免费目录服务和身份管理系统在电力企业中的设计与应用(八)
vell eDirectory目录系统提供了跨平台的统一备份、恢复工具,支持在线的完全热备份和对目录快速恢复,能提供远程备份和恢复,另外,通过制定执行计划可以实现无人值守的备份。
为了能快速完全恢复每台目录服务器,采用以下备份策略:
(1) 每周定期完全备份身份目录和企业资源目录数据。
(2) 每天晚上增量备份身份目录和企业资源目录数据。
(3) 完成完全或增量备份后,应对文件系统进行完全和增量磁带备份。
(4) 在目录Schema修改后,应对Schema进行备份并保存修改记录。
(5) 应对NICI的文件进行备份,否则目录恢复后无法读取加密数据。
(6) 如果使用无人值守备份,应定期检查备份日志,确保执行计划的正确完成。
(7) 在目录完成升级前不要进行冷备份。
(8) 定期检查当前的备份策略,看是否能满足备份需要。
身份管理
虽然可以通过IDM的HA集群来保证容错性,但是对IDM的驱动配置进行备份也是必要的,以便在主机硬件损坏或灾难发生时能够快速恢复系统。
针对IDM的备份,主要是每次在对IDM驱动配置信息进行修改后使用管理工具中得倒入导出向导将配置的驱动集合(DriverSet)导出并记录修改历史。
安全性设计
总体来说,可以通过多种方式加强统一目录服务和身份管理系统的安全性,提供安全的访问、传输、存储等操作。措施包括:
(1) 建立内外网,保证内外网的物理隔离
(2) 采用DMZ防火墙策略,提高防火墙的安全级别
(3) 限制有权访问的IP地址或网段,阻止非法用户的访问
(4) 禁用操作系统无用的端口,并对开发端口进行实时监控
此外,还需要分别应用不同的产品对目录服务及用户管理等方面的安全性问题进行详细设计。
目录服务
身份目录中存放着国网公司员工的用户身份信息,企业资源目录中存放着国网公司各级单位的组织机构信息和应用系统信息,这些信息都具有很高的安全敏感性,因此在目录系统设计中通过以下多种方式保证目录服务的安全性。
(1) 通过SSL访问目录系统
(2) 对目录内安全敏感性的数据进行加密存储或隐藏
(3) 对管理员的密码设定及安全登录使用如下策略:
1) 要求密码的最少字符数;
2) 增加密码的复杂程度,应该字符与数字混合组成;
3) 要求密码不应该有明显规律;
4) 定期更换新密码;
5) 应该使用表单形式登录;
6) 控制登录失败的次数不得超过三次;
7) 限制指定IP地址或网段的管理员可以登录系统;
身份管理
身份管理系统IDM负责目录系统与目录系统的用户身份数据同步,目录系统与应用系统之间的用户身份数据交换,可通过以下措施来加强其安全性。
(1) 通信使用SSL加密。在身份同步引擎(Metadirectory)与远程装载程序之间进行通讯,以及在身份同步引擎(Metadirectory)或远程装载程序与已连接系统之间进行通讯。保证身分数据的安全传输及存储。
(2) 定期过滤无用的属性数据
(3) 设置Driver与Remote Loader之间的通信密码
(4) 监视控制有权创建或修改 IDM 驱动程序的人员
(5) 考虑身份服务器的物理安全性,保证用户只能在安全的区域对身份数据进行访问。
目录的分级授权
利用目录系统管理工具,采用集中访问控制与分级授权管理相结合的方法,实现统一的访问授权管理;部署统一的身份管理平台后,可实现用户权限的集中访问控制。利用Web单点管理工具,实现复杂系统用户身份与权限的统一管理,实现严格的基于用户的访问存取控制,从根本上杜绝非法用户对敏感数据的未授权访问。此外,分级授权,分级管理可以将用户的管理权限下发到各个下级单位的管理员手中,这样就能有效降低上级管理员的工作负担并能防止上级管理员队于自己所不熟悉的下级人员信息进行错误的操作。
目录的分级授权机制
授权控制是保证目录服务内部数据对经过认证的用户得到安全保护。
Novell公司的目录产品提供了灵活的授权机制,包括对用户、部门、用户组、角色、动态用户组等授权,通过权限继承与过滤和分级授权等方便地实现实际的授权需求。
一个完整的授权过程包含两个概念,即授权过程中参与的要素和授权的方式。目录提供的授权机制是基于“这件事情由哪些人来做,这些数据允许哪些人访问”的规则(针对于事情本身)实现的,区别于“谁能做哪些事情,谁能访问哪些数据”的规则(针对于人)。
目录的授权要素
一个授权过程可以简单描述为“将某个功能的某种权限交给某个实体,某个对象的数据允许某个实体访问”。授权有三个最基本的组成要素即“被授权的实体”、“被保护的实体”和“权限类型”。系统通过这三个要素的组合及继承过滤等机制、灵活方便的授权规则来实现复杂的授权管理要求。
被授权的实体
用户、用户组、部门、角色、动态用户组等。其中每一个用户只能属于一个部门;用户组可以由来自不同部门的用户组成;角色可对应于实际工作中的具体职务;
被保护的实体
即对应于目录服务中的某个用户账号、其属性数据或其它独立分组对象。
权限类型
统一身份管理系统的授权管理中可包含丰富的权限类型,包括主管、浏览、读、增加、修改、删除等。
目录的授权方式
直接授权
管理员可以将某一个具体对象(即对应于目录服务中的某一个对象)的某种访问权限直接授予给某个具体的用户。管理员也可以将某个具体对象的权限分配给相应的角色、用户组或部门对象,其相应的一些用户就具有其权限。
权限继承与过滤
统一身份管理系统的授权管理模块中提供了良好的权限继承与过滤机制。当管理员对某一节点对象进行授权时,管理员可以要求系统将该权限设置传递给该对象的所有子对象,当然也可以不传递;当实际应用中某一对象有其特殊性,不能继承上级的权限,管理员可以利用系统提供的权限过滤机制对该对象屏蔽来自上级的一种或几种权限。
安全等效
系统提供安全等效机制。当管理员让其他被授权对象,如用户、角色用户组,安全性等效于某一被授权对象。如管理员对用户A 进行了一些授权,用户B、C、D 拥有与A 相同的权限要求,这样,管理员只需将A 的安全性等效属性加上B、C、D 即可。
分级授权
统一身份管理系统的授权管理支持分级授权的方式。分级授权允许上级管理员将某些授权管理工作分配给指定的下级管理员去完成,下级管理员可以在相应的权限范围内完成管理工作。
操作系统调优
&n
免费目录服务和身份管理系统在电力企业中的设计与应用(八)由毕业论文网(www.huoyuandh.com)会员上传。
