高可用LDAP校园网统一身份认证设计与实现.docxVIP

?

?

高可用LDAP校园网统一身份认证设计与实现

?

?

倪叶青

摘要：高校数字化校园网建设中，通过OpenLDAP实现用户信息、身份的统一存储、检索是统一身份认证的常见场景。由于高校用户数量多，用户并发数较大，需要考虑通过OpenLDAP的syncrepl同步机制实现数据统一，辅以相应acl安全设置，搭配前端nginx负载均衡等设备实现校园统一身份认证的高可用性服务。

Abstract：Intheconstructionofdigitalcampusnetworkincollegesanduniversities，theunifiedstorageandretrievalofuserinformationandidentitythroughOpenLDAPisacommonscenarioforunifiedidentityauthentication.Duetothelargenumberofcollegeusersandthelargenumberofconcurrentusers，itisnecessarytoconsidertorealizedatasynchronizationthroughthesyncreplsynchronizationmechanismofOpenLDAP，supplementedbythecorrespondingaclsecuritysettings，andrealizethehigh-availabilityserviceforcampusunifiedidentityauthenticationwithdevicessuchasfront-endnginxloadbalancing.

关键词：OpenLDAP;高可用;syncrepl;负载均衡

Keywords：OpenLDAP;highavailability;syncrepl;loadbalancing

：TP202????????????????????：A?????????????????：1006-4311（2019）35-0284-03

0?引言

在目前高校数字化校园网建设中，统一身份认证已经成为了必不可少的基础服务之一，实现用户信息、密码、身份的统一存储、统一检索、统一管理是统一身份认证的基本功能要求。使用轻量目录访问协议（LDAP：LightDirectoryAccessProtocol）产品提供的目录服务实现统一身份认证服务是大家的常用选择，而OpenLDAP就是其中之一。

1?OpenLDAP簡介

LDAP是由密歇根大学研发的一种的目录访问协议，其中数据以对象（Object）目录方式组织，对象由可视为键、值对映射关系的属性（attribute）信息组成。LDAP服务具有远高于关系数据库的数据查询性能，但写入性能较差，修改操作也不支持事务机制，所以LDAP服务更适合具有大量数据读取、查询操作，而写操作较少的业务场景。

LDAP具有X.500和LDAP两个标准，其典型产品包括OpenLDAP、MicroSoftAD，ApacheDS等;其中OpenLDAP是一种基于X.500标准并支持TCP/IP网络协议的开源软件实现。

目前OpenLDAP2.4默认后端服务器已经修改为MDB（Memory-MappedDatabase，内存映射数据库），用户也可使用传统的BerkeleyDB，甚至Mysql等传统关系数据库。其支持的操作主要有查询操作（ldapsearch），更新操作（ldapupdate），增加操作（ldapadd），删除操作（ldapdelte）等。

在OpenLDAP2.4版本中，默认支持配置数据库（cn=config）进行动态配置，也可通过传统的配置（slapd.conf）文件方式进行配置。

2?OpenLDAP同步模式

OpenLDAP目前采用syncrepl作为同步复制引擎。Syncrepl以slapd线程形式常驻消费者进程中，使消费者LDAP服务器保持有DIT片段（目录信息树）影子拷贝，使用LDAP内容同步协议（LDAPContentSynchronizationprotocol）作为服务器之间数据传输协议定期或根据更新下拉目录树内容来保持LDAP数据的同步。

LDAP内容同步协议（RFC4533）采用refreshOnly（刷新）和refreshAndPersist（刷新并保持）两种同步机制，两种同步机制均由客户端