一、目錄與LDAP

    結(jié)構(gòu)化的數(shù)據(jù)在計算機(jī)中通過數(shù)據(jù)庫來存儲。從廣義上，可把對數(shù)據(jù)庫的訪問請求分為兩類，一類是數(shù)據(jù)分析，如“3-6歲間的小孩的身高平均數(shù)是多少”，關(guān)系型數(shù)據(jù)庫憑借功能強(qiáng)大的SQL、索引、存儲過程、事務(wù)等技術(shù)可以進(jìn)行復(fù)雜的分析和報告，滿足分析請求需要；還有一類是定位請求，如“職員ABC的郵件地址是什么”，目錄（分層的數(shù)據(jù)庫）適合處理這類請求，目錄適合于讀遠(yuǎn)多于寫、數(shù)據(jù)為靜態(tài)的情況，目錄提供通過簡單的訪問協(xié)議（如LDAP）對大量的分布的數(shù)據(jù)進(jìn)行檢索的功能。

    目錄和FTP、DNS(一種特定的目錄服務(wù))等一樣，也是客戶端/服務(wù)器結(jié)構(gòu)的網(wǎng)絡(luò)服務(wù)。LDAP定義了目錄客戶端和目錄服務(wù)器之間的訪問接口協(xié)議，由一系列消息定義組成，LDAP目錄是可以通過LDAP方式訪問的信息，LDAP并沒有定義目錄服務(wù)本身，與信息存儲的方式無關(guān)。LDAP最初是為提供簡化客戶端訪問X.500目錄的方式（基于OSI的DAP）設(shè)計，運(yùn)行在TCP/IP之上的LDAP降低了對客戶端的資源需求。X.500目錄服務(wù)并不能直接理解LDAP消息，需要通過一個轉(zhuǎn)換網(wǎng)關(guān)實(shí)現(xiàn)LDAP消息到DAP消息的轉(zhuǎn)換，這個轉(zhuǎn)換網(wǎng)關(guān)被稱為LDAP服務(wù)器。最初的LDAP服務(wù)器同時支持LDAP和DAP，新的LDAP服務(wù)器則通常只支持LDAP的目錄訪問方式，演變?yōu)楝F(xiàn)在的LDAP目錄服務(wù)。

    LDAP協(xié)議當(dāng)前的版本是V3，與V2 相比，LDAP V3在一些方面進(jìn)行了擴(kuò)充。V3提供了Referral指向功能，增加了對SASL（Simple Authentication Secure Layer）安全認(rèn)證的支持，增加了對國際化的字符編碼（UTF-8）的支持，以及可以動態(tài)的定義對象和操作并以標(biāo)準(zhǔn)的方式發(fā)布目錄模式。

    LDAP標(biāo)準(zhǔn)定義了四種模型來幫助用戶建立和使用目錄，它們是信息模型、命名模型、功能模型、安全模型。

    信息模型定義了數(shù)據(jù)類型以及保存在目錄中的信息的基本單元，目錄信息的基本單元是條目（Entry），它是一個對象的屬性的集合。LDAP目錄服務(wù)通過樹型結(jié)構(gòu)組織這些條目，每個條目具有唯一的標(biāo)示名DN(Distinguished Name)，LDAP條目的組織通常依據(jù)直觀的物理位置和組織關(guān)系進(jìn)行。對象的屬性由類型和值組成，每個屬性可以由多個值。目錄模式（Directory Schemas）對必須或可以存放在條目中的屬性類型進(jìn)行了限制。

    命名模型為目錄中給每個條目提供一個唯一的標(biāo)示名DN，以便準(zhǔn)確地索引條目，由兩部分組成，相對DN（RDN）和體條目在目錄樹中的位置組成，如同文件系統(tǒng)中的相對路徑和絕對路徑的關(guān)系；不同條目RDN可以相同，DN不能相同。

    功能模型定義了LDAP可對目錄進(jìn)行的三類操作：查詢操作、更新操作和身份驗(yàn)證和控制操作。查詢操作分為搜索操作和比較操作，更新操作包括了添加、刪除、修改、重命名、條目移位等。LDAPV3提供多種身份驗(yàn)證方式和對訪問控制的支持，通過綁定(Bonding)實(shí)現(xiàn)，支持Kerberos，并提供安全驗(yàn)證（SASL）的功能。

    安全模型的目的是提供一個不進(jìn)行身份驗(yàn)證不能訪問目錄信息的框架；安全模型是基于LDAP是面向協(xié)議的，在連接的有效期內(nèi)LDAP客戶可對目錄服務(wù)器進(jìn)行身份驗(yàn)證。

    雖然LDAP得到了多數(shù)IT廠商的支持，并得到了大量應(yīng)用。LDAP也并不是靈丹妙藥，LDAP協(xié)議缺乏一些關(guān)鍵的標(biāo)準(zhǔn)如復(fù)制、訪問控制、還有目錄模式(Schema)，因?yàn)閺S商目錄復(fù)制方式為私有，一個廠商的目錄產(chǎn)品的不能自然地和其他廠商的產(chǎn)品信息同步。IETF的LDUP工作組正在將這些重要的特性標(biāo)準(zhǔn)化，但目前在目錄的集成中需要采取辦法克服上述缺陷。

    二、目錄集成

    通常每個大型企業(yè)都有很多目錄，幾十個甚至數(shù)百個，管理這么多的目錄很困難，為了保持?jǐn)?shù)據(jù)準(zhǔn)確，需要管理員花費(fèi)大量時間重復(fù)更新目錄條目，或者目錄的數(shù)據(jù)一致性越來越差。通過目錄集成解決這些管理難題是目前的思路。目錄集成提供了一種新的管理方式，可以讓管理員從一個目錄管理多個目錄，并且可以使用自動流程實(shí)現(xiàn)各個目錄之間的數(shù)據(jù)同步。

    短期來看，目錄集成降低了人為參與的工作量。長遠(yuǎn)來看，通過集成的目錄可以結(jié)合企業(yè)的應(yīng)用系統(tǒng)創(chuàng)造出有價值的增值應(yīng)用，如SSO，統(tǒng)一用戶管理，工作流等，新建的應(yīng)用系統(tǒng)也可以不建立專用的目錄，而利用集成的目錄數(shù)據(jù)。

    目錄集成往往是企業(yè)信息化項(xiàng)目中應(yīng)用變革的基礎(chǔ)，如實(shí)現(xiàn)統(tǒng)一用戶管理，整合電子商務(wù)等。目錄信息規(guī)劃是集成的基礎(chǔ)，包括現(xiàn)有目錄結(jié)構(gòu)整理，目標(biāo)結(jié)構(gòu)的建模，數(shù)據(jù)編碼，信息連接規(guī)劃。目錄集成的方式多種多樣，其根本是在孤立的目錄（有時包括SQL數(shù)據(jù)庫或文件）之間建立數(shù)據(jù)連接，這種連接結(jié)構(gòu)可能是1對1，1個對多個，多個對多個，或者上述結(jié)構(gòu)的結(jié)合；每個連接數(shù)據(jù)流向可能是單向的也可能是雙向的。目錄集成有時需要引入新的目錄存放公共信息，有時是在現(xiàn)有的目錄之間集成。為了使不同目錄之間能夠?qū)υ�，有些目錄集成場景中需要進(jìn)行目錄模式(Schema)的地調(diào)整，或者需要建立映射和轉(zhuǎn)換規(guī)則。目錄集成是一個長期的過程，需要階段性的調(diào)整和長期的維護(hù)結(jié)合。

    三、目錄集成技術(shù)與元目錄(Meta-directory)

    目錄集成存在不同層次上多種工具。最基本的，RFC2849描述了一種名為ldif(LDAP Data Interchange Format)的文本文件格式，可以用來在基于LDAP的目錄服務(wù)器間進(jìn)行目錄信息的導(dǎo)入導(dǎo)出，或者描述應(yīng)用到目錄的變化，這種方式很簡單，但往往人工操作，實(shí)時性不能保障，同時不能做信息轉(zhuǎn)換。有的目錄服務(wù)軟件自帶一些插件可以實(shí)現(xiàn)與特定目錄之間信息的交互，如Domino目錄可以通過一個名為ADSync的工具實(shí)現(xiàn)與AD目錄信息的單項(xiàng)或雙向同步，這種方式局限于特定的目錄系統(tǒng)。更為復(fù)雜的一種集成方式，可以通過專門的目錄集成軟件實(shí)現(xiàn)目錄間的連接定制，并在必要時建立一個中心目錄，這種方式能比較全面覆蓋各種目錄集成需求，元目錄(Meta-directory)是比較典型的一種實(shí)現(xiàn)。Gartner將元目錄的解決方案分為三類：復(fù)制、虛目錄和信息中介，每一類都有它的優(yōu)點(diǎn)和缺點(diǎn)。

    最常見基于復(fù)制技術(shù)元目錄解決方案，從每一個獨(dú)立目錄服務(wù)器中復(fù)制屬性到一個中心目錄。這種實(shí)現(xiàn)方案的優(yōu)點(diǎn)明顯，能提供很好的性能，如很快完成復(fù)雜的檢索，并可以利用已有的目錄技術(shù)，也比較成熟；缺點(diǎn)是在整個目錄體系中數(shù)據(jù)存在很多拷貝，也總是存在信息同步的時延。

    虛目錄方式的解決方案是建立可以訪問不同目錄的客戶端,不需要建立中心目錄。但是這種方式需要客戶端較高的智能，把企業(yè)中的目錄中的條目組織成一個獨(dú)立的視圖是很困難的，微軟的ADSI（Active Directory Service Interface）是實(shí)現(xiàn)虛目錄技術(shù)框架的一個實(shí)現(xiàn)。短期之內(nèi)這種虛目錄方式很難普及，因?yàn)槠髽I(yè)多數(shù)沒有很好地目錄信息規(guī)劃，不能通過一個獨(dú)立的id定位所有的條目。

    信息中介解決方案是建立一個本身不在本地存儲數(shù)據(jù)的目錄服務(wù)器，從不同的目錄服務(wù)器中獲取數(shù)據(jù)并通過標(biāo)準(zhǔn)的目錄協(xié)議反饋給請求方；這種方式的優(yōu)點(diǎn)是沒有信息同步的時延，并且不需要保留數(shù)據(jù)拷貝，節(jié)約存儲空間，缺點(diǎn)也很明顯，因?yàn)閿?shù)據(jù)分散在不同的目錄服務(wù)器中，檢索性能很低，服務(wù)可用性依賴于也依賴于分散的目錄服務(wù)器。

    當(dāng)前，比較理想的是結(jié)合復(fù)制與信息中介兩者優(yōu)點(diǎn)的元目錄實(shí)現(xiàn)方式，最可行的仍然是基于復(fù)制的元目錄實(shí)現(xiàn)。在建立元目錄時，應(yīng)考慮的幾個關(guān)鍵問題包括信息的傳播延時，還有目錄的擴(kuò)展性，因?yàn)樵�目錄會成為IT體系中核心的基礎(chǔ)設(shè)施。

    四、目錄集成項(xiàng)目實(shí)施

    目錄集成是往往IT項(xiàng)目的一部分，由于其重要性和涉及的資源多，其本身也是復(fù)雜的系統(tǒng)工程，需要前期的大量的信息搜集等前期準(zhǔn)備工作，在此基礎(chǔ)上確立實(shí)施方案，完成測試后再進(jìn)行正式的集成。

    1、前期準(zhǔn)備工作

     (1)確定目錄結(jié)構(gòu)

    根據(jù)應(yīng)用需求，確定需要集成的目錄服務(wù)，設(shè)計出整體的目錄結(jié)構(gòu)，可能是現(xiàn)有的目錄中重組，或者建立新的元目錄。目錄結(jié)構(gòu)可以為multi-master或者multi-slave結(jié)構(gòu)。

    (2)數(shù)據(jù)模式建立

    一旦整體目錄結(jié)構(gòu)確定，目錄樹的結(jié)構(gòu)，相關(guān)的屬性和規(guī)則需要建立，有些時候可以采取由目錄廠商提供的默認(rèn)信息模式，有時候需要重新組織定義。

    (3)通過目錄內(nèi)容對模式進(jìn)行認(rèn)證

    檢查每一個目錄里面的數(shù)據(jù)內(nèi)容，保障符合已建立的數(shù)據(jù)模式，檢查數(shù)據(jù)的完整性，對不同系統(tǒng)之間數(shù)據(jù)的差異進(jìn)行確認(rèn)，確定主數(shù)據(jù)源。

    (4)模式映射

    需要集成的目錄信息的模式建立之后，需要建立一個映射來確定不同目錄間的信息是如何集成在一起的。這需要檢查那些字段是強(qiáng)制的，需要映射的內(nèi)容的轉(zhuǎn)換規(guī)則。這些規(guī)則需要被應(yīng)用到所有目錄的內(nèi)容上，包括截取，分拆，合并，替換等。

    (5)意外處理

    目錄集成過程中會涉及很多數(shù)據(jù)內(nèi)容問題，如id的不統(tǒng)一，這些意外情況不能由軟件全部解決，需要人工參與，這些意外需要被確認(rèn)和記錄。

    2、 測試集成

    完成前期準(zhǔn)備后，需要制定部署方案。并將目錄模式以及數(shù)據(jù)轉(zhuǎn)換規(guī)則進(jìn)行測試，測試過程中很可能出現(xiàn)新的數(shù)據(jù)依賴，需要加入方案。

    3、 正式集成

    完成前期準(zhǔn)備工作并完成測試后，可以將方案實(shí)施到正式環(huán)境，跟蹤和評估是必要的。

    4、文檔

    將目錄集成過程文檔化非常重要，文檔應(yīng)對描述集成過程，數(shù)據(jù)流，意外處理進(jìn)行詳細(xì)記錄。

    五、目錄集成應(yīng)用推廣

    目錄集成在很多企業(yè)得到了實(shí)施，成功的目錄集成為企業(yè)信息化的打下良好的基礎(chǔ)，企業(yè)可以通過下面一些措施實(shí)施推進(jìn)目錄應(yīng)用：

    1、 建立一個符合IT長期戰(zhàn)略的LDAP兼容的集成目錄，目前通常是meta-directory。
    2、 盡可能多的利用建立的目錄來進(jìn)行集中的目錄管理及開展其它應(yīng)用，如結(jié)合PKI搭建企業(yè)的信息安全基礎(chǔ)。
    3、 強(qiáng)化目錄信息的效用，如取消紙質(zhì)電話本。
    4、 信息化過程中，如果不得不增加新的目錄，只增加LDAP兼容的目錄。
    5、 減少新增的目錄的數(shù)目，要求應(yīng)用廠商或內(nèi)部開發(fā)隊(duì)伍開發(fā)遵循LDAP協(xié)議的應(yīng)用系統(tǒng)。
    6、制定一個符合業(yè)務(wù)要求的目錄安全策略。

核心關(guān)注：拓步ERP系統(tǒng)平臺是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用，蘊(yùn)涵了豐富的ERP管理思想，集成了ERP軟件業(yè)務(wù)管理理念，功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理，全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域，是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。

轉(zhuǎn)載請注明出處：拓步ERP資訊網(wǎng)http://www.guhuozai8.cn/

本文標(biāo)題：企業(yè)信息化中的目錄集成的技術(shù)與實(shí)施

本文網(wǎng)址：http://www.guhuozai8.cn/html/consultation/1082053320.html