康佳+胡春坪+蔣萍

摘 要 本文的目的是通過(guò)Ldap技術(shù)構(gòu)建一個(gè)基礎(chǔ)信息數(shù)據(jù)平臺(tái)，將有效信息集中管理起來(lái)。避免在其他應(yīng)用系統(tǒng)建設(shè)時(shí)的二次開(kāi)發(fā)和維護(hù)，同時(shí)為各個(gè)應(yīng)用系統(tǒng)訪問(wèn)基本信息提供一組標(biāo)準(zhǔn)的、跨平臺(tái)的應(yīng)用開(kāi)發(fā)接口。本文著重從信息數(shù)據(jù)平臺(tái)Ldap服務(wù)初步設(shè)想進(jìn)行介紹，描畫(huà)了針對(duì)跨區(qū)域、跨平臺(tái)、跨操作系統(tǒng)的數(shù)據(jù)訪問(wèn)機(jī)制應(yīng)用及基礎(chǔ)信息數(shù)據(jù)平臺(tái)搭建設(shè)計(jì)的要點(diǎn)。構(gòu)建一個(gè)基礎(chǔ)信息數(shù)據(jù)平臺(tái)在信息系統(tǒng)開(kāi)發(fā)和管理中是非常有價(jià)值的工作。

關(guān)鍵詞 Ldap技術(shù)；基礎(chǔ)信息數(shù)據(jù)平臺(tái)；分布式部署

中圖分類(lèi)號(hào)：TP315 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1671-7597（2014）09-0021-01

目前，LDAP技術(shù)已經(jīng)在身份認(rèn)證信息查詢(xún)、訪問(wèn)控制等領(lǐng)域有了很廣泛的應(yīng)用與發(fā)展。因?yàn)槠浔旧碓凇白x”數(shù)據(jù)功能上的優(yōu)異表現(xiàn)，將LDAP作為系統(tǒng)集成中的重要環(huán)節(jié)，可以?xún)?yōu)化系統(tǒng)在查詢(xún)功能上的性能表現(xiàn)。本文就是利用LDAP技術(shù)建立一個(gè)基礎(chǔ)信息數(shù)據(jù)平臺(tái)，將員工信息、部門(mén)信息、設(shè)備信息等信息以及這些信息之間的關(guān)系記錄起來(lái)，使企業(yè)在未來(lái)應(yīng)用系統(tǒng)建設(shè)時(shí)，避免二次開(kāi)發(fā)和維護(hù)多個(gè)應(yīng)用系統(tǒng)的情況的出現(xiàn)，實(shí)現(xiàn)資源信息的統(tǒng)一調(diào)用。

1 信息數(shù)據(jù)平臺(tái)初步設(shè)想

信息數(shù)據(jù)平臺(tái)應(yīng)包括Ldap數(shù)據(jù)管理平臺(tái)、數(shù)據(jù)訪問(wèn)接口、數(shù)據(jù)訪問(wèn)機(jī)制。其相互關(guān)系如下圖所示。

1.1 數(shù)據(jù)構(gòu)成與組織

Ldap數(shù)據(jù)設(shè)計(jì)決定所有應(yīng)用系統(tǒng)有哪些數(shù)據(jù)需要和能夠納入Ldap服務(wù)。在規(guī)劃設(shè)計(jì)的時(shí)候，除了傳統(tǒng)數(shù)據(jù)定義外，我們還要充分考慮基礎(chǔ)信息平臺(tái)的信息選取特征。一般來(lái)說(shuō)，應(yīng)對(duì)以下信息納入數(shù)據(jù)平臺(tái)管理。

1）員工信息：包括員工工號(hào)，自然情況，聯(lián)系信息，角色信息，所屬部門(mén)，職務(wù)信息，職稱(chēng)信息，用戶(hù)證書(shū)。

2）部門(mén)信息：包括按照編碼規(guī)則規(guī)定的編碼ID，部門(mén)全稱(chēng)，部門(mén)簡(jiǎn)稱(chēng)，部門(mén)別名。在樹(shù)狀結(jié)構(gòu)中，部門(mén)一般作為節(jié)點(diǎn)存在。

3）信息設(shè)備信息：包括設(shè)備型號(hào)，企業(yè)內(nèi)編號(hào)，廠家，責(zé)任人，使用人，位置信息，ip地址，mac地址等。

因?yàn)槊總€(gè)企業(yè)自身的基礎(chǔ)信息管理平臺(tái)都有其特殊性，因此除了Ldap已經(jīng)定義好的一些標(biāo)準(zhǔn)屬性和屬性集合，還需要對(duì) Ldap的Schema進(jìn)行擴(kuò)展設(shè)計(jì)。

設(shè)計(jì)思路如下：

1）首先應(yīng)對(duì)信息的屬性和條目進(jìn)行定義及劃分。在屬性劃分時(shí)應(yīng)從Ldap已存在定義好的集合中優(yōu)先進(jìn)行選擇，若遇到不匹配項(xiàng)，則需自定義。

2）定義Object Class（屬性集合）和Cos（屬性共享）。

根據(jù)以上設(shè)計(jì)思路，相應(yīng)的架構(gòu)設(shè)計(jì)舉例如下：

員工信息類(lèi)，類(lèi)名：user，父類(lèi)：top，這里我們用user的子類(lèi)pkiUser進(jìn)行相應(yīng)擴(kuò)展補(bǔ)充。

設(shè)備資源類(lèi)，類(lèi)名：device，父類(lèi)：top，包含基本屬性：cn，type，price等，在該類(lèi)基礎(chǔ)上對(duì)設(shè)備資源信息進(jìn)行擴(kuò)展補(bǔ)充。

1.2 數(shù)據(jù)平臺(tái)LDAP服務(wù)分布式部署結(jié)構(gòu)

作為信息數(shù)據(jù)平臺(tái)樞紐的目錄服務(wù)，應(yīng)該提供高可用性，高可靠性，高性能的數(shù)據(jù)源服務(wù)。針對(duì)地域范圍分布較廣的企業(yè)，我們可以考慮分布式部署目錄服務(wù)，同時(shí)保證分布式目錄服務(wù)中所有數(shù)據(jù)的唯一性，而這些工作，僅僅需要對(duì)目錄服務(wù)進(jìn)行簡(jiǎn)單的配置，（比如同步數(shù)據(jù)的優(yōu)先性，同步間隔等）使分布在各處的目錄數(shù)據(jù)自動(dòng)同步。

我們可以將目錄分布放置在企業(yè)幾個(gè)片區(qū)的機(jī)房，通過(guò)目錄的復(fù)制功能，互為備份，同時(shí)保證目錄數(shù)據(jù)的唯一性。如果單個(gè)的目錄服務(wù)不可用，或者網(wǎng)絡(luò)發(fā)生故障，可以在短時(shí)間內(nèi)數(shù)據(jù)的備份的快速恢復(fù)，也可以保證本地?cái)?shù)據(jù)源的可用，同時(shí)這種部署，使客戶(hù)端可以通過(guò)查詢(xún)離自己最近的服務(wù)器，獲得數(shù)據(jù)，這樣大大提高了的性能，降低對(duì)骨干網(wǎng)絡(luò)帶寬的需求，提高網(wǎng)絡(luò)整體速度。當(dāng)客戶(hù)端應(yīng)用業(yè)務(wù)增加使得目錄服務(wù)器負(fù)荷增大，查詢(xún)速度降低時(shí)，僅僅通過(guò)增加服務(wù)器，并配置復(fù)制策略，就可以解決性能瓶頸問(wèn)題。

1.3 信息數(shù)據(jù)平臺(tái)數(shù)據(jù)安全設(shè)計(jì)

信息數(shù)據(jù)平臺(tái)提供給用戶(hù)大量基礎(chǔ)信息查詢(xún)的功能，這需要信息數(shù)據(jù)平臺(tái)具有完善的信息存儲(chǔ)和安全管理機(jī)制。Ldap可以針對(duì)信息數(shù)據(jù)平臺(tái)的這一嚴(yán)苛要求提供一套嚴(yán)密完善的標(biāo)準(zhǔn)和方法。

我們要分析目錄數(shù)據(jù)的安全需求需要從多方面考慮，數(shù)據(jù)的讀寫(xiě)權(quán)限，數(shù)據(jù)項(xiàng)的敏感程度，目錄同步和復(fù)制時(shí)數(shù)據(jù)的安全保障，用戶(hù)群體，網(wǎng)絡(luò)環(huán)境等等方面。

1.4 信息數(shù)據(jù)平臺(tái)接口設(shè)計(jì)

信息數(shù)據(jù)平臺(tái)接口是數(shù)據(jù)平臺(tái)為應(yīng)用提供數(shù)據(jù)訪問(wèn)的窗口，應(yīng)用程序從這個(gè)窗口獲取數(shù)據(jù)。為基于數(shù)據(jù)平臺(tái)的各種信息系統(tǒng)的開(kāi)發(fā)提供程序級(jí)信息訪問(wèn)和處理的途徑。

數(shù)據(jù)接口可以有三種方式提供：

1）直接調(diào)用原生Ldap API，基于Ldap的標(biāo)準(zhǔn)性，現(xiàn)在所有開(kāi)發(fā)平臺(tái)和操作系統(tǒng)都支持Ldap api開(kāi)發(fā)接口，使用這種方式，數(shù)據(jù)訪問(wèn)速度很快，但需要開(kāi)發(fā)人員了解Ldap api接口和Ldap目錄服務(wù)中數(shù)據(jù)結(jié)構(gòu)組成，目錄服務(wù)和應(yīng)用程序之間的耦合度關(guān)系較為緊密，因此這種方法可以在企業(yè)內(nèi)部老的C/S結(jié)構(gòu)程序的改造中進(jìn)行應(yīng)用。

2）針對(duì)B/S結(jié)構(gòu)程序，我們可以在Ldap目錄服務(wù)基礎(chǔ)上開(kāi)發(fā)一層web service接口，暴露獲取各種數(shù)據(jù)的方法。B/S結(jié)構(gòu)程序，可以調(diào)用web service接口的方法獲取數(shù)據(jù)。

3）目錄服務(wù)中，集成有標(biāo)準(zhǔn)控制：條目變更通知響應(yīng)控制。我們可以在此控制基礎(chǔ)上開(kāi)發(fā)出一種數(shù)據(jù)推送服務(wù)，根據(jù)各應(yīng)用所關(guān)心需求的數(shù)據(jù)內(nèi)容，當(dāng)目錄數(shù)據(jù)更新時(shí)，使用該服務(wù)將數(shù)據(jù)推送到各應(yīng)用系統(tǒng)，使得各個(gè)應(yīng)用系統(tǒng)數(shù)據(jù)與目錄數(shù)據(jù)能共同步，保證數(shù)據(jù)的及時(shí)有效性以及唯一性。

2 結(jié)束語(yǔ)

以上是基于Ldap技術(shù)來(lái)構(gòu)建基礎(chǔ)信息平臺(tái)的一些設(shè)想，具體建設(shè)還需根據(jù)各單位企業(yè)的特點(diǎn)來(lái)進(jìn)行?？傊?，構(gòu)建基礎(chǔ)信息數(shù)據(jù)平臺(tái)能為各應(yīng)用系統(tǒng)提供準(zhǔn)確無(wú)誤的共享信息數(shù)據(jù)，為統(tǒng)一認(rèn)證提供支持，也可以為將來(lái)的數(shù)據(jù)中心打下基礎(chǔ)，甚至可以直接為用戶(hù)提供標(biāo)準(zhǔn)、方便，高效的基礎(chǔ)信息查詢(xún)。

參考文獻(xiàn)

[1]楊紹方.深入掌握J(rèn)2EE編程技術(shù)[M].北京：科學(xué)出版社，2002.

[2]唐建平.基于LDAP技術(shù)的企業(yè)基礎(chǔ)信息平臺(tái)構(gòu)建[J].計(jì)算機(jī)應(yīng)用，2003，23（11）.endprint

摘 要 本文的目的是通過(guò)Ldap技術(shù)構(gòu)建一個(gè)基礎(chǔ)信息數(shù)據(jù)平臺(tái)，將有效信息集中管理起來(lái)。避免在其他應(yīng)用系統(tǒng)建設(shè)時(shí)的二次開(kāi)發(fā)和維護(hù)，同時(shí)為各個(gè)應(yīng)用系統(tǒng)訪問(wèn)基本信息提供一組標(biāo)準(zhǔn)的、跨平臺(tái)的應(yīng)用開(kāi)發(fā)接口。本文著重從信息數(shù)據(jù)平臺(tái)Ldap服務(wù)初步設(shè)想進(jìn)行介紹，描畫(huà)了針對(duì)跨區(qū)域、跨平臺(tái)、跨操作系統(tǒng)的數(shù)據(jù)訪問(wèn)機(jī)制應(yīng)用及基礎(chǔ)信息數(shù)據(jù)平臺(tái)搭建設(shè)計(jì)的要點(diǎn)。構(gòu)建一個(gè)基礎(chǔ)信息數(shù)據(jù)平臺(tái)在信息系統(tǒng)開(kāi)發(fā)和管理中是非常有價(jià)值的工作。

關(guān)鍵詞 Ldap技術(shù)；基礎(chǔ)信息數(shù)據(jù)平臺(tái)；分布式部署

中圖分類(lèi)號(hào)：TP315 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1671-7597（2014）09-0021-01

目前，LDAP技術(shù)已經(jīng)在身份認(rèn)證信息查詢(xún)、訪問(wèn)控制等領(lǐng)域有了很廣泛的應(yīng)用與發(fā)展。因?yàn)槠浔旧碓凇白x”數(shù)據(jù)功能上的優(yōu)異表現(xiàn)，將LDAP作為系統(tǒng)集成中的重要環(huán)節(jié)，可以?xún)?yōu)化系統(tǒng)在查詢(xún)功能上的性能表現(xiàn)。本文就是利用LDAP技術(shù)建立一個(gè)基礎(chǔ)信息數(shù)據(jù)平臺(tái)，將員工信息、部門(mén)信息、設(shè)備信息等信息以及這些信息之間的關(guān)系記錄起來(lái)，使企業(yè)在未來(lái)應(yīng)用系統(tǒng)建設(shè)時(shí)，避免二次開(kāi)發(fā)和維護(hù)多個(gè)應(yīng)用系統(tǒng)的情況的出現(xiàn)，實(shí)現(xiàn)資源信息的統(tǒng)一調(diào)用。

1 信息數(shù)據(jù)平臺(tái)初步設(shè)想

信息數(shù)據(jù)平臺(tái)應(yīng)包括Ldap數(shù)據(jù)管理平臺(tái)、數(shù)據(jù)訪問(wèn)接口、數(shù)據(jù)訪問(wèn)機(jī)制。其相互關(guān)系如下圖所示。

1.1 數(shù)據(jù)構(gòu)成與組織

Ldap數(shù)據(jù)設(shè)計(jì)決定所有應(yīng)用系統(tǒng)有哪些數(shù)據(jù)需要和能夠納入Ldap服務(wù)。在規(guī)劃設(shè)計(jì)的時(shí)候，除了傳統(tǒng)數(shù)據(jù)定義外，我們還要充分考慮基礎(chǔ)信息平臺(tái)的信息選取特征。一般來(lái)說(shuō)，應(yīng)對(duì)以下信息納入數(shù)據(jù)平臺(tái)管理。

1）員工信息：包括員工工號(hào)，自然情況，聯(lián)系信息，角色信息，所屬部門(mén)，職務(wù)信息，職稱(chēng)信息，用戶(hù)證書(shū)。

2）部門(mén)信息：包括按照編碼規(guī)則規(guī)定的編碼ID，部門(mén)全稱(chēng)，部門(mén)簡(jiǎn)稱(chēng)，部門(mén)別名。在樹(shù)狀結(jié)構(gòu)中，部門(mén)一般作為節(jié)點(diǎn)存在。

3）信息設(shè)備信息：包括設(shè)備型號(hào)，企業(yè)內(nèi)編號(hào)，廠家，責(zé)任人，使用人，位置信息，ip地址，mac地址等。

因?yàn)槊總€(gè)企業(yè)自身的基礎(chǔ)信息管理平臺(tái)都有其特殊性，因此除了Ldap已經(jīng)定義好的一些標(biāo)準(zhǔn)屬性和屬性集合，還需要對(duì) Ldap的Schema進(jìn)行擴(kuò)展設(shè)計(jì)。

設(shè)計(jì)思路如下：

1）首先應(yīng)對(duì)信息的屬性和條目進(jìn)行定義及劃分。在屬性劃分時(shí)應(yīng)從Ldap已存在定義好的集合中優(yōu)先進(jìn)行選擇，若遇到不匹配項(xiàng)，則需自定義。

2）定義Object Class（屬性集合）和Cos（屬性共享）。

根據(jù)以上設(shè)計(jì)思路，相應(yīng)的架構(gòu)設(shè)計(jì)舉例如下：

員工信息類(lèi)，類(lèi)名：user，父類(lèi)：top，這里我們用user的子類(lèi)pkiUser進(jìn)行相應(yīng)擴(kuò)展補(bǔ)充。

設(shè)備資源類(lèi)，類(lèi)名：device，父類(lèi)：top，包含基本屬性：cn，type，price等，在該類(lèi)基礎(chǔ)上對(duì)設(shè)備資源信息進(jìn)行擴(kuò)展補(bǔ)充。

1.2 數(shù)據(jù)平臺(tái)LDAP服務(wù)分布式部署結(jié)構(gòu)

作為信息數(shù)據(jù)平臺(tái)樞紐的目錄服務(wù)，應(yīng)該提供高可用性，高可靠性，高性能的數(shù)據(jù)源服務(wù)。針對(duì)地域范圍分布較廣的企業(yè)，我們可以考慮分布式部署目錄服務(wù)，同時(shí)保證分布式目錄服務(wù)中所有數(shù)據(jù)的唯一性，而這些工作，僅僅需要對(duì)目錄服務(wù)進(jìn)行簡(jiǎn)單的配置，（比如同步數(shù)據(jù)的優(yōu)先性，同步間隔等）使分布在各處的目錄數(shù)據(jù)自動(dòng)同步。

我們可以將目錄分布放置在企業(yè)幾個(gè)片區(qū)的機(jī)房，通過(guò)目錄的復(fù)制功能，互為備份，同時(shí)保證目錄數(shù)據(jù)的唯一性。如果單個(gè)的目錄服務(wù)不可用，或者網(wǎng)絡(luò)發(fā)生故障，可以在短時(shí)間內(nèi)數(shù)據(jù)的備份的快速恢復(fù)，也可以保證本地?cái)?shù)據(jù)源的可用，同時(shí)這種部署，使客戶(hù)端可以通過(guò)查詢(xún)離自己最近的服務(wù)器，獲得數(shù)據(jù)，這樣大大提高了的性能，降低對(duì)骨干網(wǎng)絡(luò)帶寬的需求，提高網(wǎng)絡(luò)整體速度。當(dāng)客戶(hù)端應(yīng)用業(yè)務(wù)增加使得目錄服務(wù)器負(fù)荷增大，查詢(xún)速度降低時(shí)，僅僅通過(guò)增加服務(wù)器，并配置復(fù)制策略，就可以解決性能瓶頸問(wèn)題。

1.3 信息數(shù)據(jù)平臺(tái)數(shù)據(jù)安全設(shè)計(jì)

信息數(shù)據(jù)平臺(tái)提供給用戶(hù)大量基礎(chǔ)信息查詢(xún)的功能，這需要信息數(shù)據(jù)平臺(tái)具有完善的信息存儲(chǔ)和安全管理機(jī)制。Ldap可以針對(duì)信息數(shù)據(jù)平臺(tái)的這一嚴(yán)苛要求提供一套嚴(yán)密完善的標(biāo)準(zhǔn)和方法。

我們要分析目錄數(shù)據(jù)的安全需求需要從多方面考慮，數(shù)據(jù)的讀寫(xiě)權(quán)限，數(shù)據(jù)項(xiàng)的敏感程度，目錄同步和復(fù)制時(shí)數(shù)據(jù)的安全保障，用戶(hù)群體，網(wǎng)絡(luò)環(huán)境等等方面。

1.4 信息數(shù)據(jù)平臺(tái)接口設(shè)計(jì)

信息數(shù)據(jù)平臺(tái)接口是數(shù)據(jù)平臺(tái)為應(yīng)用提供數(shù)據(jù)訪問(wèn)的窗口，應(yīng)用程序從這個(gè)窗口獲取數(shù)據(jù)。為基于數(shù)據(jù)平臺(tái)的各種信息系統(tǒng)的開(kāi)發(fā)提供程序級(jí)信息訪問(wèn)和處理的途徑。

數(shù)據(jù)接口可以有三種方式提供：

1）直接調(diào)用原生Ldap API，基于Ldap的標(biāo)準(zhǔn)性，現(xiàn)在所有開(kāi)發(fā)平臺(tái)和操作系統(tǒng)都支持Ldap api開(kāi)發(fā)接口，使用這種方式，數(shù)據(jù)訪問(wèn)速度很快，但需要開(kāi)發(fā)人員了解Ldap api接口和Ldap目錄服務(wù)中數(shù)據(jù)結(jié)構(gòu)組成，目錄服務(wù)和應(yīng)用程序之間的耦合度關(guān)系較為緊密，因此這種方法可以在企業(yè)內(nèi)部老的C/S結(jié)構(gòu)程序的改造中進(jìn)行應(yīng)用。

2）針對(duì)B/S結(jié)構(gòu)程序，我們可以在Ldap目錄服務(wù)基礎(chǔ)上開(kāi)發(fā)一層web service接口，暴露獲取各種數(shù)據(jù)的方法。B/S結(jié)構(gòu)程序，可以調(diào)用web service接口的方法獲取數(shù)據(jù)。

3）目錄服務(wù)中，集成有標(biāo)準(zhǔn)控制：條目變更通知響應(yīng)控制。我們可以在此控制基礎(chǔ)上開(kāi)發(fā)出一種數(shù)據(jù)推送服務(wù)，根據(jù)各應(yīng)用所關(guān)心需求的數(shù)據(jù)內(nèi)容，當(dāng)目錄數(shù)據(jù)更新時(shí)，使用該服務(wù)將數(shù)據(jù)推送到各應(yīng)用系統(tǒng)，使得各個(gè)應(yīng)用系統(tǒng)數(shù)據(jù)與目錄數(shù)據(jù)能共同步，保證數(shù)據(jù)的及時(shí)有效性以及唯一性。

2 結(jié)束語(yǔ)

以上是基于Ldap技術(shù)來(lái)構(gòu)建基礎(chǔ)信息平臺(tái)的一些設(shè)想，具體建設(shè)還需根據(jù)各單位企業(yè)的特點(diǎn)來(lái)進(jìn)行?？傊?，構(gòu)建基礎(chǔ)信息數(shù)據(jù)平臺(tái)能為各應(yīng)用系統(tǒng)提供準(zhǔn)確無(wú)誤的共享信息數(shù)據(jù)，為統(tǒng)一認(rèn)證提供支持，也可以為將來(lái)的數(shù)據(jù)中心打下基礎(chǔ)，甚至可以直接為用戶(hù)提供標(biāo)準(zhǔn)、方便，高效的基礎(chǔ)信息查詢(xún)。

參考文獻(xiàn)

[1]楊紹方.深入掌握J(rèn)2EE編程技術(shù)[M].北京：科學(xué)出版社，2002.

[2]唐建平.基于LDAP技術(shù)的企業(yè)基礎(chǔ)信息平臺(tái)構(gòu)建[J].計(jì)算機(jī)應(yīng)用，2003，23（11）.endprint

摘 要 本文的目的是通過(guò)Ldap技術(shù)構(gòu)建一個(gè)基礎(chǔ)信息數(shù)據(jù)平臺(tái)，將有效信息集中管理起來(lái)。避免在其他應(yīng)用系統(tǒng)建設(shè)時(shí)的二次開(kāi)發(fā)和維護(hù)，同時(shí)為各個(gè)應(yīng)用系統(tǒng)訪問(wèn)基本信息提供一組標(biāo)準(zhǔn)的、跨平臺(tái)的應(yīng)用開(kāi)發(fā)接口。本文著重從信息數(shù)據(jù)平臺(tái)Ldap服務(wù)初步設(shè)想進(jìn)行介紹，描畫(huà)了針對(duì)跨區(qū)域、跨平臺(tái)、跨操作系統(tǒng)的數(shù)據(jù)訪問(wèn)機(jī)制應(yīng)用及基礎(chǔ)信息數(shù)據(jù)平臺(tái)搭建設(shè)計(jì)的要點(diǎn)。構(gòu)建一個(gè)基礎(chǔ)信息數(shù)據(jù)平臺(tái)在信息系統(tǒng)開(kāi)發(fā)和管理中是非常有價(jià)值的工作。

關(guān)鍵詞 Ldap技術(shù)；基礎(chǔ)信息數(shù)據(jù)平臺(tái)；分布式部署

中圖分類(lèi)號(hào)：TP315 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1671-7597（2014）09-0021-01

目前，LDAP技術(shù)已經(jīng)在身份認(rèn)證信息查詢(xún)、訪問(wèn)控制等領(lǐng)域有了很廣泛的應(yīng)用與發(fā)展。因?yàn)槠浔旧碓凇白x”數(shù)據(jù)功能上的優(yōu)異表現(xiàn)，將LDAP作為系統(tǒng)集成中的重要環(huán)節(jié)，可以?xún)?yōu)化系統(tǒng)在查詢(xún)功能上的性能表現(xiàn)。本文就是利用LDAP技術(shù)建立一個(gè)基礎(chǔ)信息數(shù)據(jù)平臺(tái)，將員工信息、部門(mén)信息、設(shè)備信息等信息以及這些信息之間的關(guān)系記錄起來(lái)，使企業(yè)在未來(lái)應(yīng)用系統(tǒng)建設(shè)時(shí)，避免二次開(kāi)發(fā)和維護(hù)多個(gè)應(yīng)用系統(tǒng)的情況的出現(xiàn)，實(shí)現(xiàn)資源信息的統(tǒng)一調(diào)用。

1 信息數(shù)據(jù)平臺(tái)初步設(shè)想

信息數(shù)據(jù)平臺(tái)應(yīng)包括Ldap數(shù)據(jù)管理平臺(tái)、數(shù)據(jù)訪問(wèn)接口、數(shù)據(jù)訪問(wèn)機(jī)制。其相互關(guān)系如下圖所示。

1.1 數(shù)據(jù)構(gòu)成與組織

Ldap數(shù)據(jù)設(shè)計(jì)決定所有應(yīng)用系統(tǒng)有哪些數(shù)據(jù)需要和能夠納入Ldap服務(wù)。在規(guī)劃設(shè)計(jì)的時(shí)候，除了傳統(tǒng)數(shù)據(jù)定義外，我們還要充分考慮基礎(chǔ)信息平臺(tái)的信息選取特征。一般來(lái)說(shuō)，應(yīng)對(duì)以下信息納入數(shù)據(jù)平臺(tái)管理。

1）員工信息：包括員工工號(hào)，自然情況，聯(lián)系信息，角色信息，所屬部門(mén)，職務(wù)信息，職稱(chēng)信息，用戶(hù)證書(shū)。

2）部門(mén)信息：包括按照編碼規(guī)則規(guī)定的編碼ID，部門(mén)全稱(chēng)，部門(mén)簡(jiǎn)稱(chēng)，部門(mén)別名。在樹(shù)狀結(jié)構(gòu)中，部門(mén)一般作為節(jié)點(diǎn)存在。

3）信息設(shè)備信息：包括設(shè)備型號(hào)，企業(yè)內(nèi)編號(hào)，廠家，責(zé)任人，使用人，位置信息，ip地址，mac地址等。

因?yàn)槊總€(gè)企業(yè)自身的基礎(chǔ)信息管理平臺(tái)都有其特殊性，因此除了Ldap已經(jīng)定義好的一些標(biāo)準(zhǔn)屬性和屬性集合，還需要對(duì) Ldap的Schema進(jìn)行擴(kuò)展設(shè)計(jì)。

設(shè)計(jì)思路如下：

1）首先應(yīng)對(duì)信息的屬性和條目進(jìn)行定義及劃分。在屬性劃分時(shí)應(yīng)從Ldap已存在定義好的集合中優(yōu)先進(jìn)行選擇，若遇到不匹配項(xiàng)，則需自定義。

2）定義Object Class（屬性集合）和Cos（屬性共享）。

根據(jù)以上設(shè)計(jì)思路，相應(yīng)的架構(gòu)設(shè)計(jì)舉例如下：

員工信息類(lèi)，類(lèi)名：user，父類(lèi)：top，這里我們用user的子類(lèi)pkiUser進(jìn)行相應(yīng)擴(kuò)展補(bǔ)充。

設(shè)備資源類(lèi)，類(lèi)名：device，父類(lèi)：top，包含基本屬性：cn，type，price等，在該類(lèi)基礎(chǔ)上對(duì)設(shè)備資源信息進(jìn)行擴(kuò)展補(bǔ)充。

1.2 數(shù)據(jù)平臺(tái)LDAP服務(wù)分布式部署結(jié)構(gòu)

作為信息數(shù)據(jù)平臺(tái)樞紐的目錄服務(wù)，應(yīng)該提供高可用性，高可靠性，高性能的數(shù)據(jù)源服務(wù)。針對(duì)地域范圍分布較廣的企業(yè)，我們可以考慮分布式部署目錄服務(wù)，同時(shí)保證分布式目錄服務(wù)中所有數(shù)據(jù)的唯一性，而這些工作，僅僅需要對(duì)目錄服務(wù)進(jìn)行簡(jiǎn)單的配置，（比如同步數(shù)據(jù)的優(yōu)先性，同步間隔等）使分布在各處的目錄數(shù)據(jù)自動(dòng)同步。

我們可以將目錄分布放置在企業(yè)幾個(gè)片區(qū)的機(jī)房，通過(guò)目錄的復(fù)制功能，互為備份，同時(shí)保證目錄數(shù)據(jù)的唯一性。如果單個(gè)的目錄服務(wù)不可用，或者網(wǎng)絡(luò)發(fā)生故障，可以在短時(shí)間內(nèi)數(shù)據(jù)的備份的快速恢復(fù)，也可以保證本地?cái)?shù)據(jù)源的可用，同時(shí)這種部署，使客戶(hù)端可以通過(guò)查詢(xún)離自己最近的服務(wù)器，獲得數(shù)據(jù)，這樣大大提高了的性能，降低對(duì)骨干網(wǎng)絡(luò)帶寬的需求，提高網(wǎng)絡(luò)整體速度。當(dāng)客戶(hù)端應(yīng)用業(yè)務(wù)增加使得目錄服務(wù)器負(fù)荷增大，查詢(xún)速度降低時(shí)，僅僅通過(guò)增加服務(wù)器，并配置復(fù)制策略，就可以解決性能瓶頸問(wèn)題。

1.3 信息數(shù)據(jù)平臺(tái)數(shù)據(jù)安全設(shè)計(jì)

信息數(shù)據(jù)平臺(tái)提供給用戶(hù)大量基礎(chǔ)信息查詢(xún)的功能，這需要信息數(shù)據(jù)平臺(tái)具有完善的信息存儲(chǔ)和安全管理機(jī)制。Ldap可以針對(duì)信息數(shù)據(jù)平臺(tái)的這一嚴(yán)苛要求提供一套嚴(yán)密完善的標(biāo)準(zhǔn)和方法。

我們要分析目錄數(shù)據(jù)的安全需求需要從多方面考慮，數(shù)據(jù)的讀寫(xiě)權(quán)限，數(shù)據(jù)項(xiàng)的敏感程度，目錄同步和復(fù)制時(shí)數(shù)據(jù)的安全保障，用戶(hù)群體，網(wǎng)絡(luò)環(huán)境等等方面。

1.4 信息數(shù)據(jù)平臺(tái)接口設(shè)計(jì)

信息數(shù)據(jù)平臺(tái)接口是數(shù)據(jù)平臺(tái)為應(yīng)用提供數(shù)據(jù)訪問(wèn)的窗口，應(yīng)用程序從這個(gè)窗口獲取數(shù)據(jù)。為基于數(shù)據(jù)平臺(tái)的各種信息系統(tǒng)的開(kāi)發(fā)提供程序級(jí)信息訪問(wèn)和處理的途徑。

數(shù)據(jù)接口可以有三種方式提供：

1）直接調(diào)用原生Ldap API，基于Ldap的標(biāo)準(zhǔn)性，現(xiàn)在所有開(kāi)發(fā)平臺(tái)和操作系統(tǒng)都支持Ldap api開(kāi)發(fā)接口，使用這種方式，數(shù)據(jù)訪問(wèn)速度很快，但需要開(kāi)發(fā)人員了解Ldap api接口和Ldap目錄服務(wù)中數(shù)據(jù)結(jié)構(gòu)組成，目錄服務(wù)和應(yīng)用程序之間的耦合度關(guān)系較為緊密，因此這種方法可以在企業(yè)內(nèi)部老的C/S結(jié)構(gòu)程序的改造中進(jìn)行應(yīng)用。

2）針對(duì)B/S結(jié)構(gòu)程序，我們可以在Ldap目錄服務(wù)基礎(chǔ)上開(kāi)發(fā)一層web service接口，暴露獲取各種數(shù)據(jù)的方法。B/S結(jié)構(gòu)程序，可以調(diào)用web service接口的方法獲取數(shù)據(jù)。

3）目錄服務(wù)中，集成有標(biāo)準(zhǔn)控制：條目變更通知響應(yīng)控制。我們可以在此控制基礎(chǔ)上開(kāi)發(fā)出一種數(shù)據(jù)推送服務(wù)，根據(jù)各應(yīng)用所關(guān)心需求的數(shù)據(jù)內(nèi)容，當(dāng)目錄數(shù)據(jù)更新時(shí)，使用該服務(wù)將數(shù)據(jù)推送到各應(yīng)用系統(tǒng)，使得各個(gè)應(yīng)用系統(tǒng)數(shù)據(jù)與目錄數(shù)據(jù)能共同步，保證數(shù)據(jù)的及時(shí)有效性以及唯一性。

2 結(jié)束語(yǔ)

以上是基于Ldap技術(shù)來(lái)構(gòu)建基礎(chǔ)信息平臺(tái)的一些設(shè)想，具體建設(shè)還需根據(jù)各單位企業(yè)的特點(diǎn)來(lái)進(jìn)行?？傊?，構(gòu)建基礎(chǔ)信息數(shù)據(jù)平臺(tái)能為各應(yīng)用系統(tǒng)提供準(zhǔn)確無(wú)誤的共享信息數(shù)據(jù)，為統(tǒng)一認(rèn)證提供支持，也可以為將來(lái)的數(shù)據(jù)中心打下基礎(chǔ)，甚至可以直接為用戶(hù)提供標(biāo)準(zhǔn)、方便，高效的基礎(chǔ)信息查詢(xún)。

參考文獻(xiàn)

[1]楊紹方.深入掌握J(rèn)2EE編程技術(shù)[M].北京：科學(xué)出版社，2002.

[2]唐建平.基于LDAP技術(shù)的企業(yè)基礎(chǔ)信息平臺(tái)構(gòu)建[J].計(jì)算機(jī)應(yīng)用，2003，23（11）.endprint