身份目录与其他目录服务之间的同步
由于目录服务所具有的共性,对于大部门的目录服务与身份目录之间的同步可以使用LDAP协议完成。
图3-13:目录与其他目录系统间的同步
IDM与Remote Loader间数据交换通过Novell产品内部机制以XML文档的形式完成。其他目录服务与Remote Loader之间的数据交换通过Novell产品内部对部分特别的目录服务私有通讯协议的支持或者通过LDAP协议完成。
身份目录与标准应用系统间的同步
针对SAP、PeopleSoft、Lotus Notes等标准系统,使用Novell专门针对其开发的应用程序驱动进行身份目录与应用之间的数据同步。
图3-14:目录与标准应用系统间的同步
IDM与Remote Loader间数据交换通过Novell产品内部机制以XML文档的形式完成。应用系统与Remote Loader之间的数据交换,通过针对标准应用系统的应用程序驱动程序将身份目录中发送过来的事件信息转换为应用程序专用接口所能支持的类型。
物理设计
物理架构
在逻辑设计的基础上,从安全性、高性能、高可用性、硬件成本等多方面考虑,物理架构中身份目录服务器、认证目录服务器、企业资源目录服务器、身份管理服务器及四层交换机部署如下图所示:
图4-1:目录服务于身份管理物理结构图
身份目录服务器(至少2台)通过eDirectory内部的复制技术保持数据一致。
身份管理系统与身份目录服务部署在统一的服务器上,采用HA架构保证与各应用系统间数据同步的高可用性。
认证目录服务器(至少2台)通过eDirectory内部的复制技术保持数据一致,前端通过四层交换机提供负载均衡。
企业资源目录服务器1台。
从数据量、访问负载、硬件成本等多方面考虑,四层交换机可选择性的采用HA架构。
高可用性设计
系统的高可用性是指当系统服务因主机设备异常而无法继续运行时,在最短的时间内在其它主机上自动启动该服务,如此即使故障的主机无法立即修复,此特定系统的服务仍然可以正常运行,不影响依赖此系统的其它服务正常运行。
由于目录和身份管理系统是整个项目中的重要基础设施,支撑着各个应用系统的正常运行,因此在设计中综合运用了HA、集群等高可用技术保证系统整体的高可用性。
目录服务
为了便于存储和复制目录数据,eDirectory能将所存储的数据划分为一个或多个不同的逻辑数据单元,称为“分区”。每个分区的数据可以存储一个或多个eDirectory目录实例中,这些目录实例称为分区的“副本”,它们之间依靠内部的同步复制机制保持数据的一致性,其中有一个目录副本作为主副本,其它目录副本可作为“读/写”副本和“只读”副本,对主副本目录或读/写副本目录中的修改将自动同步到其它目录副本中。
多个目录副本构成“副本环”,副本环中的任意一个目录对外提供相同的数据服务。如果目录主副本被损坏,其它副本可被修复升级为主副本。
eDirectory提供了一种易使用、低成本、高性能的目录数据容错和高可用性解决方案。
从图4-1中可以看到,由于身份目录必须对外提供可靠的数据访问服务,因此身份目录都应至少建立两个目录副本,一个作为主副本,另一个作为读/写副本,通过内部的复制机制保证数据的一致。
由于身份目录与IDM安装在同一台服务器上,而IDM必须通过双机热备HA提供可靠服务,因此身份目录的两个副本只能通过双机热备HA保证高可用性。由于100万的用户信息一般也只能占用1GB的磁盘存储空间,因此双机热备HA方案可省去外部的存储服务器,每台目录的副本服务器可以通过RAID5保证磁盘的数据容错。
身份管理
由于IDM提供了目录与目录、目录与应用系统之间的数据同步,因此必须保证IDM的可靠服务。
身份目录和IDM必须安装在同一台主机上,在身份目录的HA环境两台主机上借助于HA 软件实现IDM故障时的切换,当其中一台IDM服务程序出现故障时,HA软件自动将服务切换到另外一个备用的IDM服务程序中。
系统监控设计
系统监控是目录和身份管理系统中物理设计的重要组成部分,通过系统监控可以及时发现系统运行中出现的错误,并能根据对监控日志的分析及时解决问题,是系统稳定运行的有力保障。
通过对系统监控报告的汇总分析,可以很好的对系统运行状态、稳定性进行评估,对系统可能存在的隐患及频繁问题进行分析处理,根据分析结果对服务器配置进行优化。
系统监控的设计有两个因素需要考虑,一个是系统监控对系统性能的影响,系统监控事件过多,占用的系统资源将会增加,会使系统性能下降;另一个是需要考虑对于监控记录的汇总分析和检索的影响,监控的内容过于复杂,将会出现大量的冗余数据,不便于对历史日志报告汇总分析和检索。
目录服务
Novell公司的目录服务产品eDirectory提供了比较完善的系统监控功能,该功能是基于在服务器端运行的DSTrace对系统事件、对象操作事件等进行监控,可以通过管理工具中的Event Configration灵活的定义监控事件。另外该目录服务产品还提供了一个简单的报告功能,该功能可以生成简单的服务器信息、对象状态等的报表,可以通过Novell Audit服务器及水晶报表来生成内容更详细的报告。
身份管理
Novell公司的用户管理系统IDM提供的系统监控机制与目录服务系统相同,都是基于DSTrace服务对事件进行监控,用户管理系统中对监控事件的配置是通过从管理工具中选择自定义事件来进行配置的,可以对用户管理系统中的驱动程序状态,数据流向,事件状态(成功、警告、错误等),各种操作事件(添加、删除、修改等)进行监控。
备份和恢复设计
备份数据的过程就是复制重要到数据到其它存储介质(如磁带、光盘)上,以保证在原始数据丢失或损坏的情况下可以恢复数据。在物理层面上,可以通过定期备份文件系统到磁带进行冷备份,然后根据信息更新频率定期(如每天晚上)将数据信息进行逻辑备份(建议采用专业备份软件),逻辑备份又可分为全局备份,即对所有数据进行备份,以及增量备份,对上次备份以来的更新数据进行备份,可根据业务需要结合使用全局备份和增量备份。
由于数据灾难的不可预测性,做好目录和身份管理系统的备份是非常必要的。
目录服务
虽然Novell eDirectory目录系统复制机制是保护目录数据的主要方法,可以通过建立多个副本来增加容错性,但是,在单服务器条件下就无法创建多个副本,同时在服务器硬件损坏或遇到灾难的情况,仅仅依靠副本无法完全恢复目录数据,因此需要经常备份来提高目录的容错性。
No
首页 上一页 4 5 6 7 8 9 下一页 尾页 7/9/9
免费目录服务和身份管理系统在电力企业中的设计与应用(七)由毕业论文网(www.huoyuandh.com)会员上传。
