LDAP目錄服務在PKI-PMI混合系統(tǒng)中的應用研究.pdf

1、目錄服務系統(tǒng)在PKI中是作為證書和證書撤銷列表的發(fā)布倉庫存在的，直接地體現(xiàn)在對證書發(fā)布系統(tǒng) CA的支持上；目錄服務系統(tǒng)在PMI中是屬性證書、證書撤銷列表和權(quán)限控制策略的發(fā)布倉儲基礎設施。LDAP樹狀的信息管理模式適用于企業(yè)的人員組織結(jié)構(gòu)，對PKI中的身份認證有較好的應用。在PMI中，在企業(yè)組織結(jié)構(gòu)基礎上可以建立企業(yè)人員的授權(quán)和權(quán)限關系，但授權(quán)關系樹又不同于組織結(jié)構(gòu)樹。因為在企業(yè)中，除了基層職員，每個高管都有一個授權(quán)集，可以平級或向下級授

2、予權(quán)限，所以授權(quán)關系比組織結(jié)構(gòu)要復雜。
　　根據(jù)這個問題，本文提出了使企業(yè)人員的組織結(jié)構(gòu)和企業(yè)人員的授權(quán)關系在LDAP目錄樹的設計中體現(xiàn)，使組織結(jié)構(gòu)樹和授權(quán)關系樹能夠很好的融合的方法。我們的做法是使一個員工在企業(yè)人員授權(quán)樹狀結(jié)構(gòu)里可以在不同的分支里面出現(xiàn)多次，也就是給一個員工在LDAP目錄樹的不同位置上添加多個條目。
　　本文還進一步提出了身份變更和權(quán)限變更造成 LDAP相關問題的處理方案。我們采用開源軟件 OpenLDAP