本文由RunBirdX贡献
doc文档可能在WAP端浏览体验不佳。建议您优先选择TXT,或下载源文件到本机查看。 国家电网公司企业标准 SG/T XXXXX.XX
电网企业门户系统用户目录服务 设计和管理规范
Portal directory for electric grid enterprise Design and management specifications
(征求意见稿) 征求意见稿) YYYY-MM-DD 发布 国家电力公司 YYYY-MM-DD 实施 发布 目 录
1 2 3 4 5
目的?? 1 目的 范围?? 1 范围 规范性引用文件?? 1 建设原则?? 2 建设原则 建设目标?? 2 建设目标 5.1 5.2 初期目标 ?? 2 最终目标 ?? 2 6
目录服务系统总体设计规范 ?? 2 6.1 6.2 6.3 LDAP 目录服务系统 ?? 2 分布式目录系统结构 ?? 3 目录服务结构设计 ?? 4
5.3.1 目录树的设计原则 ?? 4 5.3.2 目录属性定义 ?? 5 5.3.3 目录对象类定义 ?? 7 6.4 目录服务系统部署方案 ?? 10 5.4.1 信息分区部署方式 ?? 11 5.4.2 信息复制部署方式 ?? 12 5.4.3 国家电网公司统一目录服务部署建议方案 ?? 14 7 附表: 附表:?? 16 1 目的
本规范结合 SG186 项目的建设思路, 提出国家电网公司企业门户系统用户管 理的建设目标,对公司系统用户管理的目录服务架构、对象定义、管理方案、与 应用系统的集成进行规划,同时对应用系统的建设提出要求,规范和指导国家电 网公司企业门户系统用户管理的建设。 2 范围
本规范是国家电网公司企业门户系统用户管理建设的基本依据。 各网省公司 可依照本规范以及其它相关标准, 结合本地实际情况建设本网省公司的企业门户 系统用户管理。 3 规范性引用文件
凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订 版均不适用于本部分,然而,鼓励根据本部分达成协议的各方研究是否可使用这 些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本部分。 GB/T 2312-1980 RFC 1823 RFC 2251 RFC 2252 RFC 2254 RFC 2255 RFC 2256 RFC 2849 信息交换用汉字编码字符集 基本集
LDAP应用程序编程接口 轻型目录访问协议(版本3) 轻型目录访问协议(版本3):属性语法定义 LDAP查询过滤器的字符串表示 LDAP的URL格式) LDAPv3使用的X.500(96)用户模式汇总 LDAP数据交换格式(LDIF)
国网公司系统统一目录服务建设规范 4 建设原则
国家电网公司企业门户系统用户管理建设的基本原则是“集中规划、统一建 设、分级管理”。即由公司总部统一规划系统用户目录管理的相关要求,统一进 行国网公司企业门户系
统用户目录系统的建设,,公司总部用户目录系统集中存 放各网省公司的用户信息,各网省公司管理、维护本地的用户目录系统。 5 建设目标 5.1 初期目标
建立国网公司总部和试点单位的统一用户目录服务, 实现总部和试点单位企 业门户系统用户的单点登录和统一管理;对国网公司系统目录结构、用户属性、 命名规则、编码规则等提出规范性要求;规范、制定国网公司企业门户系统统一 用户管理的流程。 5.2 最终目标
实现国家电网公司全系统企业门户单点登录和统一用户管理, 实现与原有各 应用系统的用户管理集成,制定新建应用系统用户管理、授权、认证的标准。 6 目录服务系统总体设计规范 6.1 LDAP 目录服务系统
LDAP 目录服务系统必须采用遵守 LDAP V3 标准的目录服务产品,并满足以 下要求。 目录服务产品协议标准 遵循标准的 LDAP 访问协议,以便支持分布式特性,并能够实现协议通讯 的向上向下兼容。目录服务产品应采用服务器(Server)/客户端(Client)的 2
国网公司系统统一目录服务建设规范 总体模型,客户端通过访问服务器来完成所有协议操作。 性能和容量: 性能和容量: 提供 100 万数据容量的 ms 级访问,应达到同时处理 1000 个以上的并发连 接的能力。 安全性: 安全性: 提供多种身份认证方式,包括匿名、用户名/密码和数字证书的身份认 证; 支持灵活的访问控制,可以精确到条目和属性,能实现与数字证书结合的 访问控制; 数据通道的保密,防止对通讯过程的监控造成的信息泄密。 跨平台: 跨平台: 目录服 务产 品应 该支 持主流 操作 系统 平台 (例如 :Windows 、Linux、 HP-UNIX、Solaris、IBM AIX) 支持分布式: 支持分布式: 提供 Referral 的分布式自动漫游查询支持,至少 3 级以上; 提供一主多从、级联、子树、互为主从等多种复制模式。 标准的支持: 标准的支持: 支持 LDAP V3 标准:RFC 2251、RFC 2252、RFC 2253、FC 2254、RFC 2255、 RFC 2256. 易用性上: 易用性上: 提供图形化的管理界面,降低系统维护成本。 6.2 分布式目录系统结构
国家电网公司统一目录系统采用分布式结构。国网公司中央目录数据库中 存储整个国家电网公司项目系统的整体信息, 各区域公司设置中央目录服务器的 3
国网公司系统统一目录服务建设规范
从目录服务器及本地目录服务器, 各省公司设置本地目录服务器用以存储本地的 目录数据。 对于中央目录服务系统、区域和省级目录服务系统,目录服务器要求采用 双机热备方式。 各级节点的目录服务器可采用主、从双服务器设计方式,保障该节点目录 服务的可靠性。当系统并发访问 LDAP 的用户数量达到一定程度,需要采用多从 的方式,同时为了提高目录的并发访问数量,实现负载平衡和失败容错,需要 在从目录服务器前增加硬件代理。 6.3 目录服务结构设计 5.3.1 目录树的设计原则
目录树的结构设计为目录数据的命名和应用访问提供基本框架, 目录树的结 构设计应符合LDAP层次模型,目录树设计的基本原则如下: · · · 有利于简化目录数据的管理; 可以灵活的创建数据复制和访问策略; 支持应用系统对目录数据的访问要求;
目录服务系统的后缀(suffix)确定了目录条目的命名空间。多个目录服务 系统可以在一个统一命名空间下对条目进行命名, 不同的目录服务系统管理该命 名空间下的不同部分。整个命名空间的最底层一般被称为命名空间的根后缀,不 同的目录服务系统的管辖空间形成
了子后缀。 国家电网公司统一目录树结构如下图所示: o=sgcc,c=cn
ou=HQ,o=sgcc,c=cn ????
ou=NE,o=sgcc,c=cn
nodeid=apps,o=sgcc,c=cn
nodeid=users,ou=HQ,o=sgcc,c=cn
nodeid=department,ou=HQ,o=sgcc,c=cn appid=sys_email,? appid=sys_oa,? 4
uid=user1 uid=others,? ou=depart1,? ou=depart2,?
国网公司系统统一目录服务建设规范
节点说明: 节点说明: nodeid=apps 存放所有应用的结点,这些结点之间是平行的关系; nodeid=users 存放所有单位用户的结点,这些结点之间是平行的关系; nodeid=department 存放本单位所有的部门结点, 这些结点之间是平行的关 系,每个部门结点本身有上级部门的属性;可以保证部门的树状结构关系; 举例: 条目 dn 举例: 某个用户的uid=user1, ou=HQ,o=sgcc,c=cn 某个部门的ou=depart1, ou=HQ,o=sgcc,c=cn 某个应用的appid=sys_email, nodeid=apps,o=sgcc,c=cn 目录命名空间说明: 目录命名空间说明: 为了保证以后的扩展性,目录的根后缀至少应该定义到整个国家电网公司, 目前的定义是: 国家电网公司:o=sgcc,c=cn 国网本部:ou=HQ,o=sgcc,c=cn,东北电力公司:ou=NE,o=sgcc,c=cn,各单 位代码表详见附件。 Email应用:appid=sys_email, nodeid=apps,o=sgcc,c=cn,其他应用以此 类推。 5.3.2 目录属性定义
在目录服务中,代表用户信息的条目的RDN选择SN或CN,代表国家电网下属 单位信息条目的RDN选择ou。对于DN中的数据内容必须严格参照RFC 2253的规定, 不允许出现的字符决不能出现。RDN的选择必须是必选属性。下面以国家电网公 司本部为例说明该节点下面的nodeid属性。 (1)用户属性列: 属性名 cn 页面名称 用户登录名(必填项) 5
国网公司系统统一目录服务建设规范
sn userPassword idsuserstatus depart telephoneNumber mobile mail appdesc dispdesc userpos job uid usercertificate objectClass 说明: 说明:
中文名字(必填项) 用户密码(必填项) 启停状态(必填项,缺省是 1) 用户所在部门的 id(参见说明) 电话(可选项) 移动电话(可选项) 邮件(可选项) 多值,参见下面的说明 应用展示项(可选项) 用户位置 职务 证书 id 证书内容 idsperson
appdesc : 用 户 关 联 的 应 用 以 及 应 用 中 用 户 帐 号 , 格 式 是 appid#appuserid#appuserpassword。如果应用不需要进行用户帐号的映射,那么就 只有 appid,否则格式必须至少是:appid#,中间用#分离; depart:用户所在部门的 id(必填项,是部门结点的 ou 属性) ; .userpos:代表用户所在节点的位置,作为将来扩展用; (2)部门属性列表: 属性名 ou description addrdesc telephoneNumber l objectClass 说明: 说明:
6
页面名称 部门代码(必填项) 部门名称(必填项) 部门地址(可选项) 部门电话(可选项) 上级部门代码(必填项,参见说明) idsorganizationUnit 国网公司系统统一目录服务建设规范
ou:当部门为处室时,命名需有上级部门标识,如国网本部发展部 ou=fz,发展 部综合处的 ou=fzzh。 l:上级部门代码,当 l 和 ou 相同时代表顶级部门 (3)所有系统应用条目在 o=sgcc,c=cn 节点下面,应用条目的属性列表: 属性名 appid appdesc appuserid SSOProxyLoginURL SSOProxyLogoutURL attrdesc objectClass 说明: 说明: appid:应用必须按照规定的编码规则来输入,比如:sys_HQ_email,代表国网 本部的 email 应用, 这个应用名字还必须是全局 (整个国网公司, 包括下属单位) 唯一。 appuserid:新增属性,代表多 id 情况; 页面名称 应用编码(必填项,需要) 应用名称(必填项) 映射用户的个数(参见说明) 登入路径(必填项) 登出路径(可选项) 应用所使用属性的描述(必填项) idsapp
5.3.3 目录对象类定义
(1)用户的对象类:idsperson 从 LDAP 的标准对象类 inetorgperson 继承; objectclass ( 2.5.6.6.1 NAME 'idsperson' STRUCTURAL SUP inetorgperson MUST ( cn ) MAY ( sn $ idsuserstatus $ depart $ appdesc $ dispdesc $ userpos $ job ) ) 7
国网公司系统统一目录服务建设规范
(2)组织的对象类:idsorganization 从 LDAP 的标准对象类 organization 继承; objectclass ( 2.5.6.4.1 NAME 'idsorganization' STRUCTURAL SUP organization MUST ( o ) MAY ( userPassword $ searchGuide $ seeAlso $ businessCategory $ x121Address $ registeredAddress $ destinationIndicator $ preferredDeliveryMethod $ telexNumber $ teletexTerminalIdentifier $ telephoneNumber$ internationaliSDNNumber $ facsimileTelephoneNumber $ street $ postOfficeBox $ postalCode $ postalAddress $ physicalDeliveryOfficeName $ st $ l $ description $ addrdesc ) )
(3)部门的对象类:idsorganizationUnit 从 LDAP 的标准对象类 organizationUnit 继承; objectclass (2.5.6.5.1 NAME 'idsorganizationUnit' STRUCTURAL SUP organizationUnit MUST ( ou ) MAY ( userPassword $ searchGuide $ seeAlso $ businessCategory $ x121Address $ registeredAddress $ destinationIndicator $ preferredDeliveryMethod $ telexNumber $ teletexTerminalIdentifier $ telephoneNumber $ internationaliSDNNumber $ facsimileTelephoneNumber $ street $ postOfficeBox $ postalCode $ postalAddress $ physicalDeliveryOfficeName $ st $ l $ description )
(4)应用的对象类:idsapp 从 LDAP 的标准对象类 top 继承; 8
国网公司系统统一目录服务建设规范 objectclass ( 2.5.6.12.2 NAME 'idsapp' STRUCTURAL SUP top MUST ( appid $ appdesc ) MAY ( attrdesc $ SSOProxyLoginURL $ SSOProxyLogoutURL $ appuserid ) )
(5)目录标准对象类:inetorgperson objectclass ( 2.16.840.1.113730.3.2.2 NAME 'inetOrgPerson' DESC 'RFC2798: Internet Organizational Person' STRUCTURAL SUP organizationalPerson MAY ( audio $ businessCategory $ carLicense $ departmentNumber $ displayName $ employeeNumber $ employeeType $ givenName $ homePhone $ homePostalAddress $ initials $ jpegPhoto $ labeledURI $ mail $ manager $ mobile $
相关推荐:
loading