7
统一用户管理解决方案
什么地方以及其它对数据进行访问控制，因这些访问可以在服务器端控 制，这比用客户端的软件保证数据的安全可安全多了；此外，LDAP 服 务器可以用“推”或“拉”的方法复制部分或全部数据，例如：可以把数据 “推”到远程的分支机构/办公室，以增加数据的安全性。 目录服务是提高网络安全、降低网管费用、减轻工作强度的有效工具。 z 成本低：不像很多商用的关系型数据库，不必为 LDAP 的每一个客户端 连接或许可协议付费，大多数的 LDAP 服务器安装起来很简单，也容易 维护和优化。复制技术是内置在 LDAP 服务器中的而且很容易配置；而 如果要在 DBMS 中使用相同的复制功能，则需要支付额外的费用，而且 也很难管理。
目录服务与数据库服务的异同： 正如 Oracle、DB2、SQL Server、Sybase 等数据库管理系统是用于处理查询 和更新关系型数据库那样，LDAP 服务器也是用来处理查询和更新 LDAP 目录 的。换句话来说 LDAP 目录也是一种类型的数据库，但是不是关系型数据库。 目录服务与数据库服务的不同之处在于， LDAP 目录服务一般缺少数据库提 供的事务功能和大规模数据的数据库支持； 但专门针对读密集型的操作进行了 专门的优化，因此，可极大地提高数据读取和查询性能；LDAP 把数据存放在文 件中，为提高效率可以使用基于索引的文件数据库，而不是关系数据库；LDAP 的数据类型主要是字符型，为了检索的需要添加了 BIN（二进制数据）、CIS（忽 略大小写）、CES（大小写敏感）、TEL（电话型）等语法（Syntax），而不是关系 数据库提供的整数、浮点数、日期、货币等类型，同样也不提供象关系数据库中 普遍包含的大量的函数，它主要面向数据的查询服务（查询和修改操作比一般是 大于 10:1），不提供事务的回滚（rollback）机制，它的数据修改使用简单的锁定 机制实现 All-or-Nothing，它的目标是快速响应和大容量查询并且提供多目录服 务器的信息复制功能；一般而言，当从 LDAP 服务器中读取数据的时候会比从 专门为 OLTP 优化的关系型数据库中读取数据快一个数量级。
部门岗位角色树状层次模型，比如： z 如集团、总部/华北/华东/华南等大区、分支机构、部门、科室等； z 如国家部委、省级/地市等分支机构、司/局、处、科室等； z 再如学校、分校、学院、研究室/班级、教师/职工/家属/学生等。
用户信息以组织/部门/岗位角色以树状的层次结构来组织和管理，有以下好 处：
研究生、硕士研究生、本科生等级别。。。
利用级别分层树模型，可辅助实现更为灵活的用户授权控制。
1.2 用户信息存储管理
1.2.1 用户信息存储分类
统一的用户信息存储可基于： z 数据库方式：支持将统一的用户信息存储于各大主流数据库中，如 Oracle、
DB2、SQL Server、Sybase、MySQL 等； z LDAP 目录方式：支持将统一的用户信息存储于 LDAP 目录中，如 Domino
目录服务树中的一个目录对象可以通过它的名字检索，或者通过使用一组 搜索标准（表示目录对象的名字和属性）检索。
在分布式计算环境中，各单位对其他单位有用的信息可以在目录服务注册、 解除注册和查询。
在整个组织机构范围内部署和实现 LDAP，可以让运行在几乎所有计算机平 台上的所有的应用程序从 LDAP 目录中获取信息。
在内的整个组织机构内的所有用户进行用户目录复制和统一管理；对门 户的用户体系和各应用系统各自独立的用户体系进行统一管理；对新进 员工/用户到员工/用户离开进行整个生命周期的管理。 z 可扩充性原则：能够适应对将来扩充子系统的用户进行管理。
1.1 用户分类模型
1.1.1 基于部门岗位树的角色模型
基于部门岗位树的角色模型是组织机构内最常见的模型，提供了用户目录管 理、目录复制、权限控制的多种属性。角色管理是用户权限管理的重要基础。
目录服务：所谓目录服务是在分布式计算机环境中，定位和标识用户以及可 用的各网络元素和网络资源，并提供搜索功能和权限管理功能的服务机制。各组 织机构为了实现各个分立的“信息孤岛”走向连通和融合，一方面业务系统需要 将自身的职能和业务协作要求公布出去；另一方面，也希望能够检索并获取其他 业务系统的信息和公共的信息资源。这些需求采用目录服务都能够得到满足。
基于部门岗位树的角色模型如下所示：
1
统一用户管理解决方案
组织/部门 岗位 岗位
部门
岗位 部门
部门
岗位 岗位
岗位
部门
岗位
岗位 在部门岗位角色树状层次模型中，用户职位称为岗位，或称用户角色，包含 岗位角色的组织机构称为部门，大部门可以包含小部门。其最重要的特点是： z 用户隶属于岗位/角色(可以隶属于多个岗位/角色)； z 岗位/角色具有时间范围； z 部门包含下属部门及岗位/角色中的所有用户。
统一用户管理解决方案
统一用户目录管理
统一用户目录管理是为了方便用户访问组织机构内所有的授权资源和服务， 简化用户管理，基于 LDAP 或基于数据库，对组织机构内中所有应用实行统一 的用户信息的存储、认证和管理。
统一用户目录管理要遵循以下两个基本原则： z 统一性原则：实现对目前已知用户类型进行统一管理；对包括分支机构
鉴于基于 LDAP 目录服务存储和管理用户的身份认证等信息，可更有效更 灵活地管理用户及资源，我们推荐采用 LDAP 目录服务作为各组织机构信息化 建设统一用户管理的基础平台。下面主要阐述 LDAP 目录服务的相关内容。
4
统一用户管理解决方案
1.2.2 LDAP 目录服务定义
LDAP 协 议 ： 轻 量 级 目 录 访 问 协 议 (LDAP) ， 英 文 全 称 是 Lightweight Directory Access Protocol，是一个用于访问存储在信息目录中的信息的 Internet 协议，是目录服务在 TCP/IP 上的实现（RFC 1777 V2 版和 RFC 2251 V3 版）。它 是对 X500 的目录协议的移植，但是简化了实现方法，所以称为轻量级的目录服 务。
2
统一用户管理解决方案
z 同实际组织机构体系相一致； z 同 LDAP 目录对数据的组织方式保持一致，便于利用 LDAP 目录服务的
强大进行用户目录的管理； z 有利于将某个地域/分支机构或某个部门/下属单位的用户信息定制推送
到单独的用户目录服务器上，提高相关应用对用户信息的访问效率； z 有利于根据目录树的结构给予不同的员工/用户组不同的权限。
LDAP 协议是跨平台的和标准的协议，得到了业界的广泛认可，因 此应用程序就不需关心 LDAP 目录放在什么样的服务器上。软件厂商在 产品中加入对 LDAP 的支持，根本不用考虑另一端（客户端或服务端） 是怎么样的。LDAP 服务器可以是任何一个开发源代码或商用的 LDAP 目录服务器（或者还可能是具有 LDAP 界面的关系型数据库），因为可 以用同样的协议、客户端连接软件包和查询命令与 LDAP 服务器进行交 互。与 LDAP 不同的是，如果软件厂商想在软件产品中集成对 DBMS 的支持，那么通常都要对每一个数据库服务器单独定制。 z 效率高：LDAP 目录服务专门针对快速响应和大容量查询等读密集型的 操作进行了专门的优化，因此，可极大地提高数据读取和查询性能。 z 安全性好：LDAP 提供很复杂的不同层次的访问控制或者 ACL，以控制 对数据读和写的权限，可以根据谁访问数据、访问什么数据、数据存在
别。
级别分层树模型，比如： z 市长、副市长、委办局长、副局长、处长/副处长、科长等行政级别；
3
统一用户管理解决方案
z 部委部长ห้องสมุดไป่ตู้主任、司局长/厅长、处长/副处长、科长等行政级别； z 公司总裁/总经理、副总裁/副总经理、部门总监/部门经理/部长、高级经
理、项目经理、普通员工等级别； z 校长、副校长、院长、副院长、博导/教授、副教授、讲师；学生：博士
LDAP、Sun One Directory Server、OpenLDAP、MS Active Directory、Novell NDS、Netscape Directory Server 等。
此外，可以基于 LDAP 目录或数据库方式，新建一个用户信息目录库，供门 户和应用系统使用；
也支持可以使用现存应用系统的已有用户数据库，作为门户和其他应用统一 的用户信息存储管理库，如可以考虑基于现存的 OA 办公自动化系统、或者 HR 人事系统、或者一卡通系统等现有系统的 RDBMS 用户数据库或 LDAP 用户目 录进行用户信息管理和身份验证。
利用目录服务可以实现以下功能： z 组织机构内部拥有内部信息资源的管理，以分布方式存储有关系统构成
的信息，在多个服务器中复制目录，通过查询目录服务器来获得所需要 的信息； z 提供白页和黄页查询服务，如单位的服务电话、通信地址等； z 实现单一用户登录，统一管理服务、资源和应用程序的使用； z 对组织机构所提供的服务功能提供统一目录管理，便于注册、查找和修 改； z 信息资源的即时更新，使得目录访问者可以随时获得最新的信息； z 广义的意义讲，安全证书管理、DNS、NIS、UDDI 等都可以纳入到目录服 务的范畴。目前 CA 中心的安全证书管理和 UDDI 注册库的管理都使用了 LDAP 目录服务。LDAP 目录服务提供的是一种统一的目录访问的服务， 其与对外所提供的服务功能是没有直接关系的，其所提供的是一种目录 服务的统一机制。所以这里说的目录服务是 X.500 目录服务以及其简化 版本 LDAP。
目录服务不仅可以提供分布式计算网络的视图，以逻辑的观念来管理网络， 而且它能实现以人为本的网络管理方式。它可以记载网络的所有文件以及所有在 网络上运行的资源，以及使用者帐号、身份口令、密码、卷、文档，应用程序以
5
统一用户管理解决方案
至于域名服务器 DHCP、IP 地址以及认证的公钥等。此外，目录软件还保存和管 理对包括人员、业务过程和供内部使用的资源等有关组织机构详细信息的访问。