程序开发人员必须面临的一个难题就是执行企业的、广泛的、单一的标识系统。当企业端口变得比以前更加重要,公司必须面对减少用户争议而不能降低系统安全性的要求。
Oracle9iAS端口(9iAS Release 2)提供了基于认证的Oracle网络目录(OID),这有助于公司执行企业的、广泛的、单一的标识系统。OID支持工业标准LDAP V3协议和Oracle端口,而后两者提供了常规注册的程序。使用这些功能,公司可以使用第三方目录服务器实现Oracle9iAS端口的集成化,并且通过现成的用户IDs和密码很容易执行单一系统。
很多组织都使用微软的活动目录以实现网络认证。所以,公司使用基于用户IDs和密码的微软活动目录为实现Oracle9iAS端口认证的选择也是可以想象得到的。
Oracle9iAS v9.0.2或更高版本允许公司将第三方目录(如iPlanet)集成到Oracle9iAS。然而,它却不能使用微软活动目录实现超平常(out-of-the-box)集成。Oracle9iAS 9.0.4具有这种超平常(out-of-the-box)集成,但是,公司也只能使用Oracle 9iAS端口9.0.2 或者 9.0.3来实现微软活动目录认证的集成。下面让我们讨论这一过程。
为了能够使用入口安全框架,你必须在OID中建立入口用户和组。实现这一过程可以有多种方法。可以使用OID管理工具,管理标签中的入口用户和组管理,或者是LDAP批上传。如果你的公司已经有了微软活动目录的大量用户,我建议你使用LDAP批上传的方法,这里我就详细介绍这一种方法。
对于批上传方法,你可以使用标准LDAP数据交换格式(LDIF)功能。微软提供了一个LDIFDE功能来输出活动目录数据,这样就可以生成一个ASCII文本文件,这一文件以LDIF格式,这样可以将用户引入OID。
依赖于目录树的复杂性,以及微软活动目录与OID之间的区别,你可以通过脚本语言建立LDIF文件,比如Perl或者VBScript。你可以找到一个范例脚本程序从微软知识基地中的微软活动目录输出数据。
也可以使用标准OID功能,比如ldapadd, ldapmodify, 或者用bulkload来输入数据。可以查看第7章Oracle网络目录管理向导 Release 9.0.2(你将需要一个Oracle.com用户ID和密码来访问这一向导) 中的“管理目录入口”,以得到这些功能的详细说明。
