o $ pager $ photo $ roomNumber $ secretary $ uid $ userCertificate $ x500uniqueIdentifier $ preferredLanguage $ userSMIMECertificate $ userPKCS12 ) )
(6)目录标准对象类:organizationalPerson objectclass ( 2.5.6.7 NAME 'organizationalPerson' STRUCTURAL SUP person MAY ( title $ x121Address $ registeredAddress $ destinationIndicator
$ preferredDeliveryMethod $ telexNumber $ teletexTerminalIdentifier $ telephoneNumber $ internationaliSDNNumber $ facsimileTelephoneNumber $ street $ postOfficeBox $ postalCode $ postalAddress $ physicalDeliveryOfficeName $ ou $ st $ l ) 9
国网公司系统统一目录服务建设规范 )
(7)目录标准对象类:person objectclass ( 2.5.6.6 NAME 'person' STRUCTURAL SUP top MUST ( sn $ cn ) MAY ( userPassword $ telephoneNumber $ seeAlso $ description ) ) (8)目录标准对象类:organizationalUnit objectclass ( 2.5.6.5 NAME 'organizationalUnit' STRUCTURAL SUP top MUST ou MAY ( userPassword $ searchGuide $ seeAlso $ businessCategory $ x121Address $ registeredAddress $ destinationIndicator $ preferredDeliveryMethod $ telexNumber $ teletexTerminalIdentifier $ telephoneNumber $ internationaliSDNNumber $ facsimileTelephoneNumber $ street $ postOfficeBox $ postalCode $ postalAddress $ physicalDeliveryOfficeName $ st $ l $ description ) ) 6.4 目录服务系统部署方案
目录服务中存储的信息可采用分区或复制两种方式。如果采用信息分区,每 个目录服务器都存储信息的一个唯一的且不重叠的子集。也就是说,每个目录条 目都由一个也仅由一台服务器存储。对目录分区的技术是使用 LDAP 参照。LDAP 参照允许用户将轻量级目录访问协议(LDAP)请求指引到不同的(或相同的)服 10
国网公司系统统一目录服务建设规范 务器中存储的相同或不同名称空间。如果采用信息复制,多台服务器存储同一个 目录条目,即一颗目录树存储在多台服务器中。 5.4.1 信息分区部署方式 根据目录服务的技术分析,可采用信息分区方式进行分布式管理部署。采用 信息分区方式实现分布式部署,各区域、省的用户信息在各区域、省本地生成, 并配置复制信息统一发布到本地引用目录服务器的目录服务中,由于各区域、省 本地的引用目录服务器中既有本地的全部数据又有其他各区域、 省的引用地址列 表,从而实现分布式数据的逻辑统一及分布环境下的用户信息共享。 部署实例如下图所示: 国网目录 服务器 ? ? ou=CY c=cn
ou=sh Ref ou=tj Ref ou=sgcc ? ? ou=XQ
c=cn
上海目录 服务器 ou=sh ? ? ou=XQ ou=tj Ref ou=sgcc Ref ou=CY ? ? 引用 c=cn
天津目录 服务器 ? ? ou=XQ
ou=sh Ref ou=CY ou=tj
ou=sgcc Ref ? ?
信息分区实现分布式部署图例 在该方案中,各个区域、省公司的目录服务器中既有本地的全部数据又有 其他各省(市)的引用地址列表。目录服务实际的引用过程我们举例说明,在国 家电网公司统一门户系统的前提下,天津公司的用户在本地登录门户时,则本地 目录服务器就能返回出结果,当其它区域、省公司用户在天津登录门户时,根据 11
国网公司系统统一目录服务建设规范
本地目录服务器中所存储的外省服务器的引用地址, 返回给应用所要查找的外地 服务器的 IP 地址和端口号,应用系统根据这个地址,去访问外省服务器获取相 应的用户信息。 此种方式在本地的目录服务器中除保存本地的用户信息外,同时存储外省 目录服务器的引用地址;通过引用机制实现国家电网公司系统分布式管理,全局 性使用上的需要。方案的优点在于:本地的应用访问通过本地的目录服务器完成 保证效率,跨省的异地访问可通过本地的目录服务器实现指向。各地用于维护用 户信息的硬件要求可相对较低, 同时各地维护各地的信息可减少系统联调管理工 作量。但由于所有异地的应用访问均需通过目录服务之间的指向,所以对于国家 电网公司系统网络实时运行要求较高。 5.4.2 信息复制部署方式 根据目录服务的技术分析,可采用信息复制方式进行分布式管理部署方案。 首先需对国家电网公司的信息进行全局规划,如下所示:
信息复制方案中描述的数据目录服务器结构 采用信息复制技术实现分布式部署,各区域、省公司的用户信息在各区域、 省公司生成,并配置复制信息统一发布到中央数据目录服务中,在国家电网公司 的中央数据目录数据库中就存储整个国家电网公司项目系统的整体信息。 然后通 过配置中央数据目录服务向下的复制,将所有的用户信息复制到各区域、省公司 的目录服务器上。由于各区域、省公司都有一套储存完整信息的目录服务,因此 跨区域、省公司的用户信息验证统一在本地数据目录服务器完成,从而实现分布 式数据的逻辑统一及分布环境下的用户信息共享。 中央数据目录服务需两套目录 12
国网公司系统统一目录服务建设规范
服务器,且之间实现主从互为备份。各区域、省公司需增加一台目录服务器用来 储存中央数据目录服务器上的整体信息。 复制方式实现分布式部署图例
在该方案中,各个区域、省公司负责维护本地的数据,并将维护的数据通过 复制技术统一发布到中央目录服务器中, 中央目录服务器将全部信息分别再复制 到各地的另一台目录服务中。各区域、省公司的查询验证均在本地数据目录服务 器上进行。 采用复制方式各区域、省公司都有一套与中央数据目录服务完全相同的目录 服务,由于都储存着全部的用户信息,因而可本地实现跨省用户信息的验证与查 询。该方案的优点在于:由于各地都有完整信息的目录服务,应用验证效率高, 且中央数据目录服务压力小。对于数据灾难容错,在中央目录服务器将有每个地 方数据的备份,只要加强中央目录服务器的管理、备份和安全保护即可提高整个 系统的数据灾难容错性。 但由于各区域、 省公司的目录服务器存储的数据量较大, 所以对于服务器硬件的要求将会较高。 13
国网公司系统统一目录服务建设规范
5.4.3 国家电网公司统一目录服务部署建议方案 综合上述两种目录服务的技术和实际情况,建议国家电网公司统一目录服 务系统的建设采用信息分区和复制相结合的分布式管理部署方案:物理上分 布、逻辑上统一。目录信息的管理由各区域、省自行维护,用户的信息和各区 域、省的 CA 颁发数字证书,存储在各自的目录服务系统中,在国家电网公司的 中央目录数据库中存储整个国家电网公司系统的整体信息,通过分区技术实现 分布式数据的逻辑统一。通过主从复制技术信息的安全保障,在每个目录服务 系统均至少安装两套以上目录服务器,两套目录服务器之间实现主从互为备 份。 在该方案中,仅在中央目录服务器中维护整个国家电网公司系统的所有数 据(考虑到负载均衡,可在全国按区域设置中央目录服务器的从目录服务器); 各区域、省公司负责维护和存储本地的数据。目录服务实际的引用过程我们举 例说明,在国家电网公司统一门户系统的前提下,山东公司的用户在本地登录门 户时,则本地目录服务器就能返回出结果,当其它区域、省公司用户在山东登录 门户时,本地目录服务器返回指向上一级目录服务器的引用,并通过引用访问上 14
国网公司系统统一目录服务建设规范 一级目录服务器,上一级目录服务器负责对数据进行查询,如果该用户不在本 地目录服务中,则返回中央目录服务器的引用,并访问中央目录服务器,中央 目录服务器负责对数据进行查询,然后把数据返回。 在本方案中各地的用户信息由各地的系统维护,在本地仅保存本地的数据, 同时存储指向上一级目录服务器的引用, 中央目录服务器通过复制机制存储整个 国家电网公司系统的目录信息。 通过引用机制各地的应用在使用上以国家电网公 司系统整树的形式使用数据,从而满足了分布式管理,全局性使用上的需要。该 方案的优点在于:仅在中央目录服务器维护全局数据,使复制的数据量降低;采 用分级引用的方式,很大程度上减小了网络压力。 15
国网公司系统统一目录服务建设规范 7 附表: 附表: 单位名称代码表 序号
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18
单位名称 国家电力调度中心 国家电网公司本部 东北电力公司 华北电力集团公司 华东电力公司 西北电力公司 华中电力公司 黑龙江省电力公司 吉林省电力公司 辽宁省电力
公司 河北电力公司 北京供电公司 天津市电力公司 山西省电力公司 上海市电力公司 浙江省电力公司 安徽省电力公司 福建省电力公司 16
单位名称代码
GDD HQ NE NC EC NW CC LJ JL LN EB BJ TJ SX SH ZJ AH FJ 国网公司系统统一目录服务建设规范
19 20 21 22 23 24 25 26 27 28 29 30 31
江苏省电力公司 江西省电力公司 山东省电力公司 河南省电力公司 湖北省电力公司 湖南省电力公司 重庆市电力公司 四川省电力公司 陕西省电力公司 甘肃省电力公司 青海省电力公司 宁夏电力公司 新疆电力公司
JS JX SD EN HB HN CQ SC SN GS QH NX XJ 17
相关推荐:
loading