專(zhuān)利名稱(chēng):一種ldap用戶管理方法及其裝置的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及通信技術(shù)領(lǐng)域�,尤其涉及一種LDAP用戶管理方法及其裝置。
背景技術(shù):
LDAP (Lightweight Directory Access Protocol�,輕量目錄訪問(wèn)協(xié)議)是一種用來(lái)發(fā)布目錄信息到許多不同資源的協(xié)議。LDAP相當(dāng)于電話簿���,類(lèi)似于諸如NIS(NetWOrkInformation Service����,網(wǎng)絡(luò)信息服務(wù))��、DNS ((Domain Name Service�����,域名服務(wù))等網(wǎng)絡(luò)目錄�。LDAP是一個(gè)比關(guān)系數(shù)據(jù)庫(kù)抽象層次更高的存貯概念,與一般的數(shù)據(jù)庫(kù)不同���,LDAP對(duì)查詢進(jìn)行了優(yōu)化�����,與寫(xiě)性能相比LDAP的讀性能要優(yōu)秀很多�。LDAP目錄中可以存儲(chǔ)各種類(lèi)型的數(shù)據(jù),如����,電子郵件地址、郵件路由信息���、人力資源數(shù)據(jù)��、公用密匙�����、聯(lián)系人列表等等��。目前�,越來(lái)越多的企業(yè)應(yīng)用系統(tǒng)將LDAP作為用戶管理資源��,將其與自身應(yīng)用系統(tǒng)整合��,從而實(shí)現(xiàn)對(duì)LDAP用戶認(rèn)證統(tǒng)一管理�。圖1示出了目前所采用的LDAP用戶認(rèn)證流程�����。如圖1所示,在進(jìn)行認(rèn)證過(guò)程前���,需要根據(jù)配置策略將符合條件的用戶同步到應(yīng)用系統(tǒng)中���,配置策略一般是由同步范圍(比如同步某個(gè)OU或LDAP組)和過(guò)濾條件兩部分組成,即通過(guò)過(guò)濾條件將特定OU(Organizatic)n Unit,組織單元)或LDAP組的用戶同步到應(yīng)用系統(tǒng)中����,而后應(yīng)用系統(tǒng)根據(jù)同步到該系統(tǒng)中的用戶信息對(duì)發(fā)起請(qǐng)求的用戶進(jìn)行認(rèn)證。具體流程包括在應(yīng)用系統(tǒng)中配置同步策略��,同步策略設(shè)置包括范圍設(shè)置���,格式形如ou =sales, dc = test, dc = com(含義為限定組織單元為sales)���;過(guò)濾條件設(shè)置,格式形如(&(objectclass = *) (cn = xu*))(含義為僅同步xu姓用戶)����,將符合上述條件的用戶從LDAP服務(wù)器中導(dǎo)入到應(yīng)用系統(tǒng)。當(dāng)用戶端發(fā)起請(qǐng)求后(步驟101)�����,首先判斷該用戶在應(yīng)用系統(tǒng)中是否存在(步驟102),若不存在提示錯(cuò)誤(步驟103)���;若存在���,則將請(qǐng)求信息發(fā)送給LDAP服務(wù)器(步驟104)。LDAP服務(wù)器返回校驗(yàn)結(jié)果(步驟10 ���,若校驗(yàn)失敗提示錯(cuò)誤(步驟106)����,若校驗(yàn)成功提示認(rèn)證成功信息(步驟107)�����?����?梢钥闯?��,應(yīng)用系統(tǒng)根據(jù)配置策略將指定的LDAP用戶從LDAP服務(wù)器同步到系統(tǒng)中���,從而實(shí)現(xiàn)對(duì)LDAP用戶的統(tǒng)一認(rèn)證管理����。大部分情況下�����,配置策略所指定同步范圍內(nèi)的用戶僅個(gè)別用戶需要納入應(yīng)用系統(tǒng)進(jìn)行統(tǒng)一認(rèn)證管理�����,即����,不需要全部進(jìn)行LDAP認(rèn)證����,因此,并不需要統(tǒng)一認(rèn)證管理的用戶就浪費(fèi)了應(yīng)用系統(tǒng)的大量License (License即為許可證����,應(yīng)用系統(tǒng)通常通過(guò)License工具限定其所管理用戶的數(shù)量),并且也給應(yīng)用系統(tǒng)進(jìn)行用戶查詢�����、統(tǒng)計(jì)等操作帶來(lái)不便和查詢效率的降低。
發(fā)明內(nèi)容
本發(fā)明提供了一種LDAP用戶管理方法及其裝置��,用以節(jié)約應(yīng)用系統(tǒng)的License資源�����,并提高應(yīng)用系統(tǒng)用戶管理效率����。本發(fā)明提供的LDAP用戶管理方法,包括
應(yīng)用系統(tǒng)收到用戶認(rèn)證請(qǐng)求后��,判斷發(fā)起請(qǐng)求的用戶是否符合該應(yīng)用系統(tǒng)的用戶配置策略設(shè)置的條件�,并在判斷為符合的情況下請(qǐng)求LDAP服務(wù)器對(duì)該用戶進(jìn)行認(rèn)證;應(yīng)用系統(tǒng)在收到LDAP服務(wù)器返回的對(duì)該用戶認(rèn)證成功的信息后����,在自身未存儲(chǔ)有該用戶的信息以及自身的License不超限的情況下,將該用戶的信息添加到應(yīng)用系統(tǒng)中���,完成對(duì)所述用戶的認(rèn)證����。本發(fā)明提供的應(yīng)用服務(wù)器,包括接收模塊���,用于接收用戶認(rèn)證請(qǐng)求���;第一判斷模塊��,用于判斷發(fā)起請(qǐng)求的用戶是否符合該該應(yīng)用服務(wù)器所運(yùn)行的應(yīng)用系統(tǒng)的用戶配置策略設(shè)置的條件��;認(rèn)證模塊����,用于在所述第一判斷模塊判斷為所述用戶符合用戶配置策略設(shè)置的條件的情況下請(qǐng)求LDAP服務(wù)器對(duì)該用戶進(jìn)行認(rèn)證,并接收LDAP服務(wù)器返回的認(rèn)證結(jié)果����;第二判斷模塊,用于在收到LDAP服務(wù)器返回的對(duì)該用戶認(rèn)證成功的信息后����,判斷該應(yīng)用服務(wù)器所運(yùn)行的應(yīng)用系統(tǒng)是否存儲(chǔ)有該用戶的信息以及License是否超限;用戶管理模塊�����,用于在所述第二判斷模塊判斷應(yīng)用系統(tǒng)未存儲(chǔ)有該用戶的信息以及License不超限的情況下,將該用戶的信息添加到該應(yīng)用系統(tǒng)中��,完成對(duì)所述用戶的認(rèn)證����。本發(fā)明的有益技術(shù)效果包括本發(fā)明中,在有用戶發(fā)起認(rèn)證時(shí)����,首先判斷該用戶是否符合該用戶配置策略,并在符合的情況下再轉(zhuǎn)到LDAP服務(wù)器進(jìn)行認(rèn)證�,并在認(rèn)證成功且應(yīng)用系統(tǒng)的License不超限的情況下,才將該用戶導(dǎo)入到應(yīng)用系統(tǒng)中�����,從而在不超出應(yīng)用系統(tǒng)License數(shù)量限制的情況下�����,僅將有業(yè)務(wù)使用需求����、符合用戶配置策略且認(rèn)證成功的用戶導(dǎo)入應(yīng)用系統(tǒng)�����,而對(duì)于沒(méi)有業(yè)務(wù)需求的用戶則不事先將其導(dǎo)入應(yīng)用系統(tǒng)�,這樣���,與現(xiàn)有技術(shù)預(yù)先根據(jù)同步策略將大量用戶導(dǎo)入應(yīng)用系統(tǒng)相比����,減少了 License占用����,由于導(dǎo)入的用戶規(guī)模相對(duì)減小���,進(jìn)而提高了應(yīng)用系統(tǒng)進(jìn)行用戶查詢����、統(tǒng)計(jì)等操作的效率�。
圖1為現(xiàn)有技術(shù)中的LDAP用戶認(rèn)證流程示意圖;圖2為本發(fā)明實(shí)施例提供的用戶認(rèn)證流程示意圖�����;圖3為本發(fā)明實(shí)施例提供的應(yīng)用服務(wù)器的結(jié)構(gòu)示意圖。
具體實(shí)施例方式針對(duì)現(xiàn)有技術(shù)存在的問(wèn)題��,本發(fā)明實(shí)施例提出了一種按需管理LDAP用戶的實(shí)現(xiàn)方法���,從而達(dá)到減少License占用�����,提高管理效率的目的�。本發(fā)明實(shí)施例中��,需要在應(yīng)用系統(tǒng)中預(yù)先設(shè)置用戶配置策略��,只有符合該用戶配置策略的限定條件的用戶才有可能使用該應(yīng)用系統(tǒng)���。用戶配置策略的具體配置方法可同現(xiàn)有技術(shù)�。具體實(shí)施時(shí)�����,用戶配置策略可由用戶范圍(比如同步某個(gè)OU或LDAP組)和過(guò)濾條件兩部分組成�����,即只有該范圍內(nèi)的滿足該過(guò)濾條件的用戶才符合該用戶配置策略的要求。例如�����,用戶配置策略設(shè)置包括范圍設(shè)置�,格式形如ou = sales, dc = test, dc = com(含義為限定組織單元為sales);過(guò)濾條件設(shè)置���,格式形如(&(objectclass = *) (cn = xu*))(含義為僅限定XU姓用戶)�。與現(xiàn)有技術(shù)不同的是�,本發(fā)明實(shí)施例雖然預(yù)先在應(yīng)用系統(tǒng)中設(shè)置了用戶配置策略,但不會(huì)預(yù)先將用戶配置策略范圍內(nèi)的任何用戶導(dǎo)入到應(yīng)用系統(tǒng)中����,而是在有用戶發(fā)起認(rèn)證時(shí),在用戶通過(guò)LDAP認(rèn)證后才將其納入管理���。具體的,首先判斷該用戶是否符合該用戶配置策略��,并在符合的情況下再轉(zhuǎn)到LDAP服務(wù)器進(jìn)行認(rèn)證���,并在認(rèn)證成功且應(yīng)用系統(tǒng)的License不超限的情況下�,才將該用戶導(dǎo)入到應(yīng)用系統(tǒng)中,從而在不超出應(yīng)用系統(tǒng)License數(shù)量限制的情況下��,僅將有業(yè)務(wù)使用需求�、符合用戶配置策略且認(rèn)證成功的用戶導(dǎo)入應(yīng)用系統(tǒng),而對(duì)于沒(méi)有業(yè)務(wù)需求的用戶則不事先將其導(dǎo)入應(yīng)用系統(tǒng)���,這樣�,與現(xiàn)有技術(shù)預(yù)先根據(jù)同步策略將大量用戶導(dǎo)入應(yīng)用系統(tǒng)相比�����,減少了 License占用����,由于導(dǎo)入的用戶規(guī)模相對(duì)減小,進(jìn)而提高了應(yīng)用系統(tǒng)進(jìn)行用戶查詢�、統(tǒng)計(jì)等操作的效率。下面結(jié)合附圖2�,對(duì)上述認(rèn)證流程進(jìn)行詳細(xì)描述。如圖所示�����,該流程可包括以下步驟 201 211 步驟201�,用戶向應(yīng)用系統(tǒng)發(fā)起認(rèn)證請(qǐng)求�����。步驟202�,應(yīng)用系統(tǒng)接收到用戶發(fā)起的認(rèn)證請(qǐng)求后�����,判斷該用戶是否符合用戶配置策略設(shè)置的條件����,若符合,則轉(zhuǎn)入步驟204 ���;若不符合���,則轉(zhuǎn)入步驟203。具體實(shí)現(xiàn)時(shí)����,在應(yīng)用系統(tǒng)初始化的時(shí)候�����,可預(yù)先建立一臨時(shí)用戶表,并根據(jù)用戶配置策略�����,從LDAP服務(wù)器獲取符合該用戶配置策略設(shè)置的條件的用戶的帳號(hào)�,并將這些用戶帳號(hào)存儲(chǔ)到該用戶表中。該臨時(shí)表可獨(dú)立于應(yīng)用系統(tǒng)����,但可被應(yīng)用系統(tǒng)所訪問(wèn)??紤]到LDAP目錄的特點(diǎn),不同OU下可存在相同用戶名的用戶��,針對(duì)這種情況�����,上述用戶帳號(hào)不僅包含用戶標(biāo)識(shí)����、用戶名等信息,還要包含該用戶帳號(hào)的路徑信息�����,比如該用戶所屬的OU等信息。進(jìn)一步的��,考慮到LDAP目錄有可能更新的情況(比如部門(mén)調(diào)整����、新增用戶等),為了保證應(yīng)用系統(tǒng)中的該臨時(shí)用戶表中的數(shù)據(jù)與LDAP服務(wù)器同步�,應(yīng)用系統(tǒng)可根據(jù)設(shè)定時(shí)間或設(shè)定周期或系統(tǒng)管理員提交的同步指示,從LDAP服務(wù)器獲取符合用戶配置策略設(shè)置的條件的用戶的帳號(hào)��,以便更新該臨時(shí)用戶表中的用戶帳號(hào)��。LDAP服務(wù)器也可在LDAP目錄更新時(shí)��,向該應(yīng)用系統(tǒng)發(fā)送同步指示或提示信息��,以使應(yīng)用系統(tǒng)可及時(shí)根據(jù)該指示或提示信息進(jìn)行用戶帳號(hào)的同步�����。當(dāng)應(yīng)用系統(tǒng)在接收到用戶發(fā)起的認(rèn)證請(qǐng)求后�����,可從該請(qǐng)求中獲取該用戶的標(biāo)識(shí)或名稱(chēng)等用戶帳號(hào)信息�,然后判斷該用戶帳號(hào)是否存在于該臨時(shí)用戶表中,若存在�����,則表明該用戶符合該應(yīng)用系統(tǒng)的用戶配置策略設(shè)置的條件�,若不存在,則表明該用戶不符合該應(yīng)用系統(tǒng)的用戶配置策略設(shè)置的條件�����。步驟203��,用戶認(rèn)證失敗��,應(yīng)用系統(tǒng)提示錯(cuò)誤���,結(jié)束本次認(rèn)證流程���。步驟204,應(yīng)用系統(tǒng)將用戶認(rèn)證請(qǐng)求的相關(guān)信息發(fā)送給LDAP服務(wù)器���,由LDAP服務(wù)器對(duì)該用戶進(jìn)行認(rèn)證���。步驟205�����,LDAP服務(wù)器對(duì)該用戶進(jìn)行認(rèn)證后�����,向應(yīng)用系統(tǒng)返回認(rèn)證結(jié)果�����,如果認(rèn)證成功����,則轉(zhuǎn)入步驟207 ��;若認(rèn)證失敗����,則轉(zhuǎn)入步驟206。步驟206����,用戶認(rèn)證失敗�,應(yīng)用系統(tǒng)提示錯(cuò)誤�,結(jié)束本次認(rèn)證流程。步驟207����,應(yīng)用系統(tǒng)判斷該系統(tǒng)中是否已經(jīng)存在該用戶的信息(即該用戶是否已經(jīng)納入應(yīng)用系統(tǒng)的管理)���,若存在�����,則轉(zhuǎn)入步驟208 �;否則�,轉(zhuǎn)入步驟209。步驟208�,用戶認(rèn)證成功,應(yīng)用系統(tǒng)提示認(rèn)證成功��,結(jié)束本次認(rèn)證流程����。
6
步驟209,應(yīng)用系統(tǒng)判斷當(dāng)前的用戶數(shù)量是否已經(jīng)達(dá)到應(yīng)用系統(tǒng)的License管理上限�����,若還未達(dá)到,則轉(zhuǎn)入步驟211 ���;若已達(dá)到����,則轉(zhuǎn)入步驟210�����。步驟210���,應(yīng)用系統(tǒng)提示License錯(cuò)誤信息���,如License已經(jīng)超限,用戶認(rèn)證失敗���,結(jié)束本次認(rèn)證流程�����。步驟211�����,應(yīng)用系統(tǒng)將該用戶增加到應(yīng)用系統(tǒng)中���,結(jié)束本次認(rèn)證流程��。具體實(shí)施時(shí)�����,應(yīng)用系統(tǒng)可通過(guò)向LDAP服務(wù)器發(fā)起獲取該用戶的信息的請(qǐng)求,并接收LDAP服務(wù)器返回的該用戶信息�,從而從LDAP服務(wù)器獲取該用戶的信息,并將獲取到的用戶信息添加到應(yīng)用系統(tǒng)中���,將該用戶作為該應(yīng)用系統(tǒng)的合法用戶���。將該用戶增加到應(yīng)用系統(tǒng)中后,該用戶將占用一個(gè) License�。需要說(shuō)明的是,上述流程中的信息提示操作(如提示認(rèn)證成功����、提示認(rèn)證失敗���、提示License錯(cuò)誤等)為可選操作?��;谙嗤募夹g(shù)構(gòu)思���,本發(fā)明實(shí)施例還提供了一種運(yùn)行上述應(yīng)用系統(tǒng)的應(yīng)用服務(wù)
ο參見(jiàn)圖3,為本發(fā)明實(shí)施例提供的應(yīng)用服務(wù)器的結(jié)構(gòu)示意圖�,如圖所示,該應(yīng)用服務(wù)器可包括接收模塊301���,用于接收用戶認(rèn)證請(qǐng)求���;第一判斷模塊302,用于判斷發(fā)起請(qǐng)求的用戶是否符合該該應(yīng)用服務(wù)器所運(yùn)行的應(yīng)用系統(tǒng)的用戶配置策略設(shè)置的條件�;認(rèn)證模塊303,用于在第一判斷模塊302判斷為所述用戶符合用戶配置策略設(shè)置的條件的情況下請(qǐng)求LDAP服務(wù)器對(duì)該用戶進(jìn)行認(rèn)證�����,并接收LDAP服務(wù)器返回的認(rèn)證結(jié)果��;第二判斷模塊304�,用于在收到LDAP服務(wù)器返回的對(duì)該用戶認(rèn)證成功的信息后�,判斷該應(yīng)用服務(wù)器所運(yùn)行的應(yīng)用系統(tǒng)是否存儲(chǔ)有該用戶的信息以及License是否超限��;用戶管理模塊305���,用于在第二判斷模塊304判斷應(yīng)用系統(tǒng)未存儲(chǔ)有該用戶的信息以及License不超限的情況下���,將該用戶的信息添加到該應(yīng)用系統(tǒng)中,完成對(duì)所述用戶的認(rèn)證���。上述應(yīng)用服務(wù)器中�,還可包括用戶信息維護(hù)模塊306����。用戶信息維護(hù)模塊306可用于維護(hù)臨時(shí)用戶表����,所述臨時(shí)用戶表中包含應(yīng)用服務(wù)器從LDAP服務(wù)器獲取到的符合所述應(yīng)用系統(tǒng)的用戶配置策略設(shè)置的條件的用戶的帳號(hào)信息;相應(yīng)的��,第一判斷模塊302可從所述用戶認(rèn)證請(qǐng)求中獲取發(fā)起該請(qǐng)求的用戶的帳號(hào)�,判斷該用戶帳號(hào)是否存在于所述臨時(shí)用戶表中,若存在��,則該用戶符合該應(yīng)用系統(tǒng)的用戶配置策略設(shè)置的條件;否則���,該用戶不符合該應(yīng)用系統(tǒng)的用戶配置策略設(shè)置的條件���。上述應(yīng)用服務(wù)器中,用戶信息維護(hù)模塊306可在該應(yīng)用服務(wù)器或其中配置的應(yīng)用系統(tǒng)初始化時(shí)���,從LDAP服務(wù)器獲取符合用戶配置策略設(shè)置的條件的用戶的帳號(hào)信息����;以及����,在初始化完成之后,根據(jù)設(shè)定時(shí)間或設(shè)定周期或接收到的同步指示��,從LDAP服務(wù)器獲取符合該用戶配置策略設(shè)置的條件的用戶的帳號(hào)信息�����,并根據(jù)獲取到的用戶帳號(hào)信息更新所述臨時(shí)用戶表�����。上述應(yīng)用服務(wù)器中,認(rèn)證模塊303還用于���,若第一判斷模塊302判斷發(fā)起請(qǐng)求的用戶不符合用戶配置策略設(shè)置的條件��,則對(duì)所述用戶認(rèn)證失敗�����,并結(jié)束本次認(rèn)證�。
上述應(yīng)用服務(wù)器中���,用戶管理模塊305還用于���,若第二判斷模塊304判斷所述應(yīng)用系統(tǒng)已經(jīng)存儲(chǔ)有該用戶的信息,則對(duì)所述用戶認(rèn)證成功��,并結(jié)束本次認(rèn)證�����;若第二判斷模塊304判斷所述應(yīng)用系統(tǒng)的License超限�����,則對(duì)所述用戶認(rèn)證失敗���,并結(jié)束本次認(rèn)證�����。通過(guò)以上的實(shí)施方式的描述��,本領(lǐng)域的技術(shù)人員可以清楚地了解到本發(fā)明可借助軟件加必需的通用硬件平臺(tái)的方式來(lái)實(shí)現(xiàn)��,當(dāng)然也可以通過(guò)硬件���,但很多情況下前者是更佳的實(shí)施方式?��;谶@樣的理解�,本發(fā)明的技術(shù)方案本質(zhì)上或者說(shuō)對(duì)現(xiàn)有技術(shù)做出貢獻(xiàn)的部分可以以軟件產(chǎn)品的形式體現(xiàn)出來(lái)���,該計(jì)算機(jī)軟件產(chǎn)品存儲(chǔ)在一個(gè)存儲(chǔ)介質(zhì)中���,包括若干指令用以使得一臺(tái)終端設(shè)備(可以是手機(jī),個(gè)人計(jì)算機(jī),服務(wù)器�����,或者網(wǎng)絡(luò)設(shè)備等)執(zhí)行本發(fā)明各個(gè)實(shí)施例所述的方法�����。以上所述僅是本發(fā)明的優(yōu)選實(shí)施方式����,應(yīng)當(dāng)指出,對(duì)于本技術(shù)領(lǐng)域的普通技術(shù)人員來(lái)說(shuō)���,在不脫離本發(fā)明原理的前提下��,還可以做出若干改進(jìn)和潤(rùn)飾�����,這些改進(jìn)和潤(rùn)飾也應(yīng)視本發(fā)明的保護(hù)范圍�。
權(quán)利要求
1.一種輕量目錄訪問(wèn)協(xié)議LDAP用戶管理方法���,其特征在于,包括應(yīng)用系統(tǒng)收到用戶認(rèn)證請(qǐng)求后,判斷發(fā)起請(qǐng)求的用戶是否符合該應(yīng)用系統(tǒng)的用戶配置策略設(shè)置的條件���,并在判斷為符合的情況下請(qǐng)求LDAP服務(wù)器對(duì)該用戶進(jìn)行認(rèn)證��;應(yīng)用系統(tǒng)在收到LDAP服務(wù)器返回的對(duì)該用戶認(rèn)證成功的信息后����,在自身未存儲(chǔ)有該用戶的信息以及自身的License不超限的情況下����,將該用戶的信息添加到應(yīng)用系統(tǒng)中,完成對(duì)所述用戶的認(rèn)證�����。
2.如權(quán)利要求1所述的方法�����,其特征在于��,所述應(yīng)用系統(tǒng)中配置有臨時(shí)用戶表�,所述臨時(shí)用戶表中包含應(yīng)用系統(tǒng)從LDAP服務(wù)器獲取到的符合該應(yīng)用系統(tǒng)的用戶配置策略設(shè)置的條件的用戶的帳號(hào)信息;應(yīng)用系統(tǒng)判斷發(fā)起請(qǐng)求的用戶是否符合該應(yīng)用系統(tǒng)的配置策略設(shè)置的條件��,包括應(yīng)用系統(tǒng)從所述用戶認(rèn)證請(qǐng)求中獲取發(fā)起該請(qǐng)求的用戶的帳號(hào),判斷該用戶帳號(hào)是否存在于所述臨時(shí)用戶表中���,若存在����,則該用戶符合該應(yīng)用系統(tǒng)的用戶配置策略設(shè)置的條件;否則����,該用戶不符合該應(yīng)用系統(tǒng)的用戶配置策略設(shè)置的條件。
3.如權(quán)利要求2所述的方法���,其特征在于��,所述應(yīng)用系統(tǒng)在初始化時(shí)從LDAP服務(wù)器獲取符合該應(yīng)用系統(tǒng)的用戶配置策略設(shè)置的條件的用戶的帳號(hào)信息�,在初始化完成之后還包括所述應(yīng)用系統(tǒng)根據(jù)設(shè)定時(shí)間或設(shè)定周期或接收到的同步指示���,從LDAP服務(wù)器獲取符合該應(yīng)用系統(tǒng)的用戶配置策略設(shè)置的條件的用戶的帳號(hào)信息���,并根據(jù)獲取到的用戶帳號(hào)信息更新該應(yīng)用系統(tǒng)的所述臨時(shí)用戶表。
4.如權(quán)利要求1所述的方法�,其特征在于,還包括當(dāng)應(yīng)用系統(tǒng)判斷發(fā)起請(qǐng)求的用戶不符合用戶配置策略設(shè)置的條件時(shí)���,對(duì)所述用戶認(rèn)證失敗����,并結(jié)束本次認(rèn)證�。
5.如權(quán)利要求1所述的方法,其特征在于��,還包括當(dāng)應(yīng)用系統(tǒng)在收到LDAP服務(wù)器返回的對(duì)該用戶認(rèn)證成功的信息后�����,若判斷自身已經(jīng)存儲(chǔ)有該用戶的信息�����,則對(duì)所述用戶認(rèn)證成功�����,并結(jié)束本次認(rèn)證���;若判斷自身的License超限����,則對(duì)所述用戶認(rèn)證失敗,并結(jié)束本次認(rèn)證�。
6.一種應(yīng)用服務(wù)器,其特征在于����,包括接收模塊,用于接收用戶認(rèn)證請(qǐng)求��;第一判斷模塊��,用于判斷發(fā)起請(qǐng)求的用戶是否符合該該應(yīng)用服務(wù)器所運(yùn)行的應(yīng)用系統(tǒng)的用戶配置策略設(shè)置的條件���;認(rèn)證模塊�����,用于在所述第一判斷模塊判斷為所述用戶符合用戶配置策略設(shè)置的條件的情況下請(qǐng)求LDAP服務(wù)器對(duì)該用戶進(jìn)行認(rèn)證�,并接收LDAP服務(wù)器返回的認(rèn)證結(jié)果�;第二判斷模塊,用于在收到LDAP服務(wù)器返回的對(duì)該用戶認(rèn)證成功的信息后�����,判斷該應(yīng)用服務(wù)器所運(yùn)行的應(yīng)用系統(tǒng)是否存儲(chǔ)有該用戶的信息以及License是否超限��;用戶管理模塊,用于在所述第二判斷模塊判斷應(yīng)用系統(tǒng)未存儲(chǔ)有該用戶的信息以及License不超限的情況下�,將該用戶的信息添加到該應(yīng)用系統(tǒng)中,完成對(duì)所述用戶的認(rèn)證�。
7.如權(quán)利要求6所述的應(yīng)用服務(wù)器,其特征在于���,還包括用戶信息維護(hù)模塊;所述用戶信息維護(hù)模塊����,用于維護(hù)臨時(shí)用戶表,所述臨時(shí)用戶表中包含應(yīng)用服務(wù)器從LDAP服務(wù)器獲取到的符合所述應(yīng)用系統(tǒng)的用戶配置策略設(shè)置的條件的用戶的帳號(hào)信息��;所述第一判斷模塊具體用于�����,從所述用戶認(rèn)證請(qǐng)求中獲取發(fā)起該請(qǐng)求的用戶的帳號(hào)�,判斷該用戶帳號(hào)是否存在于所述臨時(shí)用戶表中,若存在���,則該用戶符合該應(yīng)用系統(tǒng)的用戶配置策略設(shè)置的條件�����;否則�����,該用戶不符合該應(yīng)用系統(tǒng)的用戶配置策略設(shè)置的條件�����。
8.如權(quán)利要求7所述的應(yīng)用服務(wù)器����,其特征在于,所述用戶信息維護(hù)模塊具體用于�,在初始化時(shí)從LDAP服務(wù)器獲取符合用戶配置策略設(shè)置的條件的用戶的帳號(hào)信息;以及�,在初始化完成之后,根據(jù)設(shè)定時(shí)間或設(shè)定周期或接收到的同步指示����,從LDAP服務(wù)器獲取符合用戶配置策略設(shè)置的條件的用戶的帳號(hào)信息,并根據(jù)獲取到的用戶帳號(hào)信息更新所述臨時(shí)用戶表���。
9.如權(quán)利要求6所述的應(yīng)用服務(wù)器����,其特征在于,所述認(rèn)證模塊還用于��,若所述第一判斷模塊判斷發(fā)起請(qǐng)求的用戶不符合用戶配置策略設(shè)置的條件��,則對(duì)所述用戶認(rèn)證失敗�,并結(jié)束本次認(rèn)證。
10.如權(quán)利要求6所述的應(yīng)用服務(wù)器����,其特征在于����,所述用戶管理模塊還用于,若所述第二判斷模塊判斷所述應(yīng)用系統(tǒng)已經(jīng)存儲(chǔ)有該用戶的信息��,則對(duì)所述用戶認(rèn)證成功�����,并結(jié)束本次認(rèn)證��;若所述第二判斷模塊判斷所述應(yīng)用系統(tǒng)的License超限�,則對(duì)所述用戶認(rèn)證失敗,并結(jié)束本次認(rèn)證。
全文摘要
本發(fā)明公開(kāi)了一種LDAP用戶管理方法及其裝置��,該方法包括應(yīng)用系統(tǒng)收到用戶認(rèn)證請(qǐng)求后��,判斷發(fā)起請(qǐng)求的用戶是否符合該應(yīng)用系統(tǒng)的用戶配置策略設(shè)置的條件���,并在判斷為符合的情況下請(qǐng)求LDAP服務(wù)器對(duì)該用戶進(jìn)行認(rèn)證�����;應(yīng)用系統(tǒng)在收到LDAP服務(wù)器返回的對(duì)該用戶認(rèn)證成功的信息后��,在自身未存儲(chǔ)有該用戶的信息以及自身的License不超限的情況下����,將該用戶的信息添加到應(yīng)用系統(tǒng)中�����,完成對(duì)所述用戶的認(rèn)證�。采用本發(fā)明可提高應(yīng)用系統(tǒng)用戶管理效率。
文檔編號(hào)H04L29/06GK102368762SQ20111016734
公開(kāi)日2012年3月7日 申請(qǐng)日期2011年6月21日 優(yōu)先權(quán)日2011年6月21日
發(fā)明者許文雨 申請(qǐng)人:杭州華三通信技術(shù)有限公司