[发明专利]涉及跨分布式目录的组成员资格的访问授权的方法和系统

说明书

技术领域

本发明涉及改进的数据处理系统，具体地说，涉及用于数据库访问的方法和装置；更具体地说，本发明涉及根据来自分布式目录的信息来执行认证操作的方法和装置。

背景技术

目录是用于管理与人、组织、数据处理系统和其他信息资源有关的信息的特殊类型的数据库。目录内的信息组织在分层名称空间中。每个表项是命名对象并包括一组属性。每个属性具有定义的属性类型以及一个或多个值。每个表项都由明确的特异名称(DN)来标识，其中特异名称是表项中选定属性的级联。目录服务提供了用于搜索目录和从目录检索信息的机制。发布了各种用于定义目录和目录服务的标准。例如，X.500规范定义了目录标准；可以在Weider等人1992年3月在Internet Engineering TaskForce(IETF)RFC 1309中发表的“Technical Overview of DirectoryService Using the X.500 Protocol”中找到更多信息。作为另一个实例，轻量目录访问协议(LDAP)规范定义了用于访问支持X.500目录模型的目录的协议；可以在Wahl等人1997年12月在IETF RFC 2251中发表的“Lightweight Directory Access Protocol(v3)”中找到更多信息。

目录的逻辑表示并不一定反映目录的物理存储的组织。通过类似于许多类型的存储器系统的方式，可以作为连贯整体逻辑地支持目录，但仍以分布方式物理地支持目录。例如，单个目录可以存储在许多服务器间，其中每个服务器支持目录的子树。

目录使用的实例可以是存储与个体(例如，企业的雇员，其中每个个体都是分布式数据处理系统的许多用户之一)有关的信息的目录。目录中的表项可以存储有关个体的属性；目录中特定用户的表项将由用户的特异名称来标识。此外，可以定义组，以使该组表示用户的集合；目录中的表项可以包含有关组成员资格的信息。目录中的表项可以存储有关组的属性；目录中特定组的表项将由组的特异名称标识。“用户表项”一词可以指目录中表示存储特定用户的属性的表项，而“组表项”一词可以指目录中表示存储特定组的属性的表项。

当为包含用户表项和组表项的目录使用分布式存储机制时，会出现各种信息处理问题。例如，代表指定用户针对指定目标对象执行的特定类型的操作可能要求对指定用户在特定组中的成员资格的肯定性确定，以作为成功完成特定类型操作的要求。尽管指定用户可能属于特定的组，即，指定的用户可能拥有所要求的组成员资格，但是在采用分布式目录时，确定该事实可能存在问题。在一些情况下，指定用户的用户表项可能位于由不同服务器支持的分布式目录的一部分(而不是分布式目录中包含指定用户所属组的组表项的另一部分)。因此，当服务器尝试执行针对指定用户的操作时，从分布式目录的本地存储和本地支持的部分检索用户表项可能很平常；但是，检索必要的组表项可能很困难，因为服务器可能不具备随时可用的信息或机制来定位和/或检索存储在分布式目录的其他位置的组表项。也就是说，如果指定用户的用户表项位于一个服务器，而具有该用户作为其成员的组的组表项位于其他服务器，则为了确定指定用户属于该组，必须克服分布式存储的障碍。

更具体和困难的问题是在分布式目录间进行访问控制所要求的确定组成员资格的操作。例如，就目录而言，用户可能是一个或多个组的成员，而组成员资格用于确定对该目录中表项的访问。也就是说，应仅向特定组的成员提供对其中定义了用户和用户组的目录的特定部分的访问。在当前的目录服务器实施方式中，限制访问并不困难，因为假定用户和用户组位于同一目录服务器上。但是，存在在典型的分布式数据处理环境中支持分布式目录系统的需要，其中分布式目录系统提供在多个目录服务器间分隔和支持的单个目录信息树(DIT)；客户机应能够透明地访问分布式目录服务器，由此自动且无缝地从目录信息树中检索信息，无需了解有关数据如何在支持服务器间分割的详细信息。在此方面，一些当前的系统采用了协助访问在多个服务器上支持的目录信息树的代理服务器。

但是，在评估组成员资格以确定分布式目录环境中的访问时存在两个主要问题。首先，组成员资格评估很困难，因为用户表项、组表项和目标对象表项可能存在于任何支持分布式目录的服务器上。第二，在特定服务器确定了给定用户的组成员资格之后，需要将有关组成员资格的信息从该特定服务器传送到支持分布式目录的其他服务器，以便代表给定用户支持有关访问分布式目录中的信息的操作，这些其他服务器中的任何一个服务器都可能支持和存储所述目录。