基于Ldap技术构建基础信息数据平台.docVIP

基于Ldap技术构建基础信息数据平台 　　摘 要 本文的目的是通过Ldap技术构建一个基础信息数据平台，将有效信息集中管理起来。避免在其他应用系统建设时的二次开发和维护，同时为各个应用系统访问基本信息提供一组标准的、跨平台的应用开发接口。本文着重从信息数据平台Ldap服务初步设想进行介绍，描画了针对跨区域、跨平台、跨操作系统的数据访问机制应用及基础信息数据平台搭建设计的要点。构建一个基础信息数据平台在信息系统开发和管理中是非常有价值的工作。 　　关键词 Ldap技术；基础信息数据平台；分布式部署 　　中图分类号：TP315 文献标识码：A 文章编号：1671-7597（2014）09-0021-01 　　目前，LDAP技术已经在身份认证信息查询、访问控制等领域有了很广泛的应用与发展。因为其本身在“读”数据功能上的优异表现，将LDAP作为系统集成中的重要环节，可以优化系统在查询功能上的性能表现。本文就是利用LDAP技术建立一个基础信息数据平台，将员工信息、部门信息、设备信息等信息以及这些信息之间的关系记录起来，使企业在未来应用系统建设时，避免二次开发和维护多个应用系统的情况的出现，实现资源信息的统一调用。 　　1 信息数据平台初步设想 　　信息数据平台应包括Ldap数据管理平台、数据访问接口、数据访问机制。其相互关系如下图所示。 　　1.1 数据构成与组织 　　Ldap数据设计决定所有应用系统有哪些数据需要和能够纳入Ldap服务。在规划设计的时候，除了传统数据定义外，我们还要充分考虑基础信息平台的信息选取特征。一般来说，应对以下信息纳入数据平台管理。 　　1）员工信息：包括员工工号，自然情况，联系信息，角色信息，所属部门，职务信息，职称信息，用户证书。 　　2）部门信息：包括按照编码规则规定的编码ID，部门全称，部门简称，部门别名。在树状结构中，部门一般作为节点存在。 　　3）信息设备信息：包括设备型号，企业内编号，厂家，责任人，使用人，位置信息，ip地址，mac地址等。 　　因为每个企业自身的基础信息管理平台都有其特殊性，因此除了Ldap已经定义好的一些标准属性和属性集合，还需要对 Ldap的Schema进行扩展设计。 　　设计思路如下： 　　1）首先应对信息的属性和条目进行定义及划分。在属性划分时应从Ldap已存在定义好的集合中优先进行选择，若遇到不匹配项，则需自定义。 　　2）定义Object Class（属性集合）和Cos（属性共享）。 　　根据以上设计思路，相应的架构设计举例如下： 　　员工信息类，类名：user，父类：top，这里我们用user的子类pkiUser进行相应扩展补充。 　　设备资源类，类名：device，父类：top，包含基本属性：cn，type，price等，在该类基础上对设备资源信息进行扩展补充。 　　1.2 数据平台LDAP服务分布式部署结构 　　作为信息数据平台枢纽的目录服务，应该提供高可用性，高可靠性，高性能的数据源服务。针对地域范围分布较广的企业，我们可以考虑分布式部署目录服务，同时保证分布式目录服务中所有数据的唯一性，而这些工作，仅仅需要对目录服务进行简单的配置，（比如同步数据的优先性，同步间隔等）使分布在各处的目录数据自动同步。 　　我们可以将目录分布放置在企业几个片区的机房，通过目录的复制功能，互为备份，同时保证目录数据的唯一性。如果单个的目录服务不可用，或者网络发生故障，可以在短时间内数据的备份的快速恢复，也可以保证本地数据源的可用，同时这种部署，使客户端可以通过查询离自己最近的服务器，获得数据，这样大大提高了的性能，降低对骨干网络带宽的需求，提高网络整体速度。当客户端应用业务增加使得目录服务器负荷增大，查询速度降低时，仅仅通过增加服务器，并配置复制策略，就可以解决性能瓶颈问题。 　　1.3 信息数据平台数据安全设计 　　信息数据平台提供给用户大量基础信息查询的功能，这需要信息数据平台具有完善的信息存储和安全管理机制。Ldap可以针对信息数据平台的这一严苛要求提供一套严密完善的标准和方法。 　　我们要分析目录数据的安全需求需要从多方面考虑，数据的读写权限，数据项的敏感程度，目录同步和复制时数据的安全保障，用户群体，网络环境等等方面。 　　1.4 信息数据平台接口设计 　　信息数据平台接口是数据平台为应用提供数据访问的窗口，应用程序从这个窗口获取数据。为基于数据平台的各种信息系统的开发提供程序级信息访问和处理的途径。 　　数据接口可以有三种方式提供： 　　1）直接调用原生Ldap API，基于Ldap的标准性，现在所有开发平台和操作系统都支持Ldap api开发接口，使用这种方式，数据访问速度很快，但需要开发人员了解Lda