本發明涉及通信領域，具體為一種基于LDAP協議的第三方數據源認證上網管理方法及系統。

背景技術：

DAP是輕量目錄訪問協議，英文全稱是Lightweight Directory Access Protocol，一般都簡稱為LDAP。LDAP誕生的目標是快速響應和大容量查詢并且提供多目錄服務器的信息復制功能，它為讀密集型的操作進行專門的優化,LDAP基于Internet協議，直接運行在簡單和通用的TCP/IP或其他可靠的傳輸協議層上，使連接的建立和包的處理簡單、快捷，對于互聯網和企業網應用都很方便。

LDAP服務器可以是任何一個開放源代碼或商用的LDAP目錄服務器（或者還可能是具有LDAP界面的關系型數據庫），因為可以用同樣的協議、客戶端連接軟件包和查詢命令與LDAP服務器進行交互，LDAP中的條目以樹形結構組織和存儲，LDAP的基本模型是建立在“條目”（Entry）的基礎上。一個條目是一個或多個屬性的集合，并且具有一個全局唯一的“可區分名稱”（用dn表示）。根據實現系統不同，LDAP協議實現主要有基于linux系統的openldap和基于windowns系統的Active Directory。

怎樣實現利用LDAP協議的第三方數據源認證上網管理是目前需要研究的課題。

技術實現要素：

本發明的目的是：提供一種基于LDAP協議的第三方數據源認證上網管理方法，以實現使用基于LDAP協議的第三方數據源進行認證上網管理，對域賬號或其葉子節點的上網時長或者是流量進行增加、刪除、更新管理；對域賬號或其葉子節點進行分級管理，實現同步對上級子節點下的葉子節點的賬號進行管理，而不需要對每個葉子節點進行管理。

實現上述目的的技術方案是：一種基于LDAP協議的第三方數據源認證上網管理方法，應用于包括云網絡管理平臺，該云網絡管理平臺基于服務集標識管理，其特征在于，包括以下步驟，

S1）云網絡管理平臺通過服務集標識對職工賬號進行分級管理；

S2）云網絡管理平臺允許職工賬號連接服務集標識管理的局域網；

S3）當職工賬號連接局域網后；所述云網絡管理平臺對所述職工賬號進行認證管理。

在本發明一實施例中，所述步驟S1）包括以下步驟：

S11）建立根域，配置根域下的所述職工賬號；

S12）配置所述根域的上網時長或流量。

在本發明一實施例中，所述步驟S12）后還包括以下步驟，

S13）建立所述根域下的葉子節點，所述葉子節點包括多個組織單元，配置葉子節點下的職工賬號；

S14）配置葉子節點中每一組織單元的上網時長或流量。

在本發明一實施例中，所述步驟S13）中所述組織單元包括

一普通用戶單元，用于管理所述普通用戶單元下的所述職工賬號以及分配所述職工賬號的上網時長或流量，該職工賬號的上網時長或流量從最近的葉子節點獲得；

一獨立單元，用于管理所述獨立單元下的所述職工賬號以及分配所述職工賬號的時長或流量，該職工賬號的時長或流量由所述云網絡管理平臺單獨分配；

一第三單元，用于管理所述第三單元下的所述職工賬號以及分配所述職工賬號的時長或流量，該職工賬號的時長或流量由所述根域獲得。

在本發明一實施例中，所述步驟S3）中包括以下步驟，

S31）認證職工賬號；

S32）當職工賬號認證通過后，職工賬號獲取上網時長或流量；當職工賬號無法認證通過，則，該職工賬號無法獲取上網時長或流量。

在本發明一實施例中，所述步驟S32）中當職工賬號認證通過后，

當所述職工賬號屬于所述根域時，該職工賬號的上網時長或流量均由所述根域獲得；

當所述職工賬號屬于所述普通用戶單元時，該職工賬號的上網時長或流量根據最近原則從所述葉子節點獲得；

當所述職工賬號屬于第三單元時，該職工賬號的上網時長或流量均由所述根域獲得；

當職工賬號屬于所述獨立單元時，該職工賬號的上網時長或流量單獨配置。

在本發明一實施例中，所述步驟S1）中還包括以下步驟，

S15）刪除所述根域或所述葉子節點：當刪除所述根域或所述葉子節點后，同時刪除由其衍生出來的所有葉子節點中賬號。

在本發明一實施例中，所述步驟S1）中還包括以下步驟，

S16）更新所述根域或所述葉子節點，當更新所述根域或所述葉子節點后，同時刪除由其衍生出來的所有葉子節點中賬號。

本發明的另一個目的是：提供一種基于LDAP協議的第三方數據源認證上網管理系統。

實現上述目的的技術方案是：一種基于LDAP協議的第三方數據源認證上

網管理系統，其特征在于，包括一云網絡管理平臺，包括服務集標識管理模塊，其中，服務集標識管理模塊用于管理職工賬號，包括職工賬號的上網認證。

進一步的，所述服務集標識管理模塊還用于分級建立根域以及根據賬號下的葉子節點，其中，所述葉子節點包括多個組織單元，所述組織單元包括普通用戶單元、獨立單元以及其他單元；其中，所述根域、葉子節點配置有不同的上網時長或流量。

本發明的優點是：本發明的基于LDAP協議的第三方數據源認證上網管理方法及系統，以實現使用基于LDAP協議的第三方數據源進行認證上網管理，對域賬號或其葉子節點的上網時長或者是流量進行增加、刪除、更新管理；對域賬號或其葉子節點進行分級管理，實現同步對上級子節點下的葉子節點的賬號進行管理，而不需要對每個葉子節點進行管理。

附圖說明

下面結合附圖和實施例對本發明作進一步解釋。

圖1是本發明實施例的上網管理系統的模塊示意圖。

圖2是本發明實施例1的認證上網管理方法步驟流程圖。

圖3是本發明實施例2的認證上網管理方法步驟流程圖。

圖4是本發明實施例2的服務集標識管理根域分級示意圖。

圖5是本發明實施例3的認證上網管理方法步驟流程圖。

其中，

1云網絡管理平臺； 11服務集標識管理模塊。

具體實施方式

以下實施例的說明是參考附加的圖式，用以例示本發明可用以實施的特定實施例。

實施例1，如圖1、圖2所示，一種基于LDAP協議的第三方數據源認證上網管理方法，該方法是基于云網絡管理平臺的，該云網絡管理平臺基于服務集標識管理。服務集標識是通過對多個無線接入點AP(AccessPoint)設置不同的SSID，并要求無線工作站出示正確的SSID才能訪問AP，這樣就可以允許不同群組的用戶接入，并對資源訪問的權限進行區別限制。因此，云網絡管理平臺1包括服務集標識管理模塊11。

其中，云網絡管理平臺是在AC基礎思想的基礎上擴展出來的無線網絡云管理平臺，該云網絡管理平臺的SSID管理支持802.1x認證方式和portal 認證上網方式，這兩種方式支持認證源是基于第三方數據源。

該云網絡管理平臺基于云平臺服務器，在該云平臺服務器上安裝操作系統，該操作系統可以是windows操作系統，也可以是Android、 iOS、 Linux 等其他操作系統，只要能支持802.1x認證方式和portal 認證上網方式即可。

服務集標識管理模塊用于管理職工賬號，包括職工賬號的上網認證。服務集標識管理模塊還用于分級建立根域以及根據賬號下的葉子節點。

由上述的云網絡管理平臺，來實現第三方數據源認證上網管理方法的步驟如下。

S1）云網絡管理平臺通過服務集標識對職工賬號進行分級管理。

即S11）在網絡管理平臺上建立一根域，并配置根域下的職工賬號。同時對根域進行分級分層管理，如有根域的下級賬號時，則需建立所述根域下的葉子節點，通過葉子節點來管理下級賬號。

此時，S12）該根域配置有所述根域的上網時長或流量以及該葉子節點也配置有上網時長或流量。

S2）云網絡管理平臺允許職工賬號連接服務集標識管理的局域網。在該步驟中，需對職工賬號進行判斷，查看該職工賬號是否符合連接局域網的條件，如密碼驗證或用戶IP地址認定等，對此不再贅述。如果認定不成功，則該局域網拒絕該職工賬號的接入，如果認定成功，則該職工賬號接入該局域網；或者不設密碼，職工賬號可以直接接入該局域網。

S3）當職工賬號連接局域網后；所述云網絡管理平臺對所述職工賬號進行認證管理。在該步驟中，云網絡管理平臺分別對該根域以及該根域下的葉子節點進行分級分層管理：當該職工賬號屬于根域賬號時，則該職工賬號可以獲取該根域賬號下所分配的上網時長或流量；當該職工賬號屬于該葉子節點下的職工賬號時，則需按照預設的協議分別配置該職工賬號的上網時長或流量。預設的協議是管理人員設置的，如將該葉子節點分別配置不同的上網時長或流量，每個葉子節點下的職工賬號獲取其所屬的葉子節點的上網時長或流量，配置方法根據管理需要設置。

實施例2，如圖3、圖4所示，在上述實施例的基礎上，對實施例1進行進一步完善，以達到對不同的職工賬號分級分層管理的需求。

所述步驟S12）后還包括以下步驟，S13）所述葉子節點包括多個組織單元，配置葉子節點下的職工賬號。所述步驟S13）中所述組織單元包括一普通用戶單元、一獨立單元以及一第三單元，第三單元是除普通用戶單元和獨立單元之外的其他單元。

普通用戶單元用于管理所述普通用戶單元下的所述職工賬號以及分配所述職工賬號的上網時長或流量，該職工賬號的上網時長或流量從最近的葉子節點獲得。

獨立單元用于管理所述獨立單元下的所述職工賬號以及分配所述職工賬號的時長或流量，該職工賬號的時長或流量由所述云網絡管理平臺單獨分配。

第三單元用于管理所述第三單元下的所述職工賬號以及分配所述職工賬號的時長或流量，該職工賬號的時長或流量由所述根域獲得。

S14）配置葉子節點中每一組織單元的上網時長或流量。

其中，在實施例1中可知，根域、葉子節點配置有不同的上網時長或流量。當在步驟S3）中，職工賬號連接局域網后，根據如下方式獲得上網時長或流量。

在步驟S1）中，如建立根域dc=abcd，dc=com。建立根域下的葉子節點，葉子節點包括多個組織單元。所述步驟S13）中所述組織單元包括普通用戶單元、獨立單元以及其他單元。其中，普通用戶單元如ou=people，dc=adcd，dc=com。其他單元如cn=tom，ou=guests，dc=abcd，dc=com。獨立單元如uid=lucy，ou=users，dc=abcd，dc=com。如此，定義上述參數，則職工賬號同樣帶有該種預設的參數，將職工賬號的參數分級分層進行匹配，當所述職工賬號屬于所述根域時，該職工賬號的上網時長或流量均由所述根域獲得；當所述職工賬號屬于所述普通用戶單元時，該職工賬號的上網時長或流量根據最近原則從所述葉子節點獲得；當所述職工賬號屬于第三單元時，該職工賬號的上網時長或流量均由所述根域獲得；當職工賬號屬于所述獨立單元時，該職工賬號的上網時長或流量單獨配置。

因此，在步驟S3）中，其具體步驟如下。

S31）認證職工賬號。

S32）當職工賬號認證通過后，職工賬號獲取上網時長或流量；當職工賬號無法認證通過，則，該職工賬號無法獲取上網時長或流量。

所述步驟S32）中當職工賬號認證通過后,判斷該職工賬號是否屬于獨立單

元，若是，則該職工賬號按照獨立單元的賬號標準獲取上網時長或流量。判斷該職工賬號是否屬于普通用戶單元，若是，該職工賬號的上網時長或流量根據最近原則從葉子節點獲得。判斷該職工賬號是否屬于其他單元，若是，該職工賬號的上網時長或流量均由該根域獲得。判斷該職工賬號屬于根域，若是，該職工賬號的上網時長或流量單獨配置。

通過上述方法，可以將不同級別和不同種類的職工賬號進行分別管理，有利于各種職工賬號的劃分和權限的設置。

實施例3，如圖5所示，在上述實施例的基礎上，對實施例2進行進一步完善，以達到對不同的職工賬號分級分層管理的需求，如進行賬號刪除、更新時，該根域下的職工賬號或者葉子節點下的職工賬號的管理和設置。

如在建立好根域、其根域下的葉子節點以及分配好各職工賬號的管理途徑后，如果需要對葉子節點或者整個根域賬號進行更改時，則按照如下的步驟操作。

S15）刪除根域或葉子節點，當刪除根域或葉子節點后，同時刪除由其衍生出來的所有葉子節點中賬號。

S16）更新根域或葉子節點，當更新根域或葉子節點后，同時刪除由其衍生出來的所有葉子節點中賬號。

若步驟S15）或步驟S16）中刪除或更新了根域或葉子節點，則刪除的賬號在重新認證時會根據步驟S11）至步驟S14）重新獲得新的時長或流量。

在上述實施例1-3中，通過云AC 管理平臺配置服務集標識（SSID）管理的認證源是第三方數據源，企業或者公司通過使用該云AC管理平臺可以允許職員使用自己的賬號進行連接SSID，訪問頁面，實現公司上網資源對外界是隔離的，保證使用無線wifi的網絡安全。

用戶使用ssid進行上網，該管理平臺需要對用戶的時長或流量進行管理，包括用戶時長或流量用完是否需要進行重新認證，對不同的組織單元（OU）級別的用戶可以配置不同的用戶上網時長或流量，對相同的OU級別的用戶可以配置相同的用戶時長，支持對某些用戶配置獨有的用戶時長或流量。

同時支持對域賬號或者其葉子節點時長或流量的刪除和修改。當刪除域賬號或者其葉子節點時，由其衍生時長或流量的賬號也同步被刪除。當更新域賬號或者其葉子節點，由其衍生時長或流量的賬號也將被更新。

以上僅為本發明的較佳實施例而已，并不用以限制本發明，凡在本發明的精神和原則之內所作的任何修改、等同替換和改進等，均應包含在本發明的保護范圍之內。