● 摘要
随着IT技术的不断进步,政府、高校及企事业单位的信息化建设得到了迅速发展与完善。用户管理与身份鉴别作为IT系统安全控制的第一步也就显得格外重要。但随着系统规模与种类的不断扩大,这种分散式的、零乱的用户管理与身份鉴别模块给信息化建设带来诸多的安全隐患,同时也让用户在使用众多的资源时感到异常复杂。经过对以上问题的研究与分析,本文确立的研究目标是:设计了一套适应于混合环境下的统一用户管理模型,将组织域内的用户身份信息(包括个人信息及对应资源信息)统一管理起来;并且为不同类资源(应用系统、Windows操作系统、Linux操作系统)设计了一个统一身份鉴别模型。使它们能够统一地从LDAP 目录中获取用户、机构、资源的信息,实现用户的统一管理与身份鉴别。论文首先介绍了统一用户管理模型的设计思路与设计方案,并分别对用户管理与身份鉴别模型做了详细分析与介绍。随后本论文研究了操作系统的身份鉴别模块的工作原理和流程。在Windows中,详细介绍了如何设计和编写MyGina DLL;对于Linux操作系统,本文研究了PAM与NSS的实现机制,对PAM身份鉴别模块进行功能扩展;对于应用系统,本文设计并实现了通用的用户访问与管理接口,并设计了一套统一的身份鉴别流程,简化了不同应用系统中身份鉴别模块的实现难度。最后,基于之前所构建的OpenLDAP目录服务,本文实现了一个统一用户管理与身份鉴别子系统,设计了一个通用的物理拓扑模型,并展示了如何通过Web方式使用和管理集中存储在目录服务中的所有安全资源,并具体设计并实现了操作系统与应用系统的身份鉴别模块,为单点登录提供了良好的支持。