LDAP目錄服務(wù)在PKI-PMI混合系統(tǒng)中的應(yīng)用研究.pdf

1、目錄服務(wù)系統(tǒng)在PKI中是作為證書和證書撤銷列表的發(fā)布倉庫存在的，直接地體現(xiàn)在對(duì)證書發(fā)布系統(tǒng) CA的支持上；目錄服務(wù)系統(tǒng)在PMI中是屬性證書、證書撤銷列表和權(quán)限控制策略的發(fā)布倉儲(chǔ)基礎(chǔ)設(shè)施。LDAP樹狀的信息管理模式適用于企業(yè)的人員組織結(jié)構(gòu)，對(duì)PKI中的身份認(rèn)證有較好的應(yīng)用。在PMI中，在企業(yè)組織結(jié)構(gòu)基礎(chǔ)上可以建立企業(yè)人員的授權(quán)和權(quán)限關(guān)系，但授權(quán)關(guān)系樹又不同于組織結(jié)構(gòu)樹。因?yàn)樵谄髽I(yè)中，除了基層職員，每個(gè)高管都有一個(gè)授權(quán)集，可以平級(jí)或向下級(jí)授

2、予權(quán)限，所以授權(quán)關(guān)系比組織結(jié)構(gòu)要復(fù)雜。
　　根據(jù)這個(gè)問題，本文提出了使企業(yè)人員的組織結(jié)構(gòu)和企業(yè)人員的授權(quán)關(guān)系在LDAP目錄樹的設(shè)計(jì)中體現(xiàn)，使組織結(jié)構(gòu)樹和授權(quán)關(guān)系樹能夠很好的融合的方法。我們的做法是使一個(gè)員工在企業(yè)人員授權(quán)樹狀結(jié)構(gòu)里可以在不同的分支里面出現(xiàn)多次，也就是給一個(gè)員工在LDAP目錄樹的不同位置上添加多個(gè)條目。
　　本文還進(jìn)一步提出了身份變更和權(quán)限變更造成 LDAP相關(guān)問題的處理方案。我們采用開源軟件 OpenLDAP