技术背景
技术简介
目录服务是统一身份管理系统所依赖的主要支撑技术,提供跨平台身份信息存储管理和认证支持功能。具体的说,目录服务是指以一定的格式记录了大量企业资源信息,并将各种资源信息集中管理起来,以对象的方式予以记录,明确设定每个对象的“身份”和“位置”。在某种程度上讲它就是符合国际标准协议的一种基于对象的数据库,支持的对象种类较多,在各种平台都能够比较好的结合,在大量数据情况下,读取信息的速度快。对象在目录的倒置树型数据结构中分层存储,便于建立一个与企业组织结构一致的结构和层次。目录服务提供认证和授权机制,管理员只需设定管理策略和规则,使得特定用户只能访问特定的或者授权的应用系统。从功能上来说,目录服务通过复制技术,保持数据信息的一致性。
身份管理利用集中式数据储存在应用程序、数据库和目录之间同步、转换和分发信息。当一个系统中的数据发生更改时,同步机制引擎将会根据定义的业务规则检测这些更改,并将这些更改同步到其它已连接系统中,达到数据共享的目的。身份管理内容主要有用户身份的生命周期的管理和实现跨地区的信息同步和用户认证,定制不同安全级别的访问控制和数据加密等。通过对用户身份的生命周期的管理,实现了用户账号信息的创建、变更、注销整个周期过程的控制。利用身份同步,可以实现连接系统的数据信息的自动同步,确保数据信息的安全、性能和容错。根据应用系统的情况,指定权威数据源,通过身份同步机制,形成了全网范围内最完整、准确的中央身份库。
目录服务与数据库系统的差异
就像Sybase、Oracle、Informix或Microsoft的数据库管理系统(DBMS)是用于处理查询和更新关系型数据库那样,目录服务也是用来处理查询和更新目录树的。换句话来说目录也是一种类型的数据库,但是不是关系型数据库。下面从几个不同的方面来比较目录服务与数据库的差异性。
(1)协议的标准性
目录服务所基于的LDAP 协议是跨平台的和标准的协议,因此应用程序就不用为目录服务放在什么样的服务器上操心了。实际上,目录服务得到了业界的广泛认可,因为它是 Internet的标准。产商都很愿意在产品中加入对LDAP的支持,因为他们根本不用考虑另一端(客户端或服务端)是怎么样的。目录服务可以是任何一个开发源代码或商用的目录服务,可以用同样的协议、客户端连接软件包或查询命令与目录服务进行交互。
与目录服务不同的是,如果软件产商想在软件产品中集成对DBMS的支持,那么通常都要对每一个数据库服务器单独定制。
不像很多商用的关系型数据库,你不必为目录服务的每一个客户端连接或许可协议付费。
(2)分布性
目录服务可以用"推"或"拉"的方法复制部分或全部数据,例如:可以把数据"推"到远程的办公室,以增加数据的安全性。复制技术是内置在目录服务中的而且很容易配置。如果要在DBMS中使用相同的复制功能,数据库产商就会要你支付额外的费用,而且也很难管理。
(3)高读写比
大多数的目录服务都为读密集型的操作进行专门的优化。因此,当从目录服务中读取数据的时候会比从专门为OLTP优化的关系型数据库中读取数据快一个数量级。也是因为专门为读的性能进行优化,大多数的目录服务并不适合存储需要经常改变的数据。
(4)层次化的数据
目录以树状的层次结构来存储数据。如果对自顶向下的DNS树或UNIX文件的目录树比较熟悉,也就很容易掌握目录树这个概念了。就像 DNS的主机名那样,目录记录的标识名(Distinguished Name,简称DN)是用来读取单个记录,以及回溯到树的顶部。
(5)静态数据
目录中所存放的数据为半规则数据,即元数据,允许有不规则的层次化的数据存在。而数据库中存放的数据为规则数据,即交易数据。
(6)固定的可扩展的Schema
在目录中,不仅通过Schema定义目录中所存储的信息对象的类型,而且通过Schema定义信息对象之间的关系,从而形成目录的完整的结构定义。换句话说,目录中一个对象的结构是从它的上级中继承下来的。
不像数据库,一旦表结构定义后想要对其中的Schema进行扩展是件很麻烦得事情,而且数据库中的Schema扩展只能针对表来进行。然而在目录服务中,可以很容易的根据需要对单独的对象的属性进行扩展。
(7)安全和访问控制
目录服务根据需要提供复杂的不同层次的访问控制或ACL(访问控制列表)来控制对数据读和写的权限。例如,设备管理员可以有权改变员工的工作地点和办公室号码,但是不允许改变记录中其它的域。ACL可以根据谁访问数据、访问什么数据、数据存在什么地方以及其它对数据进行访问控制。因为这些都是由目录服务器完成的,所以不用担心在客户端的应用程序上是否要进行安全检查。
应用历史及现状
随着信息化产业的发展和实际应用的需求,一个名为X.500的目录访问协议诞生了,该协议由ISO组织(International Standards Organization)定义,它提供了一种方法,开发一个组织中的成员电子目录,使得世界各地具有因特网访问权限的任何人都可以访问作为全球目录一部分的该目录。但不幸的是,X.500协议相当复杂,这使得要遵循它来开发服务程序和客户端具有了很大的难度。
随后,为了弥补X.500协议的不足,美国密歇根州立大学开发了一个名为LDAP(Lightweight Directory Access Protocol,轻量级目录访问协议)的协议,它基于X.500标准,但去除了其中一些难以实现且实用意义不大的部分。LDAP协议的最新版本为v3,如今,LDAP协议已经成为目录访问的标准,其核心规范在RFC中都有定义。
目录服务与身份管理应用在国外的应用已有近20年的历史,其中有很多著名的产品,包括:Netscape Directory Service(后被Redhat收购,现名为Redhat Directory Service)、SunOne(Sun Java System Directory Server)、Novell eDirectory & Identity Manager、IBM Tivoli、OID(Oracle Internet Directory)、AD(Microsoft Active Directory)和著名的开源实现OpenLDAP。在这些应用中,以Novell公司的目录及身份管理系统性能最为突出,在Gartner公司(全球最具权威的IT研究与顾问咨询公司)2006年度的报告中显示,Novell eDirectory & Identity Manager产品在各个方面都占据了这一行业的领导地位。
目录服务及身份管理系统近两年才刚刚进入国内市场,以前都没有其应用的实例,但随着国内信息化的高速发展、
首页 上一页 1 2 3 4 5 6 7 下一页 尾页 2/9/9
免费目录服务和身份管理系统在电力企业中的设计与应用(二)由毕业论文网(www.huoyuandh.com)会员上传。
