《基于LDAP的单点登录方案的设计与实现.docx》由会员分享,可在线阅读,更多相关《基于LDAP的单点登录方案的设计与实现.docx(9页珍藏版)》请在三一办公上搜索。
1、基于LDAP的单点登录方案的设计与实现1项目背景随着信息技术和网络技术的广泛普及,政府、公司、学校等公共系统的内部出现了各种各样的应用管理系统。这些管理系统中最重要的一类就是基于B/S结构的Web应用系统,如电子邮件服务等。这些应用一般通过浏览器访问Web服务器,服务器以页面表单的方式要求用户输入登录参数,用户输入并提交后,由Web服务器的脚本程序进行身份验证。近年来,Web应用的使用进入成熟阶段,提供的信息和服务也越来越多。成功地管理和保护Web应用的信息和资源已经成为一个越来越复杂的挑战。身份认证管理是保护Web信息和资源的核心部分。一般的身份认证方法是在每个应用系统中保存各自的用户信息并
2、建立独立的身份验证模块,使用独立的认证机制在各自的身份认证模块中认证。这种传统的身份认证方法将用户的“网络身份”分割成许多独立的碎片,这些碎片构成了繁多的一对一的客户服务关系,导致了更多的安全风险。同时如果用户要频繁访问不同系统,每进入一个系统就要登录一次,这无疑会耗费大量的时间,并且用户需要记忆大量的账号信息。因此,基于安全和效率的考虑,信息系统急需有一个统一的、具有较高安全控制的身份验证和授权系统,以保证数据安全和用户操作方便。在本文中,我设计并实现了一个基于LDAP的单点登录系统,它能够很好地解决用户身份验证和授权的问题。2单点登录系统介绍单点登录系统(Single Sign-On,SS
3、O),是指当用户访问多个需要认证的系统应用时,只需要初始进行一次登录和身份认证,就可以访问具有权限的任何系统,而不需要再次登录,后续系统会自动获取用户信息,从而识别出用户的身份。这样,无论用户要访问多少个不同系统间的关联应用,他只需要进行一次登录,而不需要用户重复输入认证信息。单点登录技术可以简化用户访问多种系统应用,避免用户由于需要记忆众多账号信息而出现的遗忘,而且可以减少口令等重要信息在网络传播时被截获的危险。本系统中采用LDAP目录来保存用户信息。LDAP(LightweightDirectoryAccessProtocol)即为轻量级目录访问协议,它基于X.500标准,但是简单了很多,
4、而且可以根据需要定制。LDAP目录中可以存储各种类型的数据,包括电子邮件地址、邮件路由信息、联系人列表等。通过把LDAP目录作为系统集成中的一个重要环节,可以简化员工在企业内部查询信息的步骤,甚至是主要的数据源都可以放在任何地方。LDAP协议是跨平台和标准的协议,因此应用程序就不用为LDAP目录放在什么样的服务器上操心了。3传统的用户登录模式传统的认证机制是基于用户名和密码的,每一个系统都建立有自己的用户信息数据库,用以验证用户的身份。用户要访问不同的系统就需要在各个系统中建立相应的帐号。当其要访问一个系统中的资源时,用户首先要登录进入该系统,如果他同时要访问处于多个系统中的资源,用户就不得不
5、按照各个系统的要求分别登录进入相应的系统。近年来,为了实现企业的信息化、电子商务和其他需求,出现了越来越多的网络应用系统,在这种传统的用户登录模式下,这些企业的网络用户和系统管理员不得不面对这些现实:(1)用户需要使用其中的任何一个应用的时候都需要做一次身份认证;(2)系统管理员需要对每一个系统设置一种单独的安全策略,而且需要为每个系统中的用户单独授权以保证他们不能访问没有被授权访问的网络资源。传统的用户登录过程的概念结构如图3.1所示:图3.1传统的用户登录过程图2.2说明了传统的用户登录模式的登录过程的原理:网络用户登录不同的应用系统时,需要输入相应的用户信息,不同的应用系统用不同的认证策
6、略对用户进行认证。4单点登录模式单点登录,就是用户只需要在网络中主动地进行一次身份认证,然后就可以访问其被授权使用的所有处在网络上的资源而不需要再参与其它应用的身份认证过程。这些服务资源可能处在不同的计算机环境中,用户以后的身份认证是系统自动完成的。首先,单点登录系统是采用了结合用户电子身份标识的新的身份认证机制,这种新的身份认证机制可大大提高系统的安全性。其次,单点登录系统把原来分散的用户管理,集中起来了。各个系统之间依靠相互授权的方式来进行用户身份的自动认证。用户的账号信息通过统一的电子认证进行管理管理的,管理员只需要修改统一的用户认证信息就可以关联各个系统中的用户。由此可见单点登录系统的
7、优点有:(1)提高用户的工作效率和带来良好的用户体验。用户不再需要每访问一个应用资源就进行一次身份认证过程,从而使用户有更多的时间从事有益的工作,同时也可以把用户从繁杂的帐户信息记忆中解脱出来。(2)更好的网络安全性。系统中使用的身份认证机制提供了加密等多种方法,可以防止大部分的网络攻击。同时由于新的身份认证机制使用户的账号信息记忆量减少,使系统由于用户机密信息的泄露而导致安全事故出现的机会大大减少。单点登录过程的概念结构如图2.3所示。图2.3单点登录过程图2.3说明了单点登录系统模式下用户登录过程的原理:网络用户访问不同的应用系统时,只需在统一认证入口(即单点登录中的单点)登录,取得身份认
8、证系统的身份标识,从而达到了单点登录,多点应用的目的。目前SSO的模型主要有三种:基于经纪人(Broker)的SSO方案;基于代理(Agent)的SSO方案;基于网关(Gateway)的SSO方案。(1)基于经纪人的单点登录方案(Broker-BasedSSO)在Broker-BasedSSO方案中,有一个完成集中认证、用户账号管理的服务器和一个公共、统一的用户数据库。Broker为用户提供一个能够被用户进一步访问请求的电子身份凭证。Broker-basedSSO方案的主要优点是有一个中央用户数据库,易于对用户数据进行管理。主要缺点是需要修改原有应用。(2)基于代理的单点登录方案(Agent-
9、BasedSSO)在Agent-BasedSSO方案中,有一个代理程序,自动为不同的应用程序认证用户。代理程序可以用不同的方式实现。若Agent部署在客户端,它能装载获得用户名口令列表,自动替用户完成登录过程,减轻客户端程序的认证负担。Agent部署在服务器端,它就是服务器的认证系统和客户端认证方法之间的“翻译”。当软件供应商提供了大量的与原有应用程序通信的Agent时,Agent-BasedSSO方案可使应用迁移变得十分容易。(3)基于网关的单点登录方案(Gateway-BasedSSO)在基于Gateway-BasedSSO方案中,用户对受限网络服务的访问都必须通过网关。网关可以是防火墙,
10、或者是专门用于通信加密的服务器。所有需要保护的网络服务器都放在被网关隔离的受信网段里。客户通过网关认证后获得访问服务的授权。如果在网关后的服务能够通过IP地址进行识别,就可以在网关上建立一个基于IP的规则表。将规则表与网关上的用户数据库相结合,网关就可以被用于单点登录。由于网关可以监视并改变传给应用服务的数据流,所以它能够改变认证信息以适应适当的访问控制,而不用修改应用服务器。网关作为一个分离的部件,安装和设置方便;但是如果存在多个安全网关,那么用户数据库并不能自动地被同步。Gateway-BasedSSO方案不适用于用户端使用代理的情况。本文设计并实现的基于LDAP目录服务的校园身份管理系统
11、,采用的是较为简单的Broker-BasedSSO方案。5LDAP目录访问协议5.1目录访问协议5.1.1目录服务概述目录是一种专门被优化用于执行读、浏览、搜索等操作的数据库,可以包含网络以及在网络上运行的应用程序所需的信息。它倾向于包含具有描述性的、基于属性的信息,并且支持高度复杂的过滤搜索功能。目录通常不支持复杂的关系操作和事务机制,而关系型数据库管理系统则常用于处理复杂的更新操作。目录被优化成以对大量的查找和搜索操作做出快速响应,并且目录可以复制信息以增加可用性和可靠性,这样也减少了响应时间。目录服务提供对目录信息访问。有多种不同的方式实现目录服务,不同的方式允许目录存储不同种类的信息,
12、对目录信息的引用、查询、更新也有不同的要求。其中全局目录通常是分布式的,目录信息存储在网络上的多台主机上,多台主机联合提供目录服务。5.1.2 X.500目录访问协议X.500协议系列是世界通用的分布式目录服务标准,由ITU-T与ISO/IEC于1988年合作制定,并成为ISO标准9454。X.500在一个层次式命名空间中组织目录对象,并支持大量的信息存储。X.500定义了强大的搜索功能,使存取目录信息变得更加容易。X.500具有可伸缩性,可以借助于附加的模块实现与其它目录的互操作性。X.500定义了综合目录服务,包括信息模型、名字空间、功能模型、访问控制、目录复制以及目录协议。X.500标准
13、是建立在ISO协议基础上的一个应用协议。它以目录树的形式存放和管理信息,每棵目录树对应一个单位或组织,由一个目录系统代理DSA(DirectorySystemAgent)管理。各个独立的DSA之间通过目录系统协议DSP(DirectorySystemProtocol)相互传递信息,形成分布式系统和区域自治,实现信息的共享。用户通过目录用户代理DUA(Directory User Agent)通过DAP(Directory Access Protocol)访问DSA,查询和维护信息。由于X.500是一个分布式目录服务,因此具有巨大的潜在命名空间、本地数据的本地管理能力、高级的搜索功能、一直并且可
14、以局部扩展的命名空间、提供简单认证和强认证安全性、访问控制列表和复制支持。但是,X.500虽然是一个完整的目录服务协议,但在实际应用的过程中,却也存在着不少障碍,主要表现在:(1)严格遵照ISO七层协议模型,对相关层协议环境要求过多;(2)主要是在UNIX上运行,很多小系统上无法使用。因而随着TCP/IP协议的普及,这一系列协议越来越不适应实际的需要了。5.1.3 LDAP目录访问协议LDAP(LightweightDirectoryAccessProtocol)即为轻量级目录访问协议,它基于X.500标准,但是简单了很多,而且可以根据需要定制。与X.500不同,LDAP支持TCP/IP,这对
15、访问Internet是必须的。LDAP的核心规范在RFC中都有定义。在企业范围内实现LDAP,可以让运行在几乎所有计算机平台上的所有应用程序从LDAP目录中获取信息。LDAP目录中可以存储各种类型的数据,包括电子邮件地址、邮件路由信息、联系人列表等。通过把LDAP目录作为系统集成中的一个重要环节,可以简化员工在企业内部查询信息的步骤,甚至是主要的数据源都可以放在任何地方。LDAP协议是跨平台和标准的协议,因此应用程序就不用为LDAP目录放在什么样的服务器上操心了。实际上,LDAP得到了业界的广泛认可,就是因为它是Internet的标准。生产商都很愿意在产品中加入对LDAP的支持,因为他们根本不
16、用考虑另一端(客户端或服务端)是怎么样的。LDAP服务器可以是任何一个开发源代码或商用的LDAP目录服务器(或者还可能是具有LDAP界面的关系型数据库),因为可以用同样的协议、客户端连接软件包和查询命令与LDAP服务器进行交互。5.1.4 X.500和LDAP两种协议的比较从目录服务技术的发展来看,LDAP标准实际上是在X.500标准基础上产生的一个简化版本,两者之间的关系与那种为解决同一个问题而出现的两个独立发展的技术有很大的不同之处。(1)作为IETF(InternetEngineeringTaskForce)一个正式的标准,LDAP是X.500标准中的目录访问协议LDAP的一个子集,可用
17、于建立X.500目录。因此这两个目录服务技术标准有着许多的共同之处,即在平台上,都实现了一个通用的平台结构,提供了一个操作系统和应用程序需要的信息服务类型,可以被许多平台和应用程序接收和实现;在信息模型上,都使用了条目、对象类、属性等概念和模式来描述信息;在命名空间方面,都使用了目录信息树结构和层次命名模型:在功能模型上,都使用了相似的操作命令来管理目录信息;在认证框架方面,都可以实现用户名称和密码,或者基于安全加密方式的认证机制;在灵活性上,它们的目录规模都可大可小,大到全球目录树,小到只有一台目录服务器;在分布性方面,目录信息都可以分布在多个目录服务器中,这些服务器可以由各组织管理,既保证
18、了目录信息总体结构一致性,又满足了分级管理的需要。(2)LDAP与X.500的DAP相同之处是LDAP也是被设计用来从分层目录中提取信息。但与之不同的是,为保持网络的带宽,LDAP对来自X.500目录询问的应答次数加以限制。最初LDAP只是一种访问X.500目录的简单方法,是X.500的功能子集,但随着它的成熟和独立发展,已经增加了许多在X.500中没有的新特性。现在的LDAP既可以为X.500目录服务提供一个轻型前端,也可以实现一个独立的目录服务。(3)LDAP的独特之处在LDAP中AP(AccessProtocol)既是一个X.500的访问协议,又是一个灵活的,可以独立实现的目录系统。在L
19、DAP中,DAP基于Internet协议,X.500基于OSI(开放式系统互联)协议:建立在应用层上的X.500目录访问协议DAP,需要在OSI会话层和表示层上进行许多的建立连接和包处理的任务,需要特殊的网络软件实现对网络的访问;LDAP则直接运行在更简单和更通用的TCP/IP或其它可靠的传输协议层上,避免了在OSI会话和表示层的开销,使连接的建立和包的处理更简单、更快,对于互联网和企业网应用更理想。LDAP协议更为简单:LDAP继承了X.500最好的特性,同时去掉了它的复杂性,LDAP通过使用查找操作实现列表操作和读操作;另一方面省去了X.500中深奥的和很少使用的服务控制和安全特性,只保留
20、了常用的特性,简化了LDAP的实现。LDAP通过引用机制实现分布式访问:X.500中DSA通过服务器之间的链操作实现分布式访问,这样就使查询的压力集中在了服务器端;而LDAP通过客户端API实现分布式操作,平衡了负载。LDAP具有低费用、易配置和易管理的特点:经过性能测试,LDAP比X.500具有更少的响应时间;LDAP提供了满足应用程序对目录服务所需求的特性。5.2 LDAP工作原理LDAP是以服务器客户端方式工作的,目录服务将数据库软件的逻辑结构分为前端(客户端)和后端(服务端和仓库)。LDAP的逻辑结构如图3.1所示。图3.1LDAP的逻辑结构图3.1说明了LDAP的三层逻辑结构:客户端
21、负责和用户进行交流,服务器端负责接受和解释客户的请求,仓库则是真正存储信息的地方。客户端是直接面对一般开发者和用户的;服务端是用于接收和解释客户请求,然后以客户的身份完成请求,并将完成结果返回给用户;仓库则是真正存储信息的地方。在LDAP中,服务端和仓库之间的连接采用了ODBC机制,所以可以使用任何支持和具有ODBC驱动程序的数据库软件,简单的可以是Linux系统中自带的GDBM或Alpha中的NDBM等数据库管理系统;也可以选用在功能和性能上更优越的Oracle和Sybase等系统,这样,可以提高系统的可移植性。现在己经有了许多基于LDAP协议开发出的资源管理系统和工具,如Openldap,
22、NDS(NovellDirectoryService)和ADS(ActiveDirectoryService),OracleOID等。它们已经逐渐的被使用在了各个需要目录服务的领域,并且应用的趋势在增强。5.3 LDAP模型LDAP有四种模型:信息模型、命名模型、功能模型、安全模型,用以描述LDAP的工作机制,描述什么样的数据可以存于LDAP目录中,以及如何操作这些数据。5.3.1信息模型LDAP信息模型描述LDAP的信息表示方式,定义了能够在目录中存储的数据。它以模式(Schema)为基础,以条目(Entry)为核心。模式由若干条目组成,条目即为关于对象的属性信息集合。每个属性储存有属性值,
23、说明对象的一个特征,每个属性有一个类型,不同的类型有不同的取值范围,每个类型可以对应一个值,也可以对应多个值。LDAP中的信息模型,类似于面向对象的概念,在LDAP中每个条目必须属于某个后多个对象类型(ObjectClass),每个ObjectClass由多个属性类型构成,每个属性类型有所对应的语法规则和匹配规则;对象类和属性类型的定义均可以使用继承的概念。每个条目创建时,必须定义所属的对象类,必须提供对象类中必选类型的属性值,在LDAP中把对这些对象类、属性类型、语法和匹配规则统称为Schema。Schema元素分系统定义和用户定义两类。一般用户只能定义属性类型和对象类型。(1)属性类型(A
24、ttributeTypes)属性类型控制属性格式,包括属性的语法、匹配规则、是否可以多值、修改权限和用法等。属性类型可以直接由0或多个属性类型继承而来,形成属性类型的层次关系树。(2)对象类(ObjectClass)对象类是“共享某些特性的对象的识别家族”,即对象的模板。通过定义条目中所含的属性来定义目录中的条目类型。5.3.2命名模型LDAP中的命名模型,也即LDAP中的条目定位方式。在LDAP中每个条目均有自己的DN和RDN。DN是该条目在整个树中的唯一名称标识,RDN是条目在父节点下的唯一名称标识。如同文件系统中,带路径的文件名就是DN,文件名就是RDN。命名模型以倒树的形式排列,目录树
25、命名模型如图3.2所示。图3.3目录树命名模型图3.3说明了目录树命名模型的结构,该图表述了组织ou=Student,o=SSDUT,st=LiaoNing,c=China下的一个用户cn=guoshuyang。可以看到,LDAP的模型与Unix系统中目录结构类似,其不同之处在于:(1)在LDAP目录中,DN中各元素的排序是从叶到根;而在Unix文件系统中,文件绝对路径名中各元素的排序是从根到叶;(2)在LDAP目录中,DN中各元素之间的分隔符是“,”;而在Unix文件系统中,文件绝对路径名中各元素之间的分隔符是“/”;(3)在LDAP目录中,允许超越树形结构的别名项目(AliasEntry)
26、,它指向其它项目。5.3.3功能模型在LDAP中功能模型共有三类:(1)询问(Interrogation)LDAP在信息询问方面主要定义了查找(Search)和比较(Compare)两个操作。在查找操作中,根据选取标准在指定范围内选择项目,这个选取标准通常称作查找过滤器(Searchfilter),并且可以规定一组需要返回的属性。另外,还可以规定查找结果的大小和客户端等待结果的时间。比较操作主要是判断指定项目是否包含指定属性(包括类型和值)。(2)更新(Update)LDAP在信息更新方面定义了新增(Add),删除(Delete)、修改(Modify)和修改RDN(ModifyRDN)等四个操
27、作。新增操作主要是在LDAP目录中插入一个新的项目;删除操作主要是从LDAP目录中删除已有项目;修改操作主要是修改已有项目的属性,具体地说,可以增加、删除、修改属性或属性值;修改RDN操作主要是修改项目的名字。(3)身份验证(Authentication)LDAP在身份验证方面定义了连接(Bind)、断接(Unbind)和作废(Abandon)等三个操作。连接操作主要是客户端向服务器提供身份信息,包括DN和口令,以便于服务器验证客户端的身份,身份验证成功即建立客户端与服务器之间的会话(session)。断接操作主要是结束客户端与服务器的会话。作废操作主要是中止正在执行的操作。5.3.4安全模型
28、LDAP中的安全模型主要通过身份认证、通讯安全和访问控制来实现。身份认证:在LDAP中提供三种认证机制,即匿名、基本认证和SASL(SimpleAuthenticationandSecureLayer)认证。匿名认证即不对用户进行认证,该方法仅对完全公开的方式适用;基本认证均是通过用户名和密码进行身份识别,又分为简单密码和摘要密码认证;SASL认证即LDAP提供的在SSL和TLS安全通道基础上进行的身份认证,包括数字证书的认证。通讯安全:在LDAP中提供了基于SSL/TLS的通讯安全保障。SSL/TLS是基于PKI信息安全技术,是目前Internet上广泛采用的安全服务。LDAP通过Start
29、TLS方式启动TLS服务,可以提供通讯中的数据保密性、完整性保护;通过强制客户端证书认证的TLS服务,同时可以实现对客户端身份和服务器端身的双向验证。访问控制:虽然LDAP目前并无访问控制的标准,但从一些LDAP产品的访问控制情况,我们不难看出:LDAP的访问控制异常灵活和丰富,在LDAP中是基于访问控制策略语句来实现访问控制的,这不同于现有的关系型数据库系统和应用系统,它是通过基于访问控制列表来实现的,无论是基于组模式或角色模式,都摆脱不了这种限制。在使用关系型数据库系统开发应用时,往往是通过几个固定的数据库用户名访问数据库。对于应用系统本身的访问控制,通常是需要建立专门的用户表,在应用系统
30、内开发针对不同用户的访问控制授权代码,这样一旦访问控制策略变更时,往往需要代码进行变更。总而言之,关系型数据库的应用中,用户数据管理和数据库访问标识是分离的,复杂的数据访问控制需要通过应用来实现。而对于LDAP,用户数据管理和访问标识是一体的,应用不需要关心访问控制的实现。这是由于在LDAP中的访问控制语句是基于策略语句来实现的,无论是访问控制的数据对象,还是访问控制的主体对象,均是与这些对象在树中的位置和对象本身的数据特征相关。在LDAP中,可以把整个目录、目录的子树、制定条目、特定条目属性集或符合某过滤条件的条目作为控制对象进行授权;可以把特定用户、属于特定组或所有目录用户作为授权主体进行
31、授权;最后,还可以定义对特定位置(例如IP 地址或DNS名称)的访问权。5.4 LDAP目录与关系型数据库的对比LDAP作为存储介质,同关系型数据库一样,都可以存储各种类型的数据,包括邮件地址,联系人列表等。作为一门新兴的正在迅猛发展的技术,与关系型数据库不同之处在于:(1)存储内容:目录服务器的重要功能是提供快速的查询。其中的数据更新很少,存储的多是更新频率很低的数据,更新的过程往往是成批的增加或删除,并且各数据项之间的关联不是很密切。而关系型数据库存储的多是一些需要随时更新的数据,各个数据的关系比较复杂,往往一个数据的更新带来一系列数据的更新操作。用户的口令等信息数据静态的数据,更新的频率
32、不高,并且往往是成批的增加和删除用户,所以更适合用目录服务器存储。(2)存储模式:目录服务独特的对象存储模式和树状结构使其具有良好的扩展性。在LDAP中,信息是以条目为单位存储,每个条目包括一个或多个属性,每个属性由一个或多个值,这种结构很适合于用户基本信息的存储。(3)存储方式:目录服务支持数据的分块和冗余存储,不同的服务器之间以指针相连,这一点使得目录服务能更好的适应分布式环境。(4)访问方式:目录服务不像关系型数据库那样支持复杂的SQL查询和更新,但是,LDAP中提供了很多访问目录服务的API函数,可以利用它们开发各种基于LDAP的应用。无论对信息提供者、管理者或是访问者,以LDAP为代
33、表的目录服务因其简单、高效、低成本,都是一个很好的解决方案。随着网格热潮的兴起,目录服务渐渐成为研究热点,其重要性正逐渐为大家所认同,因而目录服务也被视为网络应用发展的下一个核心技术。5.5 LDAP在用户身份管理中作用每个机构都需要使用一种机制来记录其实体(如员工、员工所在的部门)和资产(如建筑物、会议室和设备等)。这种机制通常以目录的形式出现,提供机构内所有成员的联系信息。在商业社会普及计算机之前,这些目录通常只是一些私人电话薄,并且通常是按照字母瞬息排列的员工名单和他们的联系信息,但这也反映了机构的组织结构的一个侧面。如果组织组都大,那么其目录可能包括部门列表、大楼以及会议室的电话号码部
34、分。通常,这种目录的发布由某个人或某个小组负责,组织越大,这项任务就越艰巨。随着传呼机、移动电话和电子邮件等电子商务工具的普及,要维护这样的目录越来越困难。现在员工拥有不止一个电话号码,即他们有多条联系信息。这种状况就要求使用电子目录,以便存储各种联系信息,其结构要相当灵活。在LDAP目录服务中,有两个重要的特点:(1)目录是对象的层次结构,对象可以代表员工、资产或其他任何实体。(2)目录的树状层次结构中,机构的各个部门只负责维护目录结构中属于自己的那部分,即可确保每个对象都有父对象负责创建和维护该对象。这一特征于身份认证非常重要,因为公钥可能是与员工有关的信息之一。在非对称加密算法中,要核实公钥的真实性和验证持有者的身份,其中一种方法是以数字证书的方式提供公钥,即有可信的第三方验证公钥持有者的身份,并将公钥和数字证书进行绑定。这是通过对包含持有者的身份和公钥的文档进行数字签名而实现的,但还需要解决的问题是如何发布证书,即让公众获得证书。LDAP的灵活性使其不仅可以存储数字证书及员工的其他信息,还可以用于发布组织中全部成员的数字证书链。
