使用LDAP实现企业统一认证

对于企业来说，数据就是核心，就是生命，就是竞争力，如何保证这些数据的安全，就成为企业IT管理的重点。除了保证数据在物理上的安全，更多的时候是保证数据被安全的访问。安全的基本要点就是认证（Authentication）和授权（Authorization），即首先要确定一个申明自己为A的用户就是A本人而不是其他人冒充的（认证），然后确定该用户是否有权力访问所请求的数据，以何种方式访问（授权）。

对于一个现代企业来说，必然拥有大量应用系统，如电子邮件、办公系统、文件服务、远程登陆等，每个系统都必须进行认证和授权工作，如果这些系统认证都是相互独立、互不相干的，毫无疑问，企业IT部门的大部分时间和精力将用于各个系统的认证和授权管理，这不仅会大大提高企业的生产和办公成本，降低整个企业的工作效率，而且将产生严重的安全隐患。

我们来举个简单的例子，一个正常工作的员工需要拥有企业大部分应用系统的账号和密码，对于这个员工来说，他必须记住所有账号和密码，随着这类系统的不断增多，他要记住的账号和密码也越来越多，如何记住这些密码？两个办法，一是把所有账号和密码设成一样，但如果出于某种原因需要修改密码，他将不得不登陆每个系统并修改一次密码，如果遗漏了某个系统，那么下次他就不知道自己到底用的哪个密码了。第二种方法，就是把所有的账号和密码在某个地方写下来，而这正好是安全的大忌，大部分内部出现的安全漏洞往往发源于自以为是的管理员记事本。而且，如果员工离职，企业的系统管理员需要登陆每个系统删除该员工的账号以保证企业的系统不受未授权的访问。

由此可见，对于信息化程度较高的企业来说，实施统一认证是非常必要的。所谓统一认证，就是企业所有应用系统的认证源都是唯一的，一切需要认证的系统，都使用同一套账号/密码进行认证。正如我们前面所说的，安全分为认证和授权两部分，而统一认证的模式，正好把这两部分分开，通常，认证系统保留用户名和密码（认证），应用系统保留用户名和权限（授权），当应用系统受到一个用户请求后，它并不负责验证此用户是否合法，而是将认证工作交给认证系统，如果认证系统确认该用户合法，应用系统再分配用户相应的权限。

一旦企业实现了统一认证，企业可以很方便的管理账号和权限，确保数据不被未授权访问，将极大的减轻IT管理的混乱局面，大大的增强企业数据安全。