CN104243154B - 服务器用户权限集中控制***及方法 - Google Patents
服务器用户权限集中控制***及方法 Download PDFInfo
- Publication number
- CN104243154B CN104243154B CN201310226082.7A CN201310226082A CN104243154B CN 104243154 B CN104243154 B CN 104243154B CN 201310226082 A CN201310226082 A CN 201310226082A CN 104243154 B CN104243154 B CN 104243154B
- Authority
- CN
- China
- Prior art keywords
- server
- user
- account
- address
- service server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 52
- 238000012795 verification Methods 0.000 claims abstract description 32
- 238000013507 mapping Methods 0.000 claims description 49
- 238000004321 preservation Methods 0.000 claims description 20
- 230000008569 process Effects 0.000 claims description 18
- 230000004044 response Effects 0.000 claims description 17
- 230000001360 synchronised effect Effects 0.000 claims description 17
- 230000008676 import Effects 0.000 claims description 15
- 230000005540 biological transmission Effects 0.000 claims description 9
- 238000004891 communication Methods 0.000 claims description 7
- 230000008859 change Effects 0.000 claims description 3
- 230000002452 interceptive effect Effects 0.000 claims description 3
- 238000012360 testing method Methods 0.000 claims 2
- 238000010586 diagram Methods 0.000 description 7
- 238000012545 processing Methods 0.000 description 4
- 230000004048 modification Effects 0.000 description 3
- 238000012986 modification Methods 0.000 description 3
- 239000012141 concentrate Substances 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 230000000694 effects Effects 0.000 description 1
- 230000004807 localization Effects 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 239000000203 mixture Substances 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/604—Tools and structures for managing or administering access control systems
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computing Systems (AREA)
- Physics & Mathematics (AREA)
- Software Systems (AREA)
- General Physics & Mathematics (AREA)
- General Health & Medical Sciences (AREA)
- Bioethics (AREA)
- Health & Medical Sciences (AREA)
- Automation & Control Theory (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供了一种服务器用户权限集中控制***。该***通过部署多个验证服务器及至少一个控制服务器,其中,每一个验证服务器对应且通信连接多个业务服务器,所述控制服务器对应并通信连接至少一个验证服务器,在验证服务器中存储用户权限信息,验证服务器利用存储的用户权限信息对业务服务器的登陆用户进行权限验证,并利用控制服务器对验证服务器中存储的用户权限信息进行集中控制,实现了对服务器用户权限信息的简单的、精确的集中控制,且有效提高了业务服务器的安全性。本发明还提供一种服务器用户权限集中控制方法。
Description
技术领域
本发明涉及一种用户权限控制技术,特别涉及一种服务器用户权限集中控制***及方法。
背景技术
Windows活动目录(Windows Active Directory,Windows AD)是微软WindowsServer中,负责架构中大型网络环境的集中式目录管理服务(Directory Services),从Windows 2000 Server产品开始,Windows AD自带于Windows Server产品中,它用于处理在组织中的网络对象,此处的对象可以是用户、组群、电脑、网域控制站、邮件、设置档、组织单元、树系等等,只要是在活动目录结构定义档(schema)中定义的对象,就可以存储在活动目录数据档中,并利用活动目录 Service Interface 来访问,实际上,许多活动目录的管理工具都是利用这个接口来调用并使用活动目录的数据。活动目录也被用为微软部分服务器软件与网域构连的数据结构,例如Microsoft Exchange Server 2003-2007,均使用 AD(active directory,活动目录) 来存储其个人信箱数据(通过创建新的活动目录Schema),并将 AD 列为建置Exchange Server的必要条件。
Windows AD的核心功能是管理大型网络中的资源,包括本方案中的用户资源,但其支持平台为Windows,不支持其他主流操作平台(例如,Linux平台),仅适用少量的服务器的办公网络,且用户权限配置复杂。同时,其管理的用户权限信息保存于业务服务器中,处理保存的用户权限信息需要逐个处理,不能进行精确的用户权限信息的集中控制,且难以控制一个账号登陆***架构内的所有业务服务器的情况,无法保证业务服务器的安全性。
发明内容
本发明提供一种服务器用户权限集中控制方法,以对服务器用户权限信息进行简单的、精确的集中控制,且提高业务服务器的安全性。
此外,还提供一种应用于该方法的***,以对服务器用户权限信息进行简单的、精确的集中控制,且提高业务服务器的安全性。
一种服务器用户权限集中控制方法,该方法包括:验证服务器接收从控制服务器发送来的用户权限处理指令或者用户权限新增指令;验证服务器响应控制服务器发送的用户权限处理指令,对保存的用户权限信息进行处理,或者,验证服务器响应控制服务器发送的用户权限新增指令,保存新的用户权限信息;验证服务器将新增的用户权限信息或者处理后的用户权限信息同步给与该验证服务器通信连接的验证服务器。
一种应用于上述服务器用户权限集中控制方法的***,该***包括多个业务服务器,至少一个控制服务器,及多个验证服务器,其中:每一个验证服务器与多个业务服务器通信连接,所述控制服务器对应并通信连接至少一个验证服务器;控制服务器,用于向对应的验证服务器发送用户权限处理指令或者用户权限新增指令;验证服务器,用于保存用户权限信息,响应控制服务器发送的用户权限处理指令,对保存的用户权限信息进行处理,响应控制服务器发送的用户权限新增指令,保存新增的用户权限信息,将新增的用户权限信息或者处理后的用户权限信息同步给与该验证服务器通信连接的验证服务器。
一种服务器用户权限集中控制方法,该方法包括:控制服务器定时从配置服务器获取业务服务器的IP地址与业务模块的绑定数据,及用户的账号与业务模块的绑定数据;控制服务器根据获取的业务服务器的IP地址与业务模块的绑定数据,及用户的账号与业务模块的绑定数据,生成用户的账号与业务服务器的IP地址的映射数据;控制服务器将生成的用户的账号与业务服务器的IP地址的映射数据发送给对应的验证服务器以进行保存,并将所述映射数据同步给与该验证服务器通信连接的验证服务器。
一种服务器用户权限集中控制方法,该方法包括:控制服务器定时从配置服务器获取业务服务器的IP地址与业务模块的绑定数据;控制服务器根据自身保存的用户的账号与业务模块的绑定数据,及获取的业务服务器的IP地址与业务模块的绑定数据,生成用户的账号与业务服务器的IP地址的映射数据;控制服务器将生成的用户的账号与业务服务器的IP地址的映射数据发送给对应的验证服务器以进行保存,并将所述映射数据同步给与该验证服务器通信连接的验证服务器。
一种服务器用户权限集中控制方法,该方法包括:验证服务器接收从业务服务器发送来的用户权限验证请求;验证服务器响应从业务服务器发送来的用户权限验证请求,根据保存的用户权限信息验证登陆的用户的权限;验证服务器发送验证反馈信息给发送用户权限验证请求的业务服务器,以使发送用户权限验证请求的业务服务器接受或者拒绝当前用户的登陆。
相较现有技术,本发明通过部署多个验证服务器及至少一个控制服务器,其中,每一个验证服务器对应且通信连接多个业务服务器,所述控制服务器对应并通信连接至少一个验证服务器,在验证服务器中存储用户权限信息,验证服务器利用存储的用户权限信息对业务服务器的登陆用户进行权限验证,并利用控制服务器对验证服务器中存储的用户权限信息进行集中控制,实现了对服务器用户权限信息的简单的、精确的集中控制,且有效提高了业务服务器的安全性。
附图说明
图1为本发明服务器用户权限集中控制***较佳实施例的***架构示意图。
图2为本发明服务器群组中心LDAP服务器本地化的结构示意图。
图3为图1的控制服务器的较佳实施例的硬件架构图。
图4为图3的用户权限集中控制模块较佳实施例的子模块示意图。
图5为本发明利用图1的控制服务器对图1的LDAP服务器中的用户权限信息集中控制的方法较佳实施例的具体实施流程图。
图6为本发明利用图1的LDAP服务器对图1的业务服务器的用户登陆信息进行验证的方法较佳实施例的具体实施流程图。
图7为本发明利用图1的控制服务器及CMDB服务器,生成用户账号与业务服务器IP的映射数据的方法较佳实施例的具体实施流程图。
图8为图1的控制服务器提供的集中控制界面的权限查询操作子界面的示意图。
图9为图1的控制服务器提供的集中控制界面的临时登陆权限操作子界面的示意图。
本发明目的的实现、功能特点及优点将结合实施例,参照附图做进一步说明。
具体实施方式
应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
名词解释:
LDAP:轻量目录访问协议,英文全称是Lightweight Directory AccessProtocol。
LDAP服务器: 提供LDAP服务的服务器。
业务服务器:非LDAP服务器,用于运行业务程序。
NSS:Linux/Unix下的名称解释服务。
PAM:可插拔身份验证模块,Linux/Unix***作为用户和应用程序之间的中间层的安全验证机制。
CMDB:配置管理***,指管理设备和业务模块映射的***。
IDC中心:业务服务器群组中心,用于安置业务服务器及相关部件的设施中心。
如图1所示,为本发明服务器用户权限集中控制***较佳实施例的***架构示意图。该服务器用户权限集中控制***用于对用户权限信息进行集中控制,其包括多个业务服务器5,至少一个控制服务器1(图中以1个为例),及多个验证服务器3。其中,每一个验证服务器3对应多个业务服务器5,每一个验证服务器3与对应的各个业务服务器5通信连接,所述控制服务器1对应并通信连接至少一个验证服务器3。
进一步地,为了在对用户权限信息进行集中控制的过程中,避免一个账号登陆***架构内的所有业务服务器5的情况发生,提高登陆的安全性,且实现用户与业务服务器5的映***确控制,避免用户之间登陆业务服务器5的权限的混乱,该服务器用户权限集中控制***还包括至少一个与控制服务器1通信连接的配置服务器(本实施例采用CMDB服务器)2,所述配置服务器(例如,CMDB服务器)2用于设置并保存业务服务器5的IP地址与业务模块的绑定数据(也可称为映射数据),及/或用户的账号与业务模块的绑定数据。所述业务模块指软件程序***,例如,即时通信软件***、浏览器***、游戏平台***、支付***等。
所述验证服务器指任意适用的能够实现用户权限验证的服务器,本实施例优选为LDAP服务器,例如,运行Linux/Unix***的业务服务器5,则使用定制的NSS_ldap & PAM_ldap来通信连接对应的LDAP服务器3来进行用户权限的验证。所述用户指对特定的业务服务器5进行维护的人员。
进一步地,为了避免在用户登陆业务服务器5时,待登陆的业务服务器5需要跨地域连接对应的LDAP服务器以进行用户权限的验证,本实施例优选的方式是:为业务服务器5的群组中心(例如,图2所示的IDC中心6)设置本地的LDAP服务器3,IDC中心对应的本地的LDAP服务器3与其他地域的LDAP服务器3通信连接并保持数据同步(例如,图2所示的一个IDC中心6对应的本地的LDAP服务器3与另一个IDC中心6对应的本地的LDAP服务器3通信连接并保持数据同步);用户在登陆IDC中心所属的每一个业务服务器5时,待登陆的业务服务器5优选连接IDC中心对应的本地的LDAP服务器3进行用户权限的验证。这样的优选方式有效提升了用户权限的验证性能并减少了跨地域的网络流量。在此不作赘述。
以下分别以实施例一、实施例二及实施例三来阐述该服务器用户权限集中控制***各组成在***架构中的功能。
实施例一(请参见图5所示的流程图):
控制服务器1向对应的LDAP服务器3发送用户权限处理指令或者用户权限新增指令;LDAP服务器3响应控制服务器1发送的用户权限处理指令,对保存的用户权限信息进行处理,或者,LDAP服务器3响应控制服务器1发送的用户权限新增指令,保存新的用户权限信息;LDAP服务器3将新增的用户权限信息或者处理后的且发生了改变的用户权限信息同步给其他LDAP服务器3。
所述用户权限信息包括账号、密码等任意适用的反映用户登陆业务服务器5的身份合法性的信息。为了避免一个账号登陆***架构内的所有业务服务器5的情况发生,提高登陆的安全性,本实施例中,所述用户权限信息还包括用户的账号与业务服务器5的 IP地址的映射数据。
所述用户权限处理指令包括用户权限信息查询指令、用户权限信息删除指令、用户权限信息修改指令及/或其他任意适用的用户权限信息处理指令。LDAP服务器3响应用户权限信息查询指令不会导致用户权限信息的改变,因此,LDAP服务器3响应用户权限信息查询指令后并不会与其他LDAP服务器3进行数据同步。
实现控制服务器1向LDAP服务器3发送用户权限处理指令或者用户权限新增指令的方式,例如,可以是:
控制服务器1提供并显示对用户权限信息进行人机交互操作的集中控制界面(例如,图8及图9所示的集中控制界面);控制服务器1侦测并接收控制服务器1的操作员基于所述集中控制界面发送的各个用户权限处理指令或者新增指令;控制服务器1将接收的用户权限处理指令或者新增指令,发送给对应的LDAP服务器3。
如图8示意的集中控制界面的权限查询操作子界面,当用户点击了控制服务器1提供的集中控制界面的“权限查询”功能按钮后,则进入了集中控制界面的权限查询操作子界面,该权限查询操作子界面包括用户名输入框及其对应的查询按钮,权限查询结果显示框,用户名更改按钮,用户密码修改按钮,权限修改按钮,数据导入按钮等。例如,当操作员在用户名输入框输入待查询的用户名(例如,“SimonGao”)后,操作员点击该用户名输入框对应的查询按钮“点击查询”,即相当于通过所述集中控制界面向对应的LDAP服务器3发送输入的用户名“SimonGao”对应的用户权限信息的查询指令;LDAP服务器3响应用户名“SimonGao”对应的用户权限信息的查询指令,以获取保存的与用户名“SimonGao”对应的可登录的服务器的IP地址,并反馈给所述集中控制界面的权限查询结果显示框进行显示(例如,图8所示的“10.10.10.21”、“10.20.10.33”、“10.20.10.45”、“20.20.10.45”)。所述数据导入按钮用于少量导入(例如,一次最多导入10条用户权限信息)用户权限信息,及/或批量导入(例如,批量导入预设格式的文件中的用户权限信息)用户权限信息给LDAP服务器3。
如图9示意的集中控制界面的临时登陆权限操作子界面,当用户点击了控制服务器1提供的集中控制界面的“临时登陆权限”功能按钮后,则进入了集中控制界面的临时登陆权限操作子界面,该临时登陆权限操作子界面包括用户名输入框,临时权限设置框“权限设置”,权限分配按钮“分配权限”,临时权限新增按钮“点击新增”,期限设置框“期限”,数据导入按钮等。例如,操作员在用户名输入框输入待设置临时权限的用户名(例如,“tomzhou”),并在临时权限设置框“权限设置”设置可登录的服务器的IP地址(例如,“10.10.10.10”),在期限设置框“期限”设置临时权限的期限(例如,一天)后,点击临时权限新增按钮“点击新增”,即相当于通过所述集中控制界面向对应的LDAP服务器3发送输入的用户名“tomzhou”及其对应的临时用户权限信息的新增指令,LDAP服务器3响应用户名“tomzhou” 及其对应的临时用户权限信息的新增指令,以保存新的用户名“tomzhou”的临时用户权限信息,并将新的用户名“tomzhou”的临时用户权限信息同步给其他LDAP服务器3。所述数据导入按钮用于少量导入(例如,一次最多导入10条用户权限信息)用户权限信息,及/或批量导入(例如,批量导入预设格式的文件中的用户权限信息)用户权限信息给对应的LDAP服务器3。
实施例二(请参见图6所示的流程图):
业务服务器5接受用户登陆,并在用户登陆时向对应的LDAP服务器3发送用户权限验证请求;LDAP服务器3响应从业务服务器5发送来的用户权限验证请求,根据保存的用户权限信息验证登陆的用户的权限;LDAP服务器3发送验证反馈信息给发送用户权限验证请求的业务服务器5,以使发送用户权限验证请求的业务服务器5接受或者拒绝当前用户的登陆。
所述用户权限验证请求包括当前登陆用户的账号、密码等需要进行验证的用户信息。若LDAP服务器3保存的用户账号中不存在当前登陆用户的账号,或者,当前登陆用户的密码与LDAP服务器3保存的当前登陆用户的账号对应的密码不一致,则LDAP服务器3发送验证反馈信息给发送用户权限验证请求的业务服务器5,以使发送用户权限验证请求的业务服务器5拒绝当前用户的登陆;若LDAP服务器3保存的用户账号中存在当前登陆用户的账号,且,当前登陆用户的密码与LDAP服务器3保存的当前登陆用户的账号对应的密码一致,则LDAP服务器3发送验证反馈信息给发送用户权限验证请求的业务服务器5,以使发送用户权限验证请求的业务服务器5接受当前用户的登陆。
进一步地,为了避免一个账号登陆***架构内的所有业务服务器5的情况发生,提高登陆的安全性,本实施例中,所述用户权限验证请求还包括发送用户权限验证请求的业务服务器5的IP地址。LDAP服务器3还根据保存的用户的账号与业务服务器5的 IP地址的映射数据,来验证与当前登陆用户的账号映射的业务服务器5 的IP地址中是否包括发送用户权限验证请求的业务服务器5的IP地址;若当前登陆用户的账号映射的业务服务器5 的IP地址中不包括发送用户权限验证请求的业务服务器5的IP地址,则LDAP服务器3发送验证反馈信息给发送用户权限验证请求的业务服务器5,以使发送用户权限验证请求的业务服务器5拒绝当前用户的登陆;若LDAP服务器3保存的用户账号中存在当前登陆用户的账号,当前登陆用户的密码与LDAP服务器3保存的当前登陆用户的账号对应的密码一致,且,当前登陆用户的账号映射的业务服务器5 的IP地址中包括发送用户权限验证请求的业务服务器5的IP地址,则LDAP服务器3发送验证反馈信息给发送用户权限验证请求的业务服务器5,以使发送用户权限验证请求的业务服务器5接受当前用户的登陆。
实施例三(请参见图7所示的流程图):
方案一、CMDB服务器2保存有业务服务器5的IP地址与业务模块的绑定数据(例如,一个业务服务器5的IP地址是“10.10.10.21”,该业务服务器5运行的业务模块是“即时通信软件***”,则IP地址 “10.10.10.21”与“即时通信软件***”的绑定数据保存在CMDB服务器2中),及用户的账号与业务模块的绑定数据(例如,一个用户账号是“SimonGao”,该用户账号属于业务模块“游戏平台***”的注册账号名,则用户账号“SimonGao”与“游戏平台***”的绑定数据保存在CMDB服务器2中):控制服务器1定时从CMDB服务器2获取业务服务器5的IP地址与业务模块的绑定数据,及用户的账号与业务模块的绑定数据;控制服务器1根据获取的业务服务器5的IP地址与业务模块的绑定数据,及用户的账号与业务模块的绑定数据,生成用户的账号与业务服务器5的IP地址的映射数据;控制服务器1将生成的用户的账号与业务服务器5的IP地址的映射数据发送给对应的LDAP服务器3;LDAP服务器3接收并保存从控制服务器1发送来的所述映射数据,并将所述映射数据同步给其他LDAP服务器3。
方案二、CMDB服务器2保存有业务服务器5的IP地址与业务模块的绑定数据,控制服务器1保存有用户的账号与业务模块的绑定数据:控制服务器1定时从CMDB服务器2获取业务服务器5的IP地址与业务模块的绑定数据;控制服务器1根据自身保存的用户的账号与业务模块的绑定数据,及获取的业务服务器5的IP地址与业务模块的绑定数据,生成用户的账号与业务服务器5的IP地址的映射数据;控制服务器1将生成的用户的账号与业务服务器5的IP地址的映射数据发送给对应的LDAP服务器3;LDAP服务器3接收并保存从控制服务器1发送来的所述映射数据,并将所述映射数据同步给其他LDAP服务器3。
进一步地,控制服务器1定时从CMDB服务器2获取业务服务器5的IP地址与业务模块的绑定数据,及/或用户的账号与业务模块的绑定数据的步骤还可以替换为:CMDB服务器2实时或定时分析保存的业务服务器5的IP地址与业务模块的绑定数据,及/或用户的账号与业务模块的绑定数据是否发生了改变;在保存的业务服务器5的IP地址与业务模块的绑定数据,及/或用户的账号与业务模块的绑定数据发生了改变时,CMDB服务器2向控制服务器1发送数据接收请求;控制服务器1响应CMDB服务器2发送的数据接收请求,从CMDB服务器2接收业务服务器5的IP地址与业务模块的绑定数据,及/或用户的账号与业务模块的绑定数据。
如图3所示,为图1的控制服务器的较佳实施例的硬件架构图。该控制服务器1包括至少一个处理单元10(图中仅示意出一个)、存储单元11、输入/输出单元13及用户权限集中控制模块12。
该用户权限集中控制模块12,用于提供对用户权限信息进行人机交互操作的集中控制界面(例如,图8及图9所示的集中控制界面),以供用户输入指令。
该输入/输出单元13,用于显示该用户权限集中控制模块12提供的集中控制界面,且输出显示用户输入指令的响应数据。
该存储单元13,用于存储该用户权限集中控制模块12所对应的程序指令及该用户权限集中控制模块12的运行数据。所述存储单元13指计算机可读存储介质,例如,硬盘、U盘、移动硬盘等。
所述至少一个处理单元10,用于调用并执行该用户权限集中控制模块12,以实现对用户权限信息的集中控制。
如图4所示,为图3的用户权限集中控制模块较佳实施例的子模块示意图。该用户权限集中控制模块12包括权限处理子模块121,还可以包括数据导入子模块122。
该权限处理子模块121,用于向对应的LDAP服务器3发送用户权限处理指令或者用户权限新增指令。
所述数据导入子模块122,用于导入用户权限信息,并将导入的用户权限信息发送给控制服务器1对应的LDAP服务器3。在本实施例中,所述数据导入子模块122用于少量导入(例如,一次最多导入10条用户权限信息)用户权限信息,及/或批量导入(例如,批量导入预设格式的文件中的用户权限信息)用户权限信息给对应的LDAP服务器3。
进一步地,该用户权限集中控制模块12还包括数据接收子模块120,用于:定时从CMDB服务器2获取业务服务器5的IP地址与业务模块的绑定数据,及用户的账号与业务模块的绑定数据;根据获取的业务服务器5的IP地址与业务模块的绑定数据,及用户的账号与业务模块的绑定数据,生成用户的账号与业务服务器5的IP地址的映射数据;将生成的用户的账号与业务服务器5的IP地址的映射数据发送给对应的LDAP服务器3。
或者,该用户权限集中控制模块12还包括数据接收子模块120,用于:定时从CMDB服务器2获取业务服务器5的IP地址与业务模块的绑定数据,及读取控制服务器1保存的用户的账号与业务模块的绑定数据;根据获取的业务服务器5的IP地址与业务模块的绑定数据,及读取的用户的账号与业务模块的绑定数据,生成用户的账号与业务服务器5的IP地址的映射数据;将生成的用户的账号与业务服务器5的IP地址的映射数据发送给对应的LDAP服务器3。
进一步地,所述数据接收子模块120获取业务服务器5的IP地址与业务模块的绑定数据,及/或用户的账号与业务模块的绑定数据的方式为:响应CMDB服务器2发送的数据接收请求,从CMDB服务器2接收业务服务器5的IP地址与业务模块的绑定数据,及/或用户的账号与业务模块的绑定数据。
以上仅为本发明的优选实施例,并非因此限制本发明的专利范围,凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换,或直接或间接运用在其他相关的技术领域,均同理包括在本发明的专利保护范围内。
Claims (23)
1.一种服务器用户权限集中控制方法,其特征在于,该方法包括:
验证服务器接收从控制服务器发送来的用户权限处理指令或者用户权限新增指令;
验证服务器响应控制服务器发送的用户权限处理指令,对保存的用户权限信息进行处理,或者,验证服务器响应控制服务器发送的用户权限新增指令,保存新的用户权限信息;
验证服务器将新增的用户权限信息或者处理后的用户权限信息同步给与该验证服务器通信连接的验证服务器;
其中,该方法还包括:控制服务器定时从配置服务器获取业务服务器的IP地址与业务模块的绑定数据,及用户的账号与业务模块的绑定数据;控制服务器根据获取的业务服务器的IP地址与业务模块的绑定数据,及用户的账号与业务模块的绑定数据,生成用户的账号与业务服务器的IP地址的映射数据;控制服务器将生成的用户的账号与业务服务器的IP地址的映射数据发送给对应的验证服务器以进行保存,并将所述映射数据同步给与该验证服务器通信连接的验证服务器;或者
该方法还包括:控制服务器定时从配置服务器获取业务服务器的IP地址与业务模块的绑定数据;控制服务器根据自身保存的用户的账号与业务模块的绑定数据,及获取的业务服务器的IP地址与业务模块的绑定数据,生成用户的账号与业务服务器的IP地址的映射数据;控制服务器将生成的用户的账号与业务服务器的IP地址的映射数据发送给对应的验证服务器以进行保存,并将所述映射数据同步给与该验证服务器通信连接的验证服务器。
2.如权利要求1所述的方法,其特征在于,该方法还包括:
验证服务器接收从业务服务器发送来的用户权限验证请求;
验证服务器响应从业务服务器发送来的用户权限验证请求,根据保存的用户权限信息验证登陆的用户的权限;
验证服务器发送验证反馈信息给发送用户权限验证请求的业务服务器,以使发送用户权限验证请求的业务服务器接受或者拒绝当前用户的登陆。
3.一种应用于权利要求1至2任一项所述的服务器用户权限集中控制方法的***,其特征在于,该***包括多个业务服务器,至少一个控制服务器,及多个验证服务器,其中:
每一个验证服务器与多个业务服务器通信连接,所述控制服务器对应并通信连接至少一个验证服务器;
控制服务器,用于向对应的验证服务器发送用户权限处理指令或者用户权限新增指令;
验证服务器,用于保存用户权限信息,响应控制服务器发送的用户权限处理指令,对保存的用户权限信息进行处理,响应控制服务器发送的用户权限新增指令,保存新增的用户权限信息,将新增的用户权限信息或者处理后的用户权限信息同步给与该验证服务器通信连接的验证服务器。
4.如权利要求3所述的***,其特征在于,所述验证服务器还用于根据保存的用户权限信息、新增的用户权限信息及处理后的用户权限信息对业务服务器的登陆用户的用户权限的合法性进行验证。
5.如权利要求3所述的***,其特征在于,该***还包括至少一个与所述控制服务器通信连接的配置服务器,所述配置服务器用于设置并保存所述业务服务器的IP地址与业务模块的绑定数据,及用户的账号与业务模块的绑定数据。
6.如权利要求5所述的***,其特征在于:
所述配置服务器,还用于实时或定时分析保存的业务服务器的IP地址与业务模块的绑定数据,及用户的账号与业务模块的绑定数据是否发生了改变,在保存的业务服务器的IP地址与业务模块的绑定数据,或用户的账号与业务模块的绑定数据发生了改变时,向控制服务器发送数据接收请求;
所述控制服务器,还用于响应配置服务器发送的数据接收请求,从配置服务器接收所述业务服务器的IP地址与业务模块的绑定数据,及用户的账号与业务模块的绑定数据。
7.如权利要求5所述的***,其特征在于,所述控制服务器还用于:
定时从配置服务器获取业务服务器的IP地址与业务模块的绑定数据,及用户的账号与业务模块的绑定数据;
根据获取的业务服务器的IP地址与业务模块的绑定数据,及用户的账号与业务模块的绑定数据,生成用户的账号与业务服务器的IP地址的映射数据;
将生成的用户的账号与业务服务器的IP地址的映射数据发送给对应的验证服务器。
8.如权利要求3所述的***,其特征在于,该***还包括至少一个与控制服务器通信连接的配置服务器,所述配置服务器用于设置并保存业务服务器的IP地址与业务模块的绑定数据,所述控制服务器用于设置并保存用户的账号与业务模块的绑定数据。
9.如权利要求8所述的***,其特征在于:
所述配置服务器,还用于实时或定时分析保存的业务服务器的IP地址与业务模块的绑定数据是否发生了改变,在保存的业务服务器的IP地址与业务模块的绑定数据发生了改变时,向所述控制服务器发送数据接收请求;
所述控制服务器,还用于响应配置服务器发送的数据接收请求,从配置服务器接收业务服务器的IP地址与业务模块的绑定数据。
10.如权利要求8所述的***,其特征在于,所述控制服务器还用于:
定时从配置服务器获取业务服务器的IP地址与业务模块的绑定数据;
根据获取的业务服务器的IP地址与业务模块的绑定数据,及自身保存的用户的账号与业务模块的绑定数据,生成用户的账号与业务服务器的IP地址的映射数据;
将生成的用户的账号与业务服务器的IP地址的映射数据发送给对应的验证服务器。
11.如权利要求3所述的***,其特征在于:
所述业务服务器,用于接受用户登陆,并在用户登陆时向对应的验证服务器发送用户权限验证请求;
所述验证服务器,用于响应从业务服务器发送来的用户权限验证请求,根据保存的用户权限信息验证登陆的用户的权限,发送验证反馈信息给发送用户权限验证请求的业务服务器,以使发送用户权限验证请求的业务服务器接受或者拒绝当前用户的登陆。
12.如权利要求11所述的***,其特征在于,所述用户权限信息包括用户的账号及密码,所述用户权限验证请求包括当前登陆用户的账号、密码。
13.如权利要求12所述的***,其特征在于:
所述验证服务器,用于在保存的用户账号中不存在当前登陆用户的账号,或者,当前登陆用户的密码与保存的当前登陆用户的账号对应的密码不一致时,发送验证反馈信息给发送用户权限验证请求的业务服务器,以使发送用户权限验证请求的业务服务器拒绝当前用户的登陆;在保存的用户账号中存在当前登陆用户的账号,且,当前登陆用户的密码与保存的当前登陆用户的账号对应的密码一致时,发送验证反馈信息给发送用户权限验证请求的业务服务器,以使发送用户权限验证请求的业务服务器接受当前用户的登陆。
14.如权利要求11所述的***,其特征在于,所述用户权限信息还包括用户的账号与业务服务器的IP地址的映射数据,所述用户权限验证请求还包括发送用户权限验证请求的业务服务器的IP地址。
15.如权利要求14所述的***,其特征在于:
所述验证服务器,用于在登陆的当前用户的账号映射的业务服务器的IP地址中不包括发送用户权限验证请求的业务服务器的IP地址时,发送验证反馈信息给发送用户权限验证请求的业务服务器,以使发送用户权限验证请求的业务服务器拒绝当前用户的登陆。
16.如权利要求3所述的***,其特征在于,所述控制服务器包括用户权限集中控制模块,该用户权限集中控制模块包括:
权限处理子模块,用于向对应的验证服务器发送用户权限处理指令或者用户权限新增指令。
17.如权利要求16所述的***,其特征在于,该用户权限集中控制模块用于提供对用户权限信息进行人机交互操作的集中控制界面,以供用户输入用户权限处理指令及新增指令。
18.如权利要求16所述的***,其特征在于,该用户权限集中控制模块还包括:
数据导入子模块,用于导入用户权限信息,并将导入的用户权限信息发送给控制服务器对应的验证服务器。
19.如权利要求16所述的***,其特征在于,该用户权限集中控制模块还包括:
数据接收子模块,用于定时从配置服务器获取业务服务器的IP地址与业务模块的绑定数据,及用户的账号与业务模块的绑定数据,根据获取的业务服务器的IP地址与业务模块的绑定数据,及用户的账号与业务模块的绑定数据,生成用户的账号与业务服务器的IP地址的映射数据,将生成的用户的账号与业务服务器的IP地址的映射数据发送给对应的验证服务器。
20.如权利要求19所述的***,其特征在于,所述数据接收子模块获取业务服务器的IP地址与业务模块的绑定数据,及用户的账号与业务模块的绑定数据的方式为:响应配置服务器发送的数据接收请求,从配置服务器接收业务服务器的IP地址与业务模块的绑定数据,及用户的账号与业务模块的绑定数据。
21.一种服务器用户权限集中控制方法,其特征在于,该方法包括:
控制服务器定时从配置服务器获取业务服务器的IP地址与业务模块的绑定数据,及用户的账号与业务模块的绑定数据;
控制服务器根据获取的业务服务器的IP地址与业务模块的绑定数据,及用户的账号与业务模块的绑定数据,生成用户的账号与业务服务器的IP地址的映射数据;
控制服务器将生成的用户的账号与业务服务器的IP地址的映射数据发送给对应的验证服务器以进行保存,并将所述映射数据同步给与该验证服务器通信连接的验证服务器。
22.一种服务器用户权限集中控制方法,其特征在于,该方法包括:
控制服务器定时从配置服务器获取业务服务器的IP地址与业务模块的绑定数据;
控制服务器根据自身保存的用户的账号与业务模块的绑定数据,及获取的业务服务器的IP地址与业务模块的绑定数据,生成用户的账号与业务服务器的IP地址的映射数据;
控制服务器将生成的用户的账号与业务服务器的IP地址的映射数据发送给对应的验证服务器以进行保存,并将所述映射数据同步给与该验证服务器通信连接的验证服务器。
23.一种服务器用户权限集中控制方法,其特征在于,该方法包括:
验证服务器接收从业务服务器发送来的用户权限验证请求;
验证服务器响应从业务服务器发送来的用户权限验证请求,根据保存的用户权限信息验证登陆的用户的权限;
验证服务器发送验证反馈信息给发送用户权限验证请求的业务服务器,以使发送用户权限验证请求的业务服务器接受或者拒绝当前用户的登陆;
其中,该方法还包括:验证服务器接收控制服务器发送的用户的账号与业务服务器的IP地址的映射数据并进行保存,并将所述映射数据同步给与该验证服务器通信连接的验证服务器,其中,所述用户的账号与业务服务器的IP地址的映射数据为控制服务器定时从配置服务器获取业务服务器的IP地址与业务模块的绑定数据及用户的账号与业务模块的绑定数据后,根据获取的业务服务器的IP地址与业务模块的绑定数据及用户的账号与业务模块的绑定数据生成的;或者
该方法还包括:验证服务器接收控制服务器发送的用户的账号与业务服务器的IP地址的映射数据并进行保存,并将所述映射数据同步给与该验证服务器通信连接的验证服务器,其中,所述用户的账号与业务服务器的IP地址的映射数据为控制服务器定时从配置服务器获取业务服务器的IP地址与业务模块的绑定数据后,根据获取的业务服务器的IP地址与业务模块的绑定数据与自身保存的用户的账号与业务模块的绑定数据生成的。
Priority Applications (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310226082.7A CN104243154B (zh) | 2013-06-07 | 2013-06-07 | 服务器用户权限集中控制***及方法 |
| PCT/CN2014/075666 WO2014194721A1 (en) | 2013-06-07 | 2014-04-18 | System and method for centralizedly controlling server user rights |
| US14/585,268 US9524382B2 (en) | 2013-06-07 | 2014-12-30 | System and method for centralizedly controlling server user rights |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310226082.7A CN104243154B (zh) | 2013-06-07 | 2013-06-07 | 服务器用户权限集中控制***及方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN104243154A CN104243154A (zh) | 2014-12-24 |
| CN104243154B true CN104243154B (zh) | 2018-07-06 |
Family
ID=52007514
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201310226082.7A Active CN104243154B (zh) | 2013-06-07 | 2013-06-07 | 服务器用户权限集中控制***及方法 |
Country Status (3)
| Country | Link |
|---|---|
| US (1) | US9524382B2 (zh) |
| CN (1) | CN104243154B (zh) |
| WO (1) | WO2014194721A1 (zh) |
Families Citing this family (22)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105429999B (zh) * | 2015-12-17 | 2018-09-25 | 北京荣之联科技股份有限公司 | 基于云平台的统一身份认证*** |
| CN105516160B (zh) * | 2015-12-17 | 2018-10-02 | 北京荣之联科技股份有限公司 | 一种域管理对象映射装置及统一身份认证*** |
| CN105577656B (zh) * | 2015-12-17 | 2018-09-25 | 北京荣之联科技股份有限公司 | 一种基于云平台的统一身份认证方法 |
| JP6769106B2 (ja) * | 2016-05-18 | 2020-10-14 | 富士通株式会社 | ストレージ制御方法、ストレージ制御プログラムおよび情報処理装置 |
| CN106254328B (zh) * | 2016-07-27 | 2019-10-18 | 杭州华为数字技术有限公司 | 一种访问控制方法及装置 |
| CN106936817B (zh) * | 2017-02-16 | 2020-02-14 | 上海帝联信息科技股份有限公司 | 操作执行方法、跳板机、集群认证服务器和堡垒机*** |
| CN108696370B (zh) * | 2017-04-06 | 2021-04-13 | ***通信集团甘肃有限公司 | 一种服务器与业务绑定和解绑定方法、装置及*** |
| CN106992997B (zh) * | 2017-05-25 | 2020-05-05 | 人教数字出版有限公司 | 一种版权的管理方法和装置 |
| CN107769959B (zh) * | 2017-09-06 | 2021-02-12 | 北京五八到家信息技术有限公司 | 一种在服务器上部署服务器站点的自动化部署***及方法 |
| CN109189012A (zh) * | 2018-08-09 | 2019-01-11 | 华南理工大学 | 一种基于智能移动端的工业设备人机交互方法及*** |
| CN109460654B (zh) * | 2018-09-14 | 2021-05-14 | 广州虎牙信息科技有限公司 | 业务控制方法、业务控制***、服务器及计算机存储介质 |
| CN109474615B (zh) * | 2018-12-12 | 2021-12-07 | 成都路行通信息技术有限公司 | 一种服务加密***及基于加密过程的服务通信方法 |
| CN109800031A (zh) * | 2019-01-18 | 2019-05-24 | 广州虎牙信息科技有限公司 | 基于移动办公***的业务控制方法、服务器、终端及装置 |
| CN112115463A (zh) * | 2019-06-20 | 2020-12-22 | 深圳迈瑞生物医疗电子股份有限公司 | 医疗监护***及其患者信息访问方法、存储介质 |
| CN110781512A (zh) * | 2019-09-11 | 2020-02-11 | 亚信科技(中国)有限公司 | 一种服务器用户权限控制方法、装置、***及跳板机 |
| CN110839014B (zh) * | 2019-10-12 | 2022-03-01 | 平安科技(深圳)有限公司 | 一种认证方法、装置、计算机设备及可读存储介质 |
| CN110750766B (zh) * | 2019-10-12 | 2022-11-04 | 深圳平安医疗健康科技服务有限公司 | 权限验证方法、装置、计算机设备和存储介质 |
| CN111530074B (zh) * | 2020-04-21 | 2023-04-14 | 上海莉莉丝科技股份有限公司 | 游戏服务器***及游戏服务器的数据处理方法 |
| CN112039851B (zh) * | 2020-08-07 | 2021-09-21 | 郑州阿帕斯数云信息科技有限公司 | 服务器登录方法、***及装置 |
| CN112039910B (zh) * | 2020-09-04 | 2022-12-27 | 苏州浪潮智能科技有限公司 | 一种认证与权限的统一管理的方法、***、设备及介质 |
| CN112578750B (zh) * | 2020-11-27 | 2021-11-16 | 星控物联科技(山东)有限公司 | 工业数据采集控制器的通信方法及*** |
| CN113014593B (zh) * | 2021-03-12 | 2023-03-31 | 北京金山云网络技术有限公司 | 访问请求的鉴权方法及装置、存储介质、电子设备 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1622519A (zh) * | 2003-11-29 | 2005-06-01 | 鸿富锦精密工业(深圳)有限公司 | 信息同步管理***及方法 |
| CN101969426A (zh) * | 2009-07-28 | 2011-02-09 | 英业达股份有限公司 | 分布式用户认证***及其方法 |
| CN102053982A (zh) * | 2009-11-02 | 2011-05-11 | 阿里巴巴集团控股有限公司 | 一种数据库信息管理方法和设备 |
| CN102468961A (zh) * | 2010-11-18 | 2012-05-23 | 卓望数码技术(深圳)有限公司 | 一种分布式企业认证鉴权方法、***及嵌入终端 |
| CN102598577A (zh) * | 2009-10-23 | 2012-07-18 | 微软公司 | 使用云认证进行认证 |
| CN102665216A (zh) * | 2012-05-03 | 2012-09-12 | 杭州热望信息技术有限公司 | 一种可扩展的分布式wlan网络用户认证方法 |
Family Cites Families (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6654891B1 (en) * | 1998-10-29 | 2003-11-25 | Nortel Networks Limited | Trusted network binding using LDAP (lightweight directory access protocol) |
| US7080077B2 (en) * | 2000-07-10 | 2006-07-18 | Oracle International Corporation | Localized access |
| CN101083527A (zh) * | 2006-06-02 | 2007-12-05 | 鸿富锦精密工业(深圳)有限公司 | 用户操作权限集中管理***及方法 |
| US8543712B2 (en) * | 2008-02-19 | 2013-09-24 | International Business Machines Corporation | Efficient configuration of LDAP user privileges to remotely access clients within groups |
| CN101645775A (zh) * | 2008-08-05 | 2010-02-10 | 北京灵创科新科技有限公司 | 基于空中下载的动态口令身份认证*** |
| CN103067463B (zh) * | 2012-12-19 | 2016-05-11 | 新浪网技术(中国)有限公司 | 用户root权限集中管理***和管理方法 |
-
2013
- 2013-06-07 CN CN201310226082.7A patent/CN104243154B/zh active Active
-
2014
- 2014-04-18 WO PCT/CN2014/075666 patent/WO2014194721A1/en active Application Filing
- 2014-12-30 US US14/585,268 patent/US9524382B2/en active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1622519A (zh) * | 2003-11-29 | 2005-06-01 | 鸿富锦精密工业(深圳)有限公司 | 信息同步管理***及方法 |
| CN101969426A (zh) * | 2009-07-28 | 2011-02-09 | 英业达股份有限公司 | 分布式用户认证***及其方法 |
| CN102598577A (zh) * | 2009-10-23 | 2012-07-18 | 微软公司 | 使用云认证进行认证 |
| CN102053982A (zh) * | 2009-11-02 | 2011-05-11 | 阿里巴巴集团控股有限公司 | 一种数据库信息管理方法和设备 |
| CN102468961A (zh) * | 2010-11-18 | 2012-05-23 | 卓望数码技术(深圳)有限公司 | 一种分布式企业认证鉴权方法、***及嵌入终端 |
| CN102665216A (zh) * | 2012-05-03 | 2012-09-12 | 杭州热望信息技术有限公司 | 一种可扩展的分布式wlan网络用户认证方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN104243154A (zh) | 2014-12-24 |
| US9524382B2 (en) | 2016-12-20 |
| US20150113610A1 (en) | 2015-04-23 |
| WO2014194721A1 (en) | 2014-12-11 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104243154B (zh) | 服务器用户权限集中控制***及方法 | |
| US20220124081A1 (en) | System for Managing Remote Software Applications | |
| EP3695563B1 (en) | Apparatus, method, and computing device for selectively granting permissions to group-based objects in a group-based communication system | |
| US10505929B2 (en) | Management and authentication in hosted directory service | |
| CN101605030B (zh) | 一种面向电视台应用的基于Active Directory的统一认证实现方法 | |
| CN101990183B (zh) | 保护用户信息的方法、装置及*** | |
| CN112615849A (zh) | 微服务访问方法、装置、设备及存储介质 | |
| JP2017530472A (ja) | 共通エンドポイントにアクセスするために異なるディレクトリに記憶される認証情報を使用すること | |
| CN108710528A (zh) | 桌面云虚拟机的访问、控制方法、装置、设备及存储介质 | |
| CN101552801A (zh) | 一种在线浏览和下载用户群组通讯录的方法和*** | |
| CN106209726A (zh) | 一种移动应用单点登录方法及装置 | |
| CN104753960B (zh) | 一种基于单点登录的***配置管理方法 | |
| WO2018226807A1 (en) | Centralized authenticating abstraction layer with adaptive assembly line pathways | |
| CN112910904B (zh) | 多业务***的登录方法及装置 | |
| CN103997482B (zh) | 桌面云业务中用户登录的方法、*** | |
| CN106331003A (zh) | 一种云桌面上应用门户***的访问方法及装置 | |
| US20130138755A1 (en) | System and Method for Multiple Accounts to Access Internet Message Access Protocol Server | |
| CN101908967B (zh) | Linux虚拟服务器配置方法和*** | |
| CN101378329B (zh) | 分布式业务运营支撑***和分布式业务的实现方法 | |
| CN109726545B (zh) | 一种信息显示方法、设备、计算机可读存储介质和装置 | |
| CN106254328A (zh) | 一种访问控制方法及装置 | |
| CN105224541B (zh) | 数据的唯一性控制方法、信息存储方法及装置 | |
| CN104639421A (zh) | 一种基于智能电视的即时通信信息处理方法及*** | |
| CN111935260B (zh) | 账户同步的方法及装置、电子设备、存储介质 | |
| CN110035099B (zh) | 一种多***管理方法、终端设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |