文/李瑞峰

当用户的网络中已经在使用一些用户管理系统，如LDAP Server，这时再去部署iMC如何解决管理两套用户信息的问题？怎样将两套信息合二为一呢？

iMC（intelligent Management Center）“智能管理中心”是H3C新一代的网管产品。iMC中一个重要的功能就是用户管理，无论是做用户接入认证还是EAD（终端用户控制）时，都需要将设备通过Radius协议发送过来认证的用户名与iMC系统自身数据库中存放的用户名进行比较，以判断认证用户身份的合法性。一般情况下用户信息是在iMC中根据客户的实际情况手工创建。但在有些情况下，客户的网络中在部署iMC之前已经在使用一些用户管理系统，这方面LDAP (轻量级目录访问协议)　Server是一种典型的应用情况。LDAP Server产品很多，如微软的AD（Active Directory）,SUN ONE, Linux下的Open LDAP等。由于在这些系统中已有一套成形的客户熟悉的用户信息，这时部署iMC最好的方式就是使用iMC的LDAP功能与LDAP　Server进行对接，将LDAP　Server上的用户同步到iMC系统中，以实现管理一套用户信息的目的。

下面就介绍一下iMC与LDAP对接的主要方案及技术特点。

在与LDAP　Server的对接上，iMC需要事前获知LDAP Server上某个具体OU（Organizational Unit）的管理员DN（Distinguish Name）及管理员密码，这样iMC即可以通过LDAP协议将LDAP Server上具体OU下面的用户同步到iMC本地的数据库中。该同步默认1天一次，也可以管理员手工进行立即同步。iMC通过这种方式实现了自身用户信息与LDAP用户信息保持一致。对于客户来讲，只需要修改LDAP上的用户信息，修改后的用户信息会自动同步到iMC中，不需要再登陆iMC修改一次了。很大程度上方便了客户对于网络中认证用户信息的管理。

在具体的认证过程中，iMC与LDAP　Server对接主要有以下两种方案。

方案1：实时认证

终端用户通过认证协议，比如802.1x、portal、l2tp等向认证设备发起认证。

http://www.h3c.com.cn/res/200902/16/20090216_778504_image001_637484_30008_0.jpg

①认证设备将用户的信息（用户名、密码、以及其它用户信息）通过Radius协议发给iMC；

②iMC此时不将设备发送过来的用户信息（用户名、密码、以及其它用户信息）与本地数据库存储的内容核对，而是将认证用户的用户名、密码通过LDAP协议发给LDAP Server进行核对；

③LDAP判断用户名、密码是否正确，返回认证结果给iMC(成功或失败)；

④iMC返回认证结果给认证设备（成功或失败），由设备将认证结果返回给认证客户端。

方案2：定期同步

iMC定期从LDAP Server上将用户信息同步到本地数据库中。终端用户通过认证协议，比如802.1x、portal、l2tp等向认证设备发起认证。

http://www.h3c.com.cn/res/200902/16/20090216_778505_image002_637484_30008_0.jpg

①认证设备将用户的信息（用户名、密码、以及其它用户信息）通过Radius协议发给iMC；

②iMC此时将设备发送过来的用户信息（用户名、密码、以及其它用户信息）与本地数据库存储的从LDAP Server上同步过来的内容进行核对，将认证结果（成功或失败）返回给认证设备。认证设备再将认证结果返回给认证客户端。

方案1适用于实时性要求高的场合，每一个认证都需要到LDAP上进行验证。例如在LDAP Server上修改了终端用户密码，终端用户旧密码即失效，要立即使用新密码才能认证通过。但由于每一个用户认证都需要送到LDAP Server上认证，iMC与LDAP Server之间会有大量的TCP连接（LDAP使用tcp389），同时终端用户数量大的时候会给LDAP Server以很大的压力，对LDAP Server的性能要求较高。

方案2的优点是iMC只在定期同步时与LDAP Server有报文交互，这样对LDAP Server的压力较小。由于是定期同步LDAP上的用户信息，当修改LDAP上的用户名信息后，iMC不能立即同步，实时性稍差。比如在LDAP Server上修改了终端用户的密码，此时该信息尚未同步到iMC的本地数据库中，用户使用旧密码还可以认证通过，需要等待iMC定期同步后用户才需要使用新密码认证，或者需要用户在iMC上手工进行LDAP同步。

这两种方案各有特点，需要在实际部署中根据具体的需求进行选择。

实践总结

通过iMC与用户现有网络中的LDAP Server进行对接，iMC可以使用用户LDAP Server上已有用户信息作为终端用户认证的用户信息，从而达到了两套系统共用一套用户信息的目的，方便了对网络中用户的管理。