随着5G的崛起和各种智能终端的普及,云办公市场迎来了加速度增长期。
更灵活、高效的跨平台移动协同工作成为主流,企业地址簿作为企业协同工作的核心基础和触发统一通信以及其他相关业务的入口,重要性不言而喻。
现在,企业的地址录不仅仅是地址录。
图1是企业地址簿的条目概念。
地址簿核心技术LDAP
由于历史原因,各企业采用分门别类或其他不同标准实现了地址簿功能,这样造成网络中存在不同的地址簿系统服务,用户地址簿数据不一致。
为此,Open Mobile Alliance(OMA、提出了综合地址簿(CAB:Converged Address Book)的研究项目。它旨在形成一个统一的地址簿系统标准,所有用户和服务都可以共享地址簿。这将提高服务质量,提高用户体验。
地址簿的标准除了CAB之外,还有一种叫做RCS(Rich Communication Suite)的丰富通信标准。RCS也是由欧洲运营商设立的标准化团体,现在加入了GSM(注册商标)Assiciation(移动通信系统的世界协会)RCS主要由EAB(扩展地址簿)和NAB(网络地址簿)构成,RCS规定的地址簿标准是个人地址簿的标准。
EAB是本地分人地址簿系统的扩展,“NAB”在本地地址簿EAB中添加了网络功能。用户可以将本地创建的通讯簿EAB上传到网络。
虽然CAB和RCS定义了实施标准,例如定义了地址簿的数据模型,以及需要什么样的业务功能,但这是为个人地址簿定制的,不考虑企业地址簿的业务场景和安全性。
与协作的通讯簿业务有很大的不同,所以在研究企业的通讯簿时,不需要全部模仿这两个标准,而是根据实际使用的场合进行研究。
目前,很多企业的地址录主要采用LDAP实现ldquo;安全通信rdquo;介绍LDAP的结构和特征。
LDAP协议研究
“Lightweight Directory Access Protocol”是在美国诞生的轻量目录访问协议。
LDAP以优化查询速度、采用树型信息保存模式、分布式部署、访问控制的灵活性、开放性、可扩展性、易于开发等优点,成为目录访问的标准协议,广泛用于基础信息管理系统。
LDAP原理
LDAP协议有四种型号:。
信息模型:描述LDAP的信息表示方法。
【属性】
LDAP目录服务的存储基于条目。条目包含一组表示真实世界实体信息的属性。条目与属性之间的关系如下图所示。
图2:条目、属性和值之间的关系
【对象类】
现实世界中的实体可能具有相同或相似的特性,这些特性分为IDAP目录服务中的几个类。目录条目还包含一个重要属性,即对象类属性,它决定了哪些属性应包含哪些属性,哪些属性可能包含哪些属性。应包含的属性称为mandatory,可能包含的属性称为optional。
可以自定义对象类,该自定义对象类遵循继承机制,子类继承父类的所有强制属性和可选属性。对象类top是所有类的父类,即根,所有对象类都是从top类派生出来的。
top类定义了强制属性ldquo。object classrdquo。确保每个条目至少包含一个对象类,并且至少需要一个对象类才能添加到目录中。
【模式】
目录模式(Schema)由目录中的所有属性、对象类、语法和匹配规则定义的集合组成,Schema确定数据如何存储在目录中,并定义LDAP本身。
标准方案包括系统对象类、属性类型、语法、匹配规则等。这些系统Schema采用LDAP标准进行了规格化,可以看到LDAP的RFC文件。当然,也可以为每个行业定制模式。这类似于XML,但XML有一个标准定义,可以为每个行业定制DTD或DOM。
但是,为了今后的系统兼容性,建议在使用LDAP时尽量使用标准的Schema。
名称模型:描述LDAP数据是如何配置的。
LDAP中的所有条目都沿着分层模型存储,并具有称为目录树的分层结构。
要正确找到相应的对象,每个对象必须在DIT中具有唯一的标识符(Distinguished Name,DN)DN表示从DIT中对象的根目录名称到该对象所在的目录路径的完整路径。
此外,“相对区分名称”(Relative Distinguished Names,RDN,RDN)是DN的子集。DIT的顶级节点代表国家,如US和CN,其子节点可以是企业或州。
子节点可以表示特定的人或特定的资源,例如,以下DN可以用来标识图中的用户YANG:D:n=YANG,ou=CS,o=sict,c=Cn。
Cn表示一般名词,ou表示组织单位,o表示组织,C表示国家。
图3是目录信息树
功能模型:描述LDAP中的数据操作访问。
功能模型描述了LDAP服务支持的目录的所有操作。LDAP客户端与服务端交互如图4所示,主要支持三种操作:。
图4是客户端和服务交互的图。
【咨询作业】
客户机可以使用LDAP提供的查询接口,通过附加baseDN(查询起点)、scope(查询范围)、filter(过滤器)等相关参数进行查询。
【更改操作】
更改操作包括add、delete、modify,即添加、删除和修改操作。add和delete可以添加和删除目录条目,modify可以修改条目。
LDAP目录服务不支持transaction,但目录条目的修改工作是atomic,支持all-or-noting。
【认证作业】
LDAP有三个认证操作,一个是bind操作,用于初始化客户端和服务之间的会话,ubind用于结束会话,abandon操作用于客户端请求服务结束。
安全模型:描述LDAP的安全机制。
LDAP主要通过身份认证、安全通道和访问控制来实现安全机制。具体说明如下。
【身份认证】
当客户端程序想与服务端程序建立初始会话时,首先服务端必须对客户端进行身份认证。身份认证方式根据级别的不同有不同的认证方式。有明文密码验证方法和更安全的SASL(简单验证和安全层)机制加密会话。客户端程序可以选择适合自己需要的认证方法。
【安全通道】
在客户端程序和服务程序之间交换的数据在LDAP中以SSL/TLS的安全协议安全交换。SSL/TLS采用IKI信息安全技术,为发送中的数据提供完整性和机密性,还可以对客户端和服务端的标识信息进行双向认证。
【访问控制】
LDAP目录服务定义了一组访问控制规则,用于控制从不同实体到不同目录节点的访问,以保护敏感信息资源。
它是LDAP的特征
支持跨平台
LDAP数据库及其资源可以部署在Linux和Windows等各种平台上,也可以进行跨平台移植。
开源协议
用户开发时从其开源实现定制所需的模块,实现程序的通用性,也便于二次开发和后期维护。
LDAP服务器复制数据的方式多种多样,可以采用ldquo。推动;或ldquo;拉rdquo;,例如,LDAP服务器可以将用户数据推送到远程备份服务器以实现用户数据的备份。
优化读取操作
LDAP优化了读取操作,加快了读取速度。不需要频繁更新用户数据,但如果需要频繁读取,最好将其存储在LDAP中。
这也是使用LDAP存储用户信息的原因之一,用户一般只是读取自己的信息,很少修改自己的信息。
基于树结构的信息存储
LDAP根据树结构存储信息,并且可以体现成员的分层归属和简单属性。方便企业对全体员工的管理、组织和访问权限的控制,提高员工的访问速度。因此,LDAP非常适合存储地址簿。
在交流逐渐无界化的今天,LDAP提倡安全ldquo。紧箍咒rdquo;。企业通讯录作为企业内外统一通讯的ldquo,主干道rdquo安全性至关重要。基于LDAP设计的目录服务可为企业地址簿提供细粒度权限控制,确保沟通顺畅、安全放心。
关注【融云RongCloud】,了解更多干货。
文章评论