一種基于輕型目錄訪問協議(ldap)的it系統管理方法

專利名稱：一種基于輕型目錄訪問協議(ldap)的it系統管理方法
技術領域：
本發明IT系統運維管理技術領域，尤其涉及一種基于輕型目錄訪問協議(以下簡稱LDAP)的IT系統管理方法。
背景技術：
當今企業的多數業務都已基于IT系統運轉，保證運維管理系統的良好運作是企業穩定運營的基礎之一。但由于大中型企業和機構的組織龐雜、人員眾多且對IT系統依賴性越來越強，導致運維系統的壓力與日俱增。自助服務臺能更好地促進業務部門和IT部門的溝通，提供除傳統的電話、郵件溝 通方式之外的另一種提交方式。業務部門用戶可在自助服務臺親自錄入請求，避免因電話中描述不清而造成的描述偏差，提高了工作效率。也可跟蹤自己所報事故的處理情況，在請求處理完畢后，對處理結果做出滿意度反饋，督促運維人員不斷提高服務質量。雖然IT部門人數有限，但自助服務臺卻承載著大量的業務系統用戶。通常的做法是在運維系統中維護業務系統用戶信息，登錄自助服務臺時，使用運維系統中的權限進行驗證，驗證通過即可登錄系統、提交請求。這種傳統方式存在著若干弊端I)添加人員信息到運維系統中，耗費了許多數據采集及錄入時間。并且隨著人員數量的增長，出錯的幾率也在增加。2)組織機構及人員的變動隨時可能發生，這就使得大量人員信息的同步工作變得十分困難，無形中增加了后期的維護成本。3)遇到并發用戶訪問量較大的情況，大量的用戶會對整個運維系統造成較大負荷。這時企業只有兩個選擇，錯峰訪問或對系統軟硬件進行升級。前者會造成使用上的不便，后者大幅提聞了系統維護的成本。

發明內容
鑒于現有技術的缺陷，本發明提供一種基于輕型目錄訪問協議(LDAP)的IT系統管理方法，其特征在于包括如下步驟步驟一、配置用于獲取LDAP用戶信息所需訪問的LDAP服務器主機、端口、驗證方式；步驟二、設置連接LDAP服務器所需的用戶信息的基準節點、以及連接LDAP服務器所需的用戶名、密碼；步驟三、配置自助服務臺系統中的用戶信息與LDAP中用戶屬性的映射關系；步驟四、用戶在自助服務臺輸入用戶登錄名及密碼后，通過LDAP系統校驗用戶是否具有登錄權限；步驟五、若LDAP校驗通過，則創建查詢控制器，將已配置的映射關系傳入LDAP查詢控制器，并將用戶登錄名作為相對唯一可區分名稱置入查詢控制器；
步驟六、通過設置的LDAP基準節點及封裝后的查詢控制器訪問LDAP，獲得用戶完整的可區分名稱(DN)；步驟七、通過獲取到的DN進一步查詢LDAP中的該用戶信息；步驟八、使用系統預置的隱藏賬戶登錄系統，將LDAP信息作為用戶屬性置入隱藏用戶，進而通過自動服務臺處理請求。進一步，所述的基于輕型目錄訪問協議(LDAP)的IT系統管理方法，其特征在于在自助服務臺系統中預先初始化一個內置用戶，將所述LDAP用戶信息作為屬性封裝入內置用戶實體，并使用該內置用戶登錄自助服務臺。進一步，所述的基于輕型目錄訪問協議(LDAP)的IT系統管理方法，其特征在于登錄自助服務臺系統后，通過程序判斷用戶實體是否包含LDAP用戶屬性，若包含則證明當前用戶是基于LDAP進行的登錄。 進一步，所述的基于輕型目錄訪問協議(LDAP)的IT系統管理方法，其特征在于所述用戶信息是實時從LDAP服務器獲取的。 進一步，所述的基于輕型目錄訪問協議(LDAP)的IT系統管理方法，其特征將LDAP用戶屬性中的唯一標識(通常為CN)作為提出人用戶ID保存至工單的隱藏域。本發明減少維護大批量人員信息至自助服務臺系統的工作量，在人員變更時能夠做到數據的實時同步。與傳統處理方式相比，本發明的不同之處在于不在自助服務臺系統中維護用戶信息，同導入用戶數據相比，減少了后期維護的成本。用戶信息實時從LDAP獲取，保證了數據同步的實時性。使用內置賬戶登錄，遇到大用戶并發量的情況，由于所有用戶均使用內置用戶一人登錄，直接查詢該用戶信息獲取相關權限，大大降低了數據庫的大數據量操作，從而使得自助服務臺系統的負載大幅降低，從而提高運維系統的穩定性。


圖I是本發明基于輕型目錄訪問協議(LDAP)的IT系統管理方法中設置LDAP服務器的流程圖；圖2是本發明基于輕型目錄訪問協議(LDAP)的IT系統管理方法中LDAP用戶登錄自助服務臺系統的流程圖。
具體實施例方式為使本發明的上述目的、特征和優點更加明顯易懂，下面結合附圖和具體實施方式
對本發明作進一步詳細的說明。由于本發明的實現方式基于與LDAP系統的集成，登錄驗證及用戶信息的獲取均需訪問輕型目錄訪問協議LDAP (Lightweight Directory Access Protocol)服務器。故應先對LDAP服務器信息進行設置。圖I是本發明基于輕型目錄訪問協議(LDAP)的IT系統管理方法中設置LDAP服務器的流程圖；如圖I所示，具體包括如下步驟a)設置LDAP服務器的主機名及端口b)根據實際情況選擇LDAP的驗證方式none :在自助服務臺登錄時，如果用戶在LDAP中存在，不進行密碼校驗直接登錄；simple :若企業LDAP服務設置為支持簡單身份認證,應選擇simple的驗證方式；
strong :若企業LDAP服務設置為支持強身份認證,應選擇strong的驗證方式；c)設置連接LDAP服務器所需的Base DN(基準DN，用戶信息的基準節點，所有信息均作為該節點的子節點)、連接LDAP服務器所需的用戶名、密碼。設置完畢后可通過測試連接驗證配置信息是否正確。d)配置自助服務臺系統中的用戶信息與LDAP中屬性的映射關系提出人信息包含唯一標識、姓名、郵箱、辦公地址、手機號碼、固定電話、員工編號、所屬部門。配置提出人信息與LDAP用戶信息映射關系時，應以LDAP中實際存在的屬性為準，即存在哪些屬性配置哪些，不存在的無需配置。例如提出人唯一標識對應LDAP中的通用名CN(Common Name)，通常用作識別登錄名)，提出人姓名對應LDAP中用戶姓名屬性等。圖2是本發明基于輕型目錄訪問協議(LDAP)的IT系統管理方法中LDAP用戶登錄自助服務臺系統的流程圖。如圖所示，通過LDAP驗證自助服務臺登錄權限包括如下步驟
a)在自助服務臺系統初始化時預先內置一個用戶，該用戶具有登錄系統、處理工單的權限。b)用戶在自助服務臺輸入用戶名及密碼后，若未集成LDAP，則仍通過運維系統校驗是否具有登錄權限；若已集成LDAP，則通過LDAP系統校驗用戶是否具有登錄權限。c)若LDAP校驗通過，則創建LDAP查詢控制器，將已配置的映射屬性傳入LDAP查詢控制器，并將登錄名作為RDN(Relative Distinguished Name) (RDN :相對DN,條目在父節點下的唯一可區分名稱)置入LDAP查詢控制器作為查詢條件。d)通過設置的連接LDAP服務器的基準Ba se DN (基準DN，用戶信息的基準節點，所有信息均作為該節點的子節點)及置入的查詢控制器中的可區分名稱訪問LDAP服務器，查詢LDAP服務器中的用戶信息，獲得用戶完整的可區分名稱(DN)。e)通過獲取到的DN進一步查詢LDAP中該用戶的詳細信息。詳細信息為系統管理中配置的LDAP用戶映射屬性的域值，例如映射關系中配置自助服務臺用戶賬號映射LDAP中cn屬性、員工編號映射LDAP中uid屬性，則通過本步驟可獲取到登錄名域值為‘zhangsan’、員工編號域值為‘1339’等信息。f)通過內置用戶帳號(已知)登錄自助服務臺系統，由于用戶已知且權限固定，避免了對人員信息表、權限信息表大數據量查詢的操作，若登錄失敗則返回登錄頁面并彈出提示信息。g)登錄成功后首先獲取到內置用戶的用戶對象(包含用戶信息、權限信息)并將步驟e)中獲取到的LDAP用戶信息組裝成屬性集合，作為自助服務臺內置用戶對象的屬性置入其中。h)將用戶信息放入Session (會話)中，由于Session存儲在服務器內存中，不需要每次操作都對數據庫進行操作，減少數據庫訪問開銷，提升用戶頁面操作的速度。當用戶退出系統時清除Session中的內容。i)將用戶信息通過UTF-8進行轉碼，并用Base64進行加密，完成后將其放入Cookie中，存儲在用戶本地客戶端。這樣在用戶瀏覽器會話結束之前，無需再次進行登錄驗證，避免重復操作數據庫。當用戶退出系統時清除Cookie中的內容。j)若系統采用Java語言實現,可將用戶對象存儲于TreadLocal(線程局部變量)中，TreadLocal為每個使用局部變量的線程建立副本，可有效的處理多線程并發的情況，使系統具有更高的并發性。登錄自助服務臺系統后，通過程序判斷用戶實體是否包含LDAP用戶屬性。若包含則證明當前用戶是基于LDAP進行的登錄，這時系統中涉及用戶信息的顯示需從LDAP用戶屬性中獲取，數據也應顯示當前LDAP用戶有權限看到的數據，具體包括用戶提交請求時，將當前用戶實體中的LDAP屬性作為提出人信息傳遞到起草的工單中，并將LDAP用戶屬性中的唯一標識(通常為CN)作為提出人用戶ID保存至工單的隱藏域。將待辦、已辦、草稿等列表，按照提出人ID等于當前LDAP用戶唯一標識的條件進行過濾，即用戶只能針對自己提交的請求進行跟蹤查看，對于其他自助服務臺用戶的工單并無查看權限，實現權限的控制。傳統做法將用戶信息(姓名、編號、聯系方式、所屬部門、地址等)手動添加或導入至系統，一旦其中的任何一項信息發生改變，都需要運維人員手工進行同步以保證數據的 準確性。登錄自助服務臺系統時，用戶的每次登錄操作均需通過運維系統進行權限驗證。與傳統處理方式相比，本發明的不同之處在于a)不在自助服務臺系統中維護用戶信息，同導入用戶數據相比，減少了后期維護的成本。b)用戶信息實時從LDAP獲取，保證了數據同步的實時性。c)使用內置賬戶登錄，遇到大量用戶并發的情況，由于所有用戶均使用內置用戶一人登錄，可直接查詢內置用戶的用戶、權限等信息，大大減少了數據庫的大數據量操作，從而使得自助服務臺系統的負載大幅降低，提高運維系統的穩定性。本發明使運維人員在自助服務臺用戶信息新建與同步方面實現零維護，在大量用戶并發的情況下也能保障系統的穩定性。最后應當說明的是以上實施例僅用以說明本發明的技術方案而非對其限制；盡管參照較佳實施例對本發明進行了詳細的說明，所屬領域的普通技術人員應當理解依然可以對本發明的具體實施方式
進行修改或者對部分技術特征進行等同替換；而不脫離本發明技術方案的精神，其均應涵蓋在本發明請求保護的技術方案范圍當中。
權利要求
1.一種基于輕型目錄訪問協議(LDAP)的IT系統管理方法，其特征在于包括如下步驟 步驟一、配置用于獲取LDAP用戶信息所需訪問的LDAP服務器主機、端口、驗證方式；步驟二、設置連接LDAP服務器所需的用戶信息的基準節點、以及連接LDAP服務器所需的用戶名、密碼； 步驟三、配置自助服務臺系統中的用戶信息與LDAP中用戶屬性的映射關系； 步驟四、用戶在自助服務臺輸入用戶登錄名及密碼后，通過LDAP系統校驗用戶是否具有登錄權限； 步驟五、若LDAP校驗通過，則創建查詢控制器，將已配置的映射關系傳入LDAP查詢控制器，并將用戶登錄名作為相對唯一可區分名稱置入查詢控制器； 步驟六、通過設置的LDAP基準節點及封裝后的查詢控制器訪問LDAP，獲得用戶完整的可區分名稱(DN)； 步驟七、通過獲取到的DN進一步查詢LDAP中的該用戶信息； 步驟八、使用系統預置的隱藏賬戶登錄系統，將LDAP信息作為用戶屬性置入隱藏用戶，進而通過自助服務臺處理請求。
2.根據權利要求I所述的基于輕型目錄訪問協議(LDAP)的IT系統管理方法，其特征在于在自助服務臺系統中預先初始化一個內置用戶，將所述LDAP用戶信息作為屬性封裝入內置用戶實體，并使用該內置用戶登錄自助服務臺。
3.根據權利要求I所述的基于輕型目錄訪問協議(LDAP)的IT系統管理方法，其特征在于登錄自助服務臺系統后，通過程序判斷用戶實體是否包含LDAP用戶屬性，若包含則證明當前用戶是基于LDAP進行的登錄。
4.根據權利要求I所述的基于輕型目錄訪問協議(LDAP)的IT系統管理方法，其特征在于所述用戶信息是實時從LDAP服務器獲取的。
全文摘要
一種基于輕型目錄訪問協議(LDAP)的IT系統管理方法，其首先配置LDAP服務器基本信息、基準節點和自助服務臺系統中的用戶信息與LDAP中用戶屬性的映射關系；然后，創建查詢控制器，將已配置的映射關系和用戶登錄名傳入LDAP查詢控制器，通過設置的LDAP基準節點及封裝后的查詢控制器訪問LDAP，獲得用戶完整的可區分名稱(DN)，然后查詢LDAP中的該用戶信息；使用系統預置的隱藏賬戶登錄系統，將LDAP信息作為用戶屬性置入隱藏用戶，進而通過自動服務臺處理請求。本發明使用內置賬戶登錄，大大降低了數據庫的大數據量操作，從而使得自助服務臺系統的負載大幅降低。
文檔編號H04L29/06GK102843256SQ20121014470
公開日2012年12月26日 申請日期2012年5月11日 優先權日2012年5月11日
發明者何宇 申請人:摩卡軟件(天津)有限公司