受到第三方LDAP服务器的限制;同时,由于本申请是根据针对用户对象或用户组对象的访问控制策略对所述第三方用户进行访问控制,因此,使用一条访问控制策略可以实现对第三方LDAP服务器上单一用户的单独访问控制,也可以实现对用户组下多个用户的集中访问控制。
附图说明
为了更清楚地说明本申请的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,对于本领域普通技术人员而言,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本申请现有技术的实现示意图;
图2为本申请实施例的组网示意图;
图3为本申请网关设备对第三方LDAP服务器用户的访问控制方法的一个实施例的方法流程图;
图4为本申请网关设备对第三方LDAP服务器用户的访问控制方法的另一个实施例的方法流程图;
图5为本申请网关设备结构示意图。
具体实施方式
本申请实施例提供一种网关设备对第三方LDAP服务器用户的访问控制方法。本申请实施例以第三方LDAP服务器S,LDAP服务器S上包含的用户组G,用户组G中包含的用户U,本地网关设备A,本地网关设备上访问控制策略P来说明本申请所述方法的具体实现方式。
图2为本申请一个实施例的组网示意图,在第三方LDAP服务器上,基于轻量目录访问协议(Lightweight Directory Access Protocol,LDAP)存储有用户及用户组信息结构,例如用户U1、U2……Un,用户组G1、G2……Gn;网关设备预先获取第三方LDAP服务器上用户及用户组信息,例如网关设备A获取到LDAP服务器S上的用户U1、U2……Un及用户组G1、G2……Gn,并建立相同结构的用户对象和用户组对象,例如根据用户U1、U2……Un及用户组G1、G2……Gn,在本地创建用户对象UO1、UO2……UOn及用户组对象GO1、GO2……GOn,以及,配置针对用户对象或用户组对象的访问控制策略,例如,配置针对用户对象UO1的策略PU1和针对用户组对象GO1的策略PG1。当第三方用户通过网关设备访问外网时,网关设备根据配置的针对用户对象或用户组对象的访问控制策略,对第三方用户实现单独访问控制或集中访问控制。例如,当用户U1通过网关设备A访问外网时,网关设备A根据配置的针对用户对象UO1或用户组对象GO1的访问控制策略PU1和PG1,对用户U1实现单独访问控制或集中访问控制。
图3为本申请提供的网关设备对第三方LDAP服务器用户的访问控制方法的一个实施例的流程图,该方法包括:
步骤301,获取所述第三方LDAP服务器的用户及用户组信息;
本申请中,第三方LDAP服务器的用户信息可以理解为用户在第三方服务器上的用户注册信息。该用户注册信息至少包括用户的登录身份校验信息,用于识别用户,例如用户名及密码。网关设备预先将第三方LDAP服务器上的用户及用户组信息同步到本地缓存区中,步骤301完成了该同步操作,并且,该同步操作应当包括初始同步阶段和更新同步阶段。
其中,初始同步阶段具体包括:
向所述第三方LDAP服务器发送用户及用户组信息的获取请求;
接收并存储所述第三方LDAP服务器返回的所述用户及用户组信息。
本实施例通过本地网关设备与第三方LDAP服务器信息同步,将第三方LDAP服务器上的用户及用户组信息预先缓存到本地网关设备。由于现有技术是当有第三方用户向网关设备发送接入请求时,立即与第三方LDAP服务器进行信息交互,得到该第三方用户的身份信息,再根据身份信息匹配控制策略,此时,如果第三方LDAP服务器出现故障,无法与网关设备完成交互时,网关设备或独立于网关设备的访问控制功能实体模块的访问控制功能便受到限制。因此,本申请方法使本地网关设备对第三方用户的访问控制功能不受第三方LDAP服务器的限制。另外,本地网关设备与第三方LDAP服务器的实现信息同步后,网络管理员可以直接通过网关设备查看用户及用户组信息,而不必通过向第三方LDAP服务器请求数据来查看信息,因此,进一步减少与第三方LDAP服务器交互次数。
网关设备同步第三方LDAP服务器上的用户及用户组信息的过程,还包括更新同步阶段。可以理解的是,所谓更新同步阶段是指,当完成初始同步的、或称已存储的历史第三方LDAP服务器的用户及用户组信息发生改变时,本地网关设备中相应的信息也应相应改变。
更新同步阶段具体包括:
周期性向已存储的历史第三方LDAP服务器发送用户及用户组更新信息的获取请求;
接收并存储所述第三方LDAP服务器返回的所述用户及用户组更新信息;
本实施例中,当本地网关设备中已存储的历史第三方LDAP服务器上的用户及用户组信息发生变化时,及时更新本地网关设备中对应于该历史第三方LDAP服务器的缓存信息,更新操作包括添加用户信息及用户组信息,修改用户信息及用户组信息以及删除用户及用户组信息,以解决本地网关设备缓存的信息失效的问题。
需要说明的是,上述用户及用户组信息的获取请求以及更新信息的获取请求,可以是基于操作命令发送的,也可以在预设时刻或者间隔预设时长发送的,本领域技术人员根据实际需要设计的本地网关设备与第三方LDAP服务器间的信息同步过程,均属于本申请的保护范围。
步骤302,根据所述第三方LDAP服务器的用户及用户组信息,建立用户对象及用户组对象;
需要说明的是,用户对象及用户组对象与用户信息及用户组具有相同的结构,在网关设备初始同步第三方LDAP服务器上的用户及用户组信息后,本申请方法根据同步的用户及用户组信息建立用户对象和用户组对象,在网关设备更新同步第三方LDAP服务器上的用户及用户组信息后,本申请方法根据相应的更新信息,对相应的用户对象和用户组对象进行更新,包括,新建对象,修改对象以及删除对象操作。
具体的,在上述接收并存储所述第三方LDAP服务器返回的所述用户及用户组更新信息后,所述方法还包括,根据所述用户及用户组更新信息,更新所述用户对象及用户组对象。
步骤303,生成针对所述用户对象或所述用户组对象的访问控制策略;
具体实现中,根据用户及用户组信息对应的权限属性,生成针对用户对象或用户组对象的访问控制策略。其中,用户及用户组信息对应的权限属性具体来说就是允许哪些用户访问哪些网络资源,这些权限属性可以是针对某一具体的第三方LDAP服务器预先设置的,也可以是包含在用户及用户组信息中的,本申请不做限定。
基于此,第三方LDAP服务器上的用户及用户组信息发生改变的情况,可以包括,用户组信息结构的修改,新用户的注册,已注册用户的用户信息的修改,已注册用户的用户信息销毁,用户权限属性的改变等等。
本申请中,生成的访问控制策略可以是针对用户对象的,用于对第三方用户进行单独控制,也可以是针对用户组对象的,用户对某一用户组内的全部第三方用户进行集中控制。
步骤304,当接收到第三方用户的接入请求时,根据所述针对用户对象或所述用户组对象的访问控制策略对所述第三方用户进行访问控制。
需要说明的是,根据访问控制策略的针对对象的不同,访问控制包括:
根据针对第三方用户对应的用户对象的访问控制策略,对所述第三方用户进行单独访问控制;
根据针对第三方用户对应的用户组对象的访问控制策略,对所述第三方用户进行集中访问控制。
根据上述实施例可知,与现有技术相比,本申请提供的网关设备对第三方服务器用户的访问控制方法,由于已预先获取第三方LDAP服务器的用户及用户组信息,并建立了相同结构的用户对象及用户组对象,当接收到第三方用户的接入请求时,无需再与第三方服务器进行交互来获取用户的身份信息,因此,既省略了与第三方LDAP服务器的频繁交互步骤,节省了设备资源,又能使本地设备对第三方用户的访问控制功能不受到第三方LDAP服务器的限制;同时,由于本申请方法是根据针对用户对象或所述用户组对象的访问控制策略对所述第三方用户进行访问控制,因此,使用一条访问控制策略可以实现对第三方LDAP服务器上单一用户的访问控制,也可以实现对用户组下多个用户的访问控制。
参阅图4,在一些优选实施例中,所述根据针对用户对象或所述用户组对象的访问控制策略对所述第三方用户进行访问控制,包括:
步骤401,根据所述第三方用户的接入请求,确定与所述第三方用户对应的用户对象和/或用户组对象;
可以理解的是,根据第三方LDAP服务器的用户及用户组信息,建立用户对象及用户组对象,使用户及用户组信息与用户对象及用户组对象间具有相同的结构和对应关系,根据第三方用户的接入请求(接入请求中包含用户名,用户IP等信息),可以确定与该第三方用户对应的用户对象和/或用户组对象。例如,用户U1及其所述用户组G1,与其对应的是用户对象UO1及用户组对象GO1。
步骤402,确定针对所述第三方用户的访问控制策略;具体包括:
根据所述第三方用户对应的用户对象,确定针对所述第三方用户对应的用户对象的访问控制策略;
根据所述第三方用户对应的用户组对象,确定针对第三方用户对应的用户组对象的访问控制策略。
步骤403,匹配所述第三方用户的接入请求与所述针对第三方用户的访问控制策略;
步骤404,根据匹配结果,对所述第三方用户进行访问控制。
例如,第三方用户请求访问网站I,而针对该第三方用户的访问控制策略是限制其访问网站I,则记录阻断。如果第三方用户请求访问网站I,而针对该第三方用户的访问控制策略是允许其访问网站I,则记录放通。
在本实施例中,将访问控制策略配置为针对用户对象的访问控制策略和针对用户组对象的访问控制策略,其中,针对用户对象的访问控制策略用于对第三方用户进行单独访问控制,例如,PU1用于针对用户U1的访问控制;针对用户组对象的访问控制策略用于对某用户组下的多个第三方用户进行集中访问控制,例如,PG1用于针对用户组G1下的全部用户的访问控制。
根据上述实施例提供的一种用于第三方LDAP服务器用户的访问控制方法,本申请实施例还提供一种网关设备,包括接收器、发送器、存储器以及处理器;参阅图5,所述处理器包括:
信息获取单元U501,用于获取第三方LDAP服务器的用户及用户组信息;
对象建立单元U502,用于根据所述第三方LDAP服务器的用户及用户组信息,建立用户对象及用户组对象;
策略生成单元U503,用于生成针对所述用户对象或所述用户组对象的访问控制策略;
访问控制单元U504,用于当接收到第三方用户的接入请求时,根据所述针对用户对象或所述用户组对象的访问控制策略对所述第三方用户进行访问控制;即根据针对第三方用户对应的用户对象的访问控制策略,对所述第三方用户进行单独访问控制;根据针对第三方用户对应的用户组对象的访问控制策略,对所述第三方用户进行集中访问控制。
在一些优选实施例中,信息获取单元U501包括:
第一发送子单元,用于向所述第三方LDAP服务器发送用户及用户组信息的获取请求;
第一接收子单元,用于接收并存储所述第三方LDAP服务器返回的所述用户及用户组信息。
进一步,信息获取单元U501还包括:
第二发送子单元,用于周期性向已存储的历史第三方LDAP服务器发送用户及用户组更新信息的获取请求;
第二接收子单元,用于接收并存储所述第三方LDAP服务器返回的所述用户及用户组更新信息。
并且,所述对象建立单元U502还用于根据所述用户及用户组更新信息,更新所述用户对象及用户组对象。
在上述实施例基础上,在一些实施例中,访问控制单元U504,包括:
第一确定子单元,用于根据所述第三方用户的接入请求,确定与所述第三方用户对应的用户对象和/或用户组对象;
第二确定子单元,用于确定针对所述第三方用户的访问控制策略;
策略匹配子单元,用于匹配所述第三方用户的接入请求与所述针对第三方用户的访问控制策略;
控制子单元,用于根据匹配结果,对所述第三方用户进行访问控制。
优选的,上述第二确定子单元包括:
用户对象策略确定子单元,用于根据所述第三方用户对应的用户对象,确定针对所述第三方用户对应的用户对象的访问控制策略;
用户组对象策略确定子单元,用于根据所述第三方用户对应的用户组对象,确定针对第三方用户对应的用户组对象的访问控制策略。
本申请实施例还提供一种对第三方LDAP服务器用户的访问控制系统,其特征在于,包括:网关设备,第三方LDAP服务器和请求终端;其中,
所述第三方LDAP服务器被配置为,接收所述网关设备发送的用户及用户组信息的获取请求,向所述网关设备发送所述用户及用户组信息;
所述网关设备被配置为,根据所述第三方LDAP服务器的用户及用户组信息,建立用户对象及用户组对象;
生成针对所述用户对象或所述用户组对象的访问控制策略;
当接收到所述接入终端发送的第三方用户的接入请求时,根据所述针对用户对象或所述用户组对象的访问控制策略对所述第三方用户进行访问控制。
上述网关设备进一步被配置为,向所述第三方LDAP服务器发送用户及用户组信息的获取请求;
接收并存储所述第三方LDAP服务器返回的所述用户及用户组信息。
以及,周期性向已存储的历史第三方LDAP服务器发送用户及用户组更新信息的获取请求;
接收并存储所述第三方LDAP服务器返回的所述用户及用户组更新信息;以及,根据所述用户及用户组更新信息,更新所述用户对象及用户组对象。
上述网关设备被进一步配置为,根据所述第三方用户的接入请求,确定与所述第三方用户对应的用户对象和/或用户组对象;
确定针对所述第三方用户的访问控制策略;
匹配所述第三方用户的接入请求与所述针对第三方用户的访问控制策略;
根据匹配结果,对所述第三方用户进行访问控制。
其中,所述确定针对第三方用户的访问控制策略,包括:
根据所述第三方用户对应的用户对象,确定针对所述第三方用户对应的用户对象的访问控制策略;
根据所述第三方用户对应的用户组对象,确定针对第三方用户对应的用户组对象的访问控制策略。
所述根据针对用户对象或所述用户组对象的访问控制策略对所述第三方用户进行访问控制,包括:
根据针对第三方用户对应的用户对象的访问控制策略,对所述第三方用户进行单独访问控制;
根据针对第三方用户对应的用户组对象的访问控制策略,对所述第三方用户进行集中访问控制。
具体实现中,本发明还提供一种计算机存储介质,其中,该计算机存储介质可存储有程序,该程序执行时可包括本发明提供的网关设备对第三方LDAP服务器用户的访问控制方法的各实施例中的部分或全部步骤。所述的存储介质可为磁碟、光盘、只读存储记忆体(英文:read-only memory,简称:ROM)或随机存储记忆体(英文:random access memory,简称:RAM)等。
本领域的技术人员可以清楚地了解到本发明实施例中的技术可借助软件加必需的通用硬件平台的方式来实现。基于这样的理解,本发明实施例中的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例或者实施例的某些部分所述的方法。
本说明书中各个实施例之间相同相似的部分互相参见即可。尤其,对于实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例中的说明即可。
以上所述的本发明实施方式并不构成对本发明保护范围的限定。

Claims (7)

1.一种网关设备对第三方LDAP服务器用户的访问控制方法,其特征在于,所述方法包括:
获取所述第三方LDAP服务器的用户及用户组信息;
根据所述第三方LDAP服务器的用户及用户组信息,建立相同结构的用户对象及用户组对象;
生成针对所述用户对象或所述用户组对象的访问控制策略;
当接收到第三方用户的接入请求时,根据所述针对用户对象或所述用户组对象的访问控制策略对所述第三方用户进行访问控制;
其中,所述获取第三方LDAP服务器的用户及用户组信息,包括:
向所述第三方LDAP服务器发送用户及用户组信息的获取请求;
接收并存储所述第三方LDAP服务器返回的所述用户及用户组信息。
2.根据权利要求1所述的方法,其特征在于,所述获取第三方LDAP服务器的用户及用户组信息,还包括:
周期性向已存储的历史第三方LDAP服务器发送用户及用户组更新信息的获取请求;
接收并存储所述第三方LDAP服务器返回的所述用户及用户组更新信息;以及,根据所述用户及用户组更新信息,更新所述用户对象及用户组对象。
3.根据权利要求1所述的方法,其特征在于,所述根据针对用户对象或所述用户组对象的访问控制策略对所述第三方用户进行访问控制,包括:
根据所述第三方用户的接入请求,确定与所述第三方用户对应的用户对象和/或用户组对象;
确定针对所述第三方用户的访问控制策略;
匹配所述第三方用户的接入请求与所述针对第三方用户的访问控制策略;
根据匹配结果,对所述第三方用户进行访问控制。
4.根据权利要求3所述的方法,其特征在于,所述确定针对第三方用户的访问控制策略,包括:
根据所述第三方用户对应的用户对象,确定针对所述第三方用户对应的用户对象的访问控制策略;
根据所述第三方用户对应的用户组对象,确定针对第三方用户对应的用户组对象的访问控制策略。
5.根据权利要求4所述的方法,其特征在于,所述根据针对用户对象或所述用户组对象的访问控制策略对所述第三方用户进行访问控制,包括:
根据针对第三方用户对应的用户对象的访问控制策略,对所述第三方用户进行单独访问控制;
根据针对第三方用户对应的用户组对象的访问控制策略,对所述第三方用户进行集中访问控制。
6.一种网关设备,接收器、发送器、存储器以及处理器,其特征在于,所述处理器包括:
信息获取单元,用于获取第三方LDAP服务器的用户及用户组信息;
对象建立单元,用于根据所述第三方LDAP服务器的用户及用户组信息,建立相同结构的用户对象及用户组对象;
策略生成单元,用于生成针对所述用户对象或所述用户组对象的访问控制策略;
访问控制单元,用于当接收到第三方用户的接入请求时,根据所述针对用户对象或所述用户组对象的访问控制策略对所述第三方用户进行访问控制;
其中,所述获取第三方LDAP服务器的用户及用户组信息,包括:
向所述第三方LDAP服务器发送用户及用户组信息的获取请求;
接收并存储所述第三方LDAP服务器返回的所述用户及用户组信息。
7.一种对第三方LDAP服务器用户的访问控制系统,其特征在于,包括:网关设备,第三方LDAP服务器和请求终端;其中,
所述第三方LDAP服务器被配置为,接收所述网关设备发送的用户及用户组信息的获取请求,向所述网关设备发送所述用户及用户组信息;
所述网关设备被配置为,根据所述第三方LDAP服务器的用户及用户组信息,建立相同结构的用户对象及用户组对象;
生成针对所述用户对象或所述用户组对象的访问控制策略;
当接收到所述请求终端发送的第三方用户的接入请求时,根据所述针对用户对象或所述用户组对象的访问控制策略对所述第三方用户进行访问控制。
CN201711173746.2A 2017-11-22 2017-11-22 网关设备、对第三方ldap服务器用户的访问控制方法及系统 Active CN107959674B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201711173746.2A CN107959674B (zh) 2017-11-22 2017-11-22 网关设备、对第三方ldap服务器用户的访问控制方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201711173746.2A CN107959674B (zh) 2017-11-22 2017-11-22 网关设备、对第三方ldap服务器用户的访问控制方法及系统

Publications (2)

Publication Number Publication Date
CN107959674A CN107959674A (zh) 2018-04-24
CN107959674B true CN107959674B (zh) 2021-03-05

Family

ID=61965138

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201711173746.2A Active CN107959674B (zh) 2017-11-22 2017-11-22 网关设备、对第三方ldap服务器用户的访问控制方法及系统

Country Status (1)

Country Link
CN (1) CN107959674B (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113098695B (zh) * 2021-04-21 2022-05-03 金陵科技学院 一种基于用户属性的微服务统一权限控制方法与系统

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1653783B (zh) * 2002-03-20 2010-06-16 捷讯研究有限公司 移动轻量密码目录访问的系统和方法
CN1946099A (zh) * 2006-10-20 2007-04-11 华为技术有限公司 电话本实现系统及获取电话本资源的方法
CN105978866B (zh) * 2016-04-28 2019-04-23 北京网康科技有限公司 一种用户访问控制的实现方法和系统、第三方用户服务器

Also Published As

Publication number Publication date
CN107959674A (zh) 2018-04-24

Similar Documents

Publication Publication Date Title
US11088903B2 (en) Hybrid cloud network configuration management
US10148493B1 (en) API gateway for network policy and configuration management with public cloud
US10778798B2 (en) Remote service access in a container management system
US11070488B2 (en) System and method to control a cross domain workflow based on a hierarchical engine framework
TWI473029B (zh) 可延伸及可程式化之多租戶服務結構
US10225133B2 (en) Management system for a control system, gateway device, server device, management method, gateway method, and management process execution method
CA2803839C (en) Online service access controls using scale out directory features
RU2683630C2 (ru) Способ обновления дескриптора сетевой службы nsd и устройство
EP2715971B1 (en) Automating cloud service reconnections
CN110287709A (zh) 用户操作权限控制方法、装置、设备及介质
US9021005B2 (en) System and method to provide remote device management for mobile virtualized platforms
EP3618352B1 (en) Virtual machine management
CN110519404B (zh) 一种基于sdn的策略管理方法、装置及电子设备
CN105138389A (zh) 一种集群中虚拟设备的管理方法及系统
CN106844111B (zh) 云存储网络文件系统的访问方法
JP5848339B2 (ja) プロビジョニングサービスのためのリーダーアービトレーション
CN109040337A (zh) 一种信息查询方法、边缘服务器及信息查询系统
CN110716787A (zh) 容器地址设置方法、设备和计算机可读存储介质
US20200127939A1 (en) Distributed database-driven resource management and locking in a cloud native mobile core network node architecture
CN114667513A (zh) 多租户提供商网络数据库连接管理和支配
CN112291298A (zh) 异构系统的数据传输方法、装置、计算机设备和存储介质
CN108462752B (zh) 一种访问共享网络的方法、系统及vpc管理设备以及可读存储介质
US9342291B1 (en) Distributed update service
CN105763545B (zh) 一种byod方法及装置
CN108366087B (zh) 一种基于分布式文件系统的iscsi服务实现方法和装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant