2024年4月1日发(作者:)
维普资讯
第6卷第4期
。。。。。 00000‘ 。。。-・●。。。。。。。。_______。●_。_。_____--。__。______-
。 __。.._____-_。-__________ ——
南京师范大学学报(工程技术版)
JOURNAL OF NANJING NORMAL UNIVERSITY(ENGINEERING AND TECHNOLOGY EDITION)
—— ______-——————————_J——————
Vo1
6 N0,4
.
Dec
2006
,
,
WebSphere与Domino在多目录环境下
单点登录的实现
袁桂霞,杨季文
(苏州大学计算机科学与技术学院,江苏苏州215006)
[摘要] 实现WebSphere与Domino的单点登录,可以有效地简化用户的使用难度和管理的复杂程度.简要介绍了在单目
录条件下实现WebSphere与Domino单点登录的基本原理,讨论了企业多目录和多用户身份的实际情况,分析了由此产生的
单点登录问题,探讨了WebSphere与Domino分别采用第三方LDAP的可能性与解决多目录问题的方法.并结合实例分析了
多用户身份情况下单点登录失败的主要原因,利用“名称映射”方法解决T ̄ffJP身份情况单点登录的难题.在某企业的实
际应用表明该方法具有可行性.
[关键词] 单点登录,多目录环境,WebSphere,Lotu8 Domin0
[中图分类号]TP393[文献标识码]B [文章编号]1672.1292(2006)04-0075-04
Implementation of SSO Between WebSphere and Domino
in Multi-Directory Environment
YUAN Guixia,YANG Jiwen
(School of Computer Science and Technology,Sooehow University,Suzhou 215006,China)
Abstract:Single Sign—-on between WebSphere and Domino can lessen difficulty for users and complexity for manage--
ment.This paper introduces the principle of Single Sign—on between WebSphere and Domino in a single directory。an—
alyses the major problem of Single Sign—on which is caused by multi-directory and multi—identity in the enterprise,
studyies the possibility of WebSphere and Domino using the third party LDAP and studies how to settle the problem of
multi-diectrory.It analyses the real mason of the failure of Single Sign—on based on examples and settles the problem
of Single Sign—on by‘name mapping’in the case of multi-identity.The possibility of the method has been validated
by the actual application in an enterprise.
Key words:Single Sign—on,multi—directory,webSphere,lotus domino
0引言
WebSphere是IBM公司优秀的企业级软件平台,提供了包括应用服务器、企业门户、无线应用、业务整
合等多个方面的产品,是J2EE技术路线中优秀的企业应用平台.WebSphere Application Server是核心Web
服务和J2EE认证的应用程序服务器,它启用了业界领先的服务质量和一系列灵活的部署配置来满足单
机的、多服务器分布式的和高度动态的非集中分布式企业环境的需要….
Lotus Domino是一套得到广泛应用的群件系统,它集成了多项高尖端技术,包括通讯(Communica—
tion)、群件合作(Collaboration)和对等协调(Coordination)这3大支柱功能 .Louts Domino可以作为优秀
的基础通信平台,提供企业级邮件、目录服务,可以作为基础工作流引擎,与Lotus QuickPlace、Domino
Workflow等系统协同工作,高效灵活地制定工作流.
WebSphere是一个建立、管理并配置Web应用的大型软件产品,可以配置和管理从简单Web站点直
至基于web复杂的企业业务和电子商务系统.它侧重于对结构化数据的管理和电子商务的业务处理.而
收稿日期:2006-07-20.
作者简介:袁桂霞(1978一),女,硕士研究生,助教,主要从事中文信息处理、远程教育等方面的教学与研究.E—mail:yuangx@j8tvu.edu.cn
通讯联系人:杨季文(1963-),教授。主要从事中文信息处理等方面的教学与研究.E—mail:jwyang@suda.edu.cn
一
75—
维普资讯
南京师范大学学报(工程技术版) 第6卷第4期(2006年)
LtOu Domi 0作为企业级通讯和Web开发平台,具有强大的集成、协作、消息传递和工作流等功能,它侧重
于通过文档型数据库获取半结构化和非结构化数据,在电子政务、办公自动化等领域应用广泛.企业常常
通过集成这两者的优势功能,把WebSphere强劲的事务处理能力与Domin0领先的协作功能紧密集成,为
企业提供强大、稳定而全面的信息平台.
1 问题的提出与初步解决
由于W bSph re和Domin0的强大功能,企业中存在众多基于此的应用系统.如基于Domino开发的邮
件系统、OA系统,基于websphere开发的电子商务系统、企业门户系统等.在这种情况下,一般每个应用系
统都有安全认证系统,常采用独立的用户认证模块,在各自的数据库中进行用户认证.但这种用户认证模
式特别是较多系统同时使用时存在诸多不足之处 :用户需要记忆多个系统用户名和密码;各系统均需
要存储用户信息,造成大量数据冗余;每个系统均需开发用户认证模块,重复开发且重用率低.在这种情况
下,使用单点登录(Single Sign.on,SSO)技术便可解决上述问题.所谓单点登录,意味着当用户从・个应用
程序切换到另一个应用程序时,不再被提示要求输入用户名和密码(或证书),而这些应用程序可以放置
在一个或者多个服务器上 ].简言之,用户只需要在某个网络域中进行一次身份认证,随后该用户便可访
问该域中被授权的所有网络资源,而不需要再次主动或被动地参与身份认证的过程.相对于传统的用户登
录方式,单点登录的益处是显而易见的:用户仅需记忆一个用户名密码,一次登录全网漫游;减轻了系统数
据冗余和管理员管理工作量;多个系统可重复使用登录模块,既减轻开发工作量叉切实提高了系统的安全
性.
WebSphere和Lotus Domino之间的单点登录是通过一种称为轻量级第三方认证(Lightweight Third
Party Authentication,LTPA)的机制来实现的.LTPA是一种应用在WebSphere和Lotus Domino以及其他
IBM系列产品的认证技术 ],一般LTPA在LDAP(Lightweight Directory Access Protocol轻量级目录访问协
议)支持下,采用Domain cookie方式实现.当用户第一次访问WebSphere或者Domino的受限资源时,服务
器要求用户输入用户名和密码.系统在LDAP服务器中进行搜索,若验证成功,则服务器返回一个cookie,
该cookie中除了含有一般cookie都包含的名称、到期时间、所属域、传输加密协议外,在cookie值部分存储
了加密的LTPA标记.LTPA标记中包含了唯一标识用户ID信息、强制的LTPA过期时间和用于确认标记
的数字签名,结构如图1所示.
名 到期 所属 SSL LTPA标记(加密信息)
称 时间 域 传输 用户ID 强制过期时间 数字签名
圈1含有LTPA加密信息的cookie
当再次访问同一域中的其它服务器的受限制信息时,浏览器将向服务器发送含有加密LTPA标记的
cookie.服务器对加密的LTPA标记进行解密,若LTPA标记中表明用户已经通过认证,则省略验证过程,从
而实现在WebSphere、Lotus Domino或其它IBM产品之间的单点登录.
2多目录环境下的单点登录实现
利用上面介绍的单点登录方式,可以在理想的单目录环
境下(即利用Domino提供LDAP服务)对两者设置单点登
录.基本步骤是在WebSphere App Server设置LDAP和LT.
PA,并启用全局安全性,导出LTAP密钥.在Domino中设置
服务器文档,确定单点登录域,并导入LTPA密钥 .利用
Domino提供LDAP服务的原理如图2所示.
尽管企业的最终目标是建立一个统一的包含所有企业
用户以及相关资源的单一目录,但在实际情况下,企业可能
会拥有至少两个甚至更多的目录.造成这种情况最主要的原
一
图2单目录环境下的单点登隶实现机制
76一
维普资讯
袁桂霞,等:WebSphere与Domino在多目录环境下单点登录的实现
因是,企业的不同应用系统有不同的目录要求.如IBM产品常默
认集成IBM Directory Server,而微软公司则在微软产品支持的系
统和企业域管理中应用Active Directory.而在大中型企业中,Lo.
tus Domino常常是企业级别邮件系统的首选工具,在院校科研机
构还经常使用开源的目录产品如OpenLDAP等.在多目录并存
的情况下,Domino一般仅处于邮件服务器或Web服务器的角
色,企业的基础目录服务器由非Domino的其它LDAP服务器承
担.相比于理想的单目录情况,多目录情况下对WebSphere和
Domino单点登录的难度更大,同时也更加具有实用意义.多目录
环境下,一般会将WebSphere与Domino设置成共同使用第三方
LDAP实现单点登录,其原理如图3所示.
圈3 多目录环境下的单点登景实现机制
(1)WebSphere对非Domino目录服务器的支持.WebSphere对于目录服务的支持程度较高,符合
LDAP标准的目录服务器均可直接配置,如IBM的IBM Directory Servel、Microsoft的Active Directoy等,r配
置界面如图4所示.
(2)Domino对第三方LDAP目录服务的支持.Domino除自身可提供LDAP服务,同时也可通过建立
并配置Directory Assistance数据库,利用第三方的LDAP进行用户身份认证,基本步骤为:
①建立一个以da50.ntf为模板的数据库,如da.nsf.
②在da.nsf数据库中增加一个Directory Assistance条目并进行相关配置,如图5所示.
③在names.nsf的用户目录中加上da.nsf数据库,并进行配置.
阻 J
蔗 ̄1-11用产拇坍
艉-薯用产密珥
∞f‘w器鲥n ,ou- I。 n口 de-som
定f_I l
1 {
j
et .jDe
籀臻5 竹用
田与晨鲁 拇 相应的密珥。
Ⅲ叠 矗的Ln^P曩’量柏典越.
匝柑窟Lo^P■●●童机毒.
∞措麾 晨●■■口.
主机
簟口
meW
I 恤ec 、
●| ’霄害诈(0N) 0^c ¨1tD
Drecm
窟●育毫件《ON) d b v
m {
1。
dc ̄¥or }
,
竿器 笛 譬
船 嚣器哪 雠 n
田血脆序晨●一用千螂主 ■l喱 蝇毫密四 ………■
圈4 WebSphere中设置第三方LDAP认证 圈5 Domino中设置第三方LDAP认证
在WebSphere和Domino同时设置了第三方LDAP,并进行LTPA的导入后,重启服务器,即可完成两
者基于第三方LDAP的单点登录.
3多用户身份的问题讨论
多目录环境下可以通过启用Domino的Di-
rectoyr Assistance(简称DA),利用第三方LDAP
服务器为WebSphere和Domino进行单点登录认
证,但随之而来会带来一个多用户身份的问题.如
用户张三,在微软Active Directory中,其身份信息
如表1如示.
字段
dn
Cn
裹1 AD的身份信息
值
cn=zhangsan。OU=Nanjing,dc somecompany,dc=COi'll
zhangsan
裹2 Domino中的用户信息
User Name
Short Name
zhangsan/Nanjing/somecompany
zhangsan
但在Domino服务器中,对应的标识如表2所示.
当用户zhangsan首先登录基于WebSphere应用时,WebSphere会从LDAP中获取到他完整的DN,并
建立IITPA cookie.当zhangsan试图使用Domino服务器上的Web应用时,由于Domino已经配置了Directo—
yr Assistance,因此可以在Active Directory中检索到zhangsan的信息,允许其访问Domino应用.但当zhang—
san访问其在Domino服务器上的邮件文件时,问题出现了.由于邮件文件的ACL中所列出的标识是zhan-
gsan/Nanjing/somecompany.对于Domino而言,无从了解CB=zhangsan,OU=Nanjing,dc=somecompany,dc
=COB与zhangsan/Nanjing/somecompany是同一个用户,因此Domino拒绝其对邮件文件的访问,单点登录
一
77—
维普资讯
南京师范大学学报(工程技术版) 第6卷第4期(2006年)
失败.
在Domino 6.0及其更高版可以启用名称映射的方式,检查两个目录中的Internet地址是否匹配来解
决这个问题,即DA检查LDAP目录中的mail信息与Domino Directory中的Internet Address属性是否匹
配.以张三为例,其信息如表3所示.
表3用户信息对比
LDAP目录中的属性
mail:zhangsan@nanjing.somecompany.corn
Domino Directory中的属性
Internet Address:zhangsan@nanjing.somecompany.corn
这样当zhangsan试图访问其邮件文件时,DA会向LDAP服务器发送搜索请求:
BaseDN:OH=Nanjing,dc=somecompany,dc=com
Filter:cn=zhangsan
attrs to retum:”mail”
LDAP服务器返回搜索结果:mail=zhangsan@nanjing.somecompany.com,这是Domino与zhangsan邮
件文件对应的zhangsan/Nanjing/somecompany的个人文档中的InternetAddress属性值进行对比,两者匹
配.这样就成功地进行了从LDAP名称到Domino名称的映射,Domino允许zhangsan访问其邮件文件,单
点登录成功.
4小结
利用上述方法,在一个同时使用微软Active Directory和Lotus Domino目录的企业中,可以实现基于
WebSphere应用服务器的知识管理系统和基于Domino的邮件系统的单点登录问题,既保护了企业前期的
IrI’投资和基本架构,又满足了用户、管理员和开发人员的不同要求,取得了良好的效果.可供类似场景下
的管理员和开发人员借鉴使用.
[参考文献](References)
[1]WebSphere Application Server:Overview[EB/OL].[2005-02-01].http://www一128.ibm.com/developerworks/cn/web-
sphere/zones/waa/bigpicture.htm1.
[2]NIELSEN SOREN PETER,BARTLETF MIKE,ERNST ERIC,et 1a.Domino and WebSphere Together[M].2nd ed.New
York:IBM Press,2001:109.
[3]张颖江,郑秋华,李腊元,等.单次登录技术分析及集中身份认证平台设计[J].武汉理工大学学报:交通科学与工程
版,2004,28(2):241—243.
ZHANG Yingjiang,ZHENG Qiuhua,LI Layuan.Analysis of single sign-on technique and desin ofg centrla authentication plat-
form[J].Journal of Wuhan University of Technology:Transportation Science and Engineeirng,2004,28(2):241—243.(in
Chinese)
[4]靳芬,秦肖臻,王卓,等.用JSP创建基于WebSphere的Domino Web应用[J].微机发展,2004,14(10):17—20.
JIN Fen,QIN Xiaozhen,WANG Zhuo,et.a1.Design domino web application using JSP based on websphere[J].Micmcom—
puter Development。2004,14(10):17 20.(in Chinese)
[5]吴沽明,杨轶鑫,等.基于Portal的统一身份认证系统研究与开发[J].航空计算技术,2004,34(4):88—91.
WU Jieming,YANG Yixin.Research and development of unified identity authentication system based on portl[J].Aeraonau.
tical Computer Technique,2004,34(4):88—91.(in Chinese)
[责任编辑:刘健]
一
78一
发布者:admin,转转请注明出处:http://www.yc00.com/news/1711911890a1976423.html
评论列表(0条)