用户统一身份认证系统要研究开发一套企业级的用户身份认证平台,提供一个完整的用户身份认证体系。基于目录服务的统一身份认证系统,采用了LDAP 标准协议,利用了目录服务的分布式特性,将分布在各个应用系统中的用户和资源信息都组织到一个逻辑目录树中,很大程度上简化了认证服务中心和各应用系统之间的通信,降低了系统实现的难度。目录服务系统将LDAP 服务器作为身份管理的核心数据库,存储用户身份信息、角色和访问控制信息。并提供策略服务系统,对整个系统用户进行统一管理的用户管理服务,以及执行管理员制定的策略的授权服务。与数据库为中心的分布式网络系统相比,这实现方法具有良好的可扩展性和集中管理功能,灵活性强、实现简单的特点。本系统采用基于可信任第三方的Kerberos 认证协议。提出LDAP 协议和Kerberos 认证技术相结合,主要完成认证服务器的设计,通过AS 认证服务和TGS 授权服务两大功能模块,实现对用户身份统一认证和授权。运用“票据”的概念,实现了一次签发的机制,方便了用户和管理人员。并支持双方认证,极大提高了系统的安全系数。同时,采用单点登录方式通过一次身份验证,可以透明登录到所有授权的应用。通过单点登录把原来分散的用户管理集中起来,可以自动完成用户对应用的登录,减少用户登录的等待时间。