[发明专利]用于为LDAP客户端提供服务的方法、装置和中央服务器

说明书

技术领域

本发明一般涉及轻量目录访问协议(LDAP)领域，并且尤其是涉及用于为LDAP客户端提供服务的方法、装置和中央服务器。

背景技术

在电信网络环境中，用于登录UNIX服务器或网络单元(NE)的用户账户由中央服务器管理，中央服务器一般是中央认证和授权服务器。用户的信息（比如用户账户）例如存储在目录服务器或关系数据库中。随着技术的进步，一个目录服务器或关系数据库可用于不同的应用，而一个应用也可使用不同的目录服务器或关系数据库。

由于历史原因，特别是为了认证和授权的目的，中央服务器将包括用于服务于不同客户端的不同类型目录服务器或关系数据库。目录服务器和关系数据库等在下文被统称为“后端”。现有后端例如包含LDAP服务器、RADIUS(远程访问拨入用户服务)服务器、Mysql服务器、MS SQL服务器、Oracle数据库、DB2或XML文件等。有时，它们中的一个或一些一起用于充当用于认证和授权或其它服务的中央用户数据库。

现今，LDAP客户端(例如pam_ldap(LDAP可插入式认证模块)或nss_ldap(LDAP名称服务开关))经常安装在例如UNIX服务器或NE中以向LDAP服务器请求诸如认证、授权、密码改变、名称服务等服务。然而，尽管中央服务器可具有多个后端，LDAP客户端仅能支持与LDAP服务器的连接，但它们不能与其它后端交互作用。如果UNIX服务器或NE要使用其它后端中的信息，则它们需要安装用于相应后端的客户端。这意味着，每当在中央服务器中引入新后端时，可请求服务的所有UNIX服务器或NE都将必须升级以具有对应客户端。所有这些都高度增加了服务器管理成本和客户端升级成本。

发明内容

本发明的目的是提供改进的方法、装置和中央服务器以消除至少一些上面提到的缺点。

根据本发明的第一方面，本发明提供了用于从具有多个后端的中央服务器向轻量目录访问协议LDAP客户端提供服务的装置。该装置包括：LDAP对接单元，配置成从所述LDAP客户端接收对于访问服务的LDAP请求，并向所述LDAP客户端提供LDAP响应；后端调度单元，配置成根据所述LDAP请求识别所请求的服务，并根据为所请求的服务预先定义的规则调度一个或多个后端以提供服务，所述规则指示哪个(哪些)后端要用于所请求的服务；以及后端对接单元，配置成根据所述规则用相应后端请求来查询所调度的后端，并获得后端响应。后端调度单元进一步配置成基于所获得的后端响应形成对LDAP客户端的LDAP响应。

这提供了将LDAP客户端与不同后端连接的机制，原因在于通过将LDAP请求描述为服务而将LDAP请求变换成相应的后端请求。这也使中央服务器中后端的类型和数量对LDAP客户端隐藏了，原因在于后端被合并了，并且作为整体运作，就像单个中央用户数据库。因而，LDAP客户端可与不同后端“谈话”，并且利用来自多个后端的用户信息或其它资源。即便中央服务器中的后端改变了，但也没有对于在UNIX服务器或NE中安装新客户端或移除其中旧客户端的需要。这实质上降低了适应于后端改变的成本和影响，并使中央服务器能够以更高效的方式提供其服务。

优选地，更新所述规则以适应于所述中央服务器中的后端改变。

这允许在中央服务器中后端改变的情况下灵活地配置或修改后端协作的方式。

优选地，所述规则进一步指示所请求的服务与相应后端请求之间的映射关系。附加地，所述后端对接单元基于所述映射关系生成对于每个所调度后端的后端请求。备选地，所述规则进一步指示所调度的后端所遵循的操作逻辑。

这允许容易地将新类型的后端与新协议结合。

优选地，所述后端调度单元配置成组合所获得的后端响应中的信息或移除所获得的后端响应中的重复信息。

所述多个后端可包括LDAP服务器、RADIUS服务器、MS SQL服务器、Oracle服务器、DB2服务器或XML文件。

根据本发明的第二方面，本发明提供了用于从具有多个后端的中央服务器为轻量目录访问协议LDAP客户端提供服务的方法。所述方法包括如下步骤：从所述LDAP客户端接收对于访问服务的LDAP请求；根据所述LDAP请求识别所请求的服务；根据为所请求的服务预先定义的规则调度一个或多个后端以提供服务，所述规则指示哪个(哪些)后端要用于所请求的服务；根据所述规则用相应后端请求来查询所调度的后端以获得后端响应；以及基于所获得的后端响应形成LDAP响应，并向所述LDAP客户端提供所述LDAP响应。