一、目錄與LDAP

    結(jié)構(gòu)化的數(shù)據(jù)在計(jì)算機(jī)中通過(guò)數(shù)據(jù)庫(kù)來(lái)存儲(chǔ)。從廣義上，可把對(duì)數(shù)據(jù)庫(kù)的訪問(wèn)請(qǐng)求分為兩類，一類是數(shù)據(jù)分析，如“3-6歲間的小孩的身高平均數(shù)是多少”，關(guān)系型數(shù)據(jù)庫(kù)憑借功能強(qiáng)大的SQL、索引、存儲(chǔ)過(guò)程、事務(wù)等技術(shù)可以進(jìn)行復(fù)雜的分析和報(bào)告，滿足分析請(qǐng)求需要；還有一類是定位請(qǐng)求，如“職員ABC的郵件地址是什么”，目錄（分層的數(shù)據(jù)庫(kù)）適合處理這類請(qǐng)求，目錄適合于讀遠(yuǎn)多于寫、數(shù)據(jù)為靜態(tài)的情況，目錄提供通過(guò)簡(jiǎn)單的訪問(wèn)協(xié)議（如LDAP）對(duì)大量的分布的數(shù)據(jù)進(jìn)行檢索的功能。

    目錄和FTP、DNS(一種特定的目錄服務(wù))等一樣，也是客戶端/服務(wù)器結(jié)構(gòu)的網(wǎng)絡(luò)服務(wù)。LDAP定義了目錄客戶端和目錄服務(wù)器之間的訪問(wèn)接口協(xié)議，由一系列消息定義組成，LDAP目錄是可以通過(guò)LDAP方式訪問(wèn)的信息，LDAP并沒有定義目錄服務(wù)本身，與信息存儲(chǔ)的方式無(wú)關(guān)。LDAP最初是為提供簡(jiǎn)化客戶端訪問(wèn)X.500目錄的方式（基于OSI的DAP）設(shè)計(jì)，運(yùn)行在TCP/IP之上的LDAP降低了對(duì)客戶端的資源需求。X.500目錄服務(wù)并不能直接理解LDAP消息，需要通過(guò)一個(gè)轉(zhuǎn)換網(wǎng)關(guān)實(shí)現(xiàn)LDAP消息到DAP消息的轉(zhuǎn)換，這個(gè)轉(zhuǎn)換網(wǎng)關(guān)被稱為L(zhǎng)DAP服務(wù)器。最初的LDAP服務(wù)器同時(shí)支持LDAP和DAP，新的LDAP服務(wù)器則通常只支持LDAP的目錄訪問(wèn)方式，演變?yōu)楝F(xiàn)在的LDAP目錄服務(wù)。

    LDAP協(xié)議當(dāng)前的版本是V3，與V2 相比，LDAP V3在一些方面進(jìn)行了擴(kuò)充。V3提供了Referral指向功能，增加了對(duì)SASL（Simple Authentication Secure Layer）安全認(rèn)證的支持，增加了對(duì)國(guó)際化的字符編碼（UTF-8）的支持，以及可以動(dòng)態(tài)的定義對(duì)象和操作并以標(biāo)準(zhǔn)的方式發(fā)布目錄模式。

    LDAP標(biāo)準(zhǔn)定義了四種模型來(lái)幫助用戶建立和使用目錄，它們是信息模型、命名模型、功能模型、安全模型。

    信息模型定義了數(shù)據(jù)類型以及保存在目錄中的信息的基本單元，目錄信息的基本單元是條目（Entry），它是一個(gè)對(duì)象的屬性的集合。LDAP目錄服務(wù)通過(guò)樹型結(jié)構(gòu)組織這些條目，每個(gè)條目具有唯一的標(biāo)示名DN(Distinguished Name)，LDAP條目的組織通常依據(jù)直觀的物理位置和組織關(guān)系進(jìn)行。對(duì)象的屬性由類型和值組成，每個(gè)屬性可以由多個(gè)值。目錄模式（Directory Schemas）對(duì)必須或可以存放在條目中的屬性類型進(jìn)行了限制。

    命名模型為目錄中給每個(gè)條目提供一個(gè)唯一的標(biāo)示名DN，以便準(zhǔn)確地索引條目，由兩部分組成，相對(duì)DN（RDN）和體條目在目錄樹中的位置組成，如同文件系統(tǒng)中的相對(duì)路徑和絕對(duì)路徑的關(guān)系；不同條目RDN可以相同，DN不能相同。

    功能模型定義了LDAP可對(duì)目錄進(jìn)行的三類操作：查詢操作、更新操作和身份驗(yàn)證和控制操作。查詢操作分為搜索操作和比較操作，更新操作包括了添加、刪除、修改、重命名、條目移位等。LDAPV3提供多種身份驗(yàn)證方式和對(duì)訪問(wèn)控制的支持，通過(guò)綁定(Bonding)實(shí)現(xiàn)，支持Kerberos，并提供安全驗(yàn)證（SASL）的功能。

    安全模型的目的是提供一個(gè)不進(jìn)行身份驗(yàn)證不能訪問(wèn)目錄信息的框架；安全模型是基于LDAP是面向協(xié)議的，在連接的有效期內(nèi)LDAP客戶可對(duì)目錄服務(wù)器進(jìn)行身份驗(yàn)證。

    雖然LDAP得到了多數(shù)IT廠商的支持，并得到了大量應(yīng)用。LDAP也并不是靈丹妙藥，LDAP協(xié)議缺乏一些關(guān)鍵的標(biāo)準(zhǔn)如復(fù)制、訪問(wèn)控制、還有目錄模式(Schema)，因?yàn)閺S商目錄復(fù)制方式為私有，一個(gè)廠商的目錄產(chǎn)品的不能自然地和其他廠商的產(chǎn)品信息同步。IETF的LDUP工作組正在將這些重要的特性標(biāo)準(zhǔn)化，但目前在目錄的集成中需要采取辦法克服上述缺陷。

    二、目錄集成

    通常每個(gè)大型企業(yè)都有很多目錄，幾十個(gè)甚至數(shù)百個(gè)，管理這么多的目錄很困難，為了保持?jǐn)?shù)據(jù)準(zhǔn)確，需要管理員花費(fèi)大量時(shí)間重復(fù)更新目錄條目，或者目錄的數(shù)據(jù)一致性越來(lái)越差。通過(guò)目錄集成解決這些管理難題是目前的思路。目錄集成提供了一種新的管理方式，可以讓管理員從一個(gè)目錄管理多個(gè)目錄，并且可以使用自動(dòng)流程實(shí)現(xiàn)各個(gè)目錄之間的數(shù)據(jù)同步。

    短期來(lái)看，目錄集成降低了人為參與的工作量。長(zhǎng)遠(yuǎn)來(lái)看，通過(guò)集成的目錄可以結(jié)合企業(yè)的應(yīng)用系統(tǒng)創(chuàng)造出有價(jià)值的增值應(yīng)用，如SSO，統(tǒng)一用戶管理，工作流等，新建的應(yīng)用系統(tǒng)也可以不建立專用的目錄，而利用集成的目錄數(shù)據(jù)。

    目錄集成往往是企業(yè)信息化項(xiàng)目中應(yīng)用變革的基礎(chǔ)，如實(shí)現(xiàn)統(tǒng)一用戶管理，整合電子商務(wù)等。目錄信息規(guī)劃是集成的基礎(chǔ)，包括現(xiàn)有目錄結(jié)構(gòu)整理，目標(biāo)結(jié)構(gòu)的建模，數(shù)據(jù)編碼，信息連接規(guī)劃。目錄集成的方式多種多樣，其根本是在孤立的目錄（有時(shí)包括SQL數(shù)據(jù)庫(kù)或文件）之間建立數(shù)據(jù)連接，這種連接結(jié)構(gòu)可能是1對(duì)1，1個(gè)對(duì)多個(gè)，多個(gè)對(duì)多個(gè)，或者上述結(jié)構(gòu)的結(jié)合；每個(gè)連接數(shù)據(jù)流向可能是單向的也可能是雙向的。目錄集成有時(shí)需要引入新的目錄存放公共信息，有時(shí)是在現(xiàn)有的目錄之間集成。為了使不同目錄之間能夠?qū)υ�，有些目錄集成�?chǎng)景中需要進(jìn)行目錄模式(Schema)的地調(diào)整，或者需要建立映射和轉(zhuǎn)換規(guī)則。目錄集成是一個(gè)長(zhǎng)期的過(guò)程，需要階段性的調(diào)整和長(zhǎng)期的維護(hù)結(jié)合。

    三、目錄集成技術(shù)與元目錄(Meta-directory)

    目錄集成存在不同層次上多種工具。最基本的，RFC2849描述了一種名為ldif(LDAP Data Interchange Format)的文本文件格式，可以用來(lái)在基于LDAP的目錄服務(wù)器間進(jìn)行目錄信息的導(dǎo)入導(dǎo)出，或者描述應(yīng)用到目錄的變化，這種方式很簡(jiǎn)單，但往往人工操作，實(shí)時(shí)性不能保障，同時(shí)不能做信息轉(zhuǎn)換。有的目錄服務(wù)軟件自帶一些插件可以實(shí)現(xiàn)與特定目錄之間信息的交互，如Domino目錄可以通過(guò)一個(gè)名為ADSync的工具實(shí)現(xiàn)與AD目錄信息的單項(xiàng)或雙向同步，這種方式局限于特定的目錄系統(tǒng)。更為復(fù)雜的一種集成方式，可以通過(guò)專門的目錄集成軟件實(shí)現(xiàn)目錄間的連接定制，并在必要時(shí)建立一個(gè)中心目錄，這種方式能比較全面覆蓋各種目錄集成需求，元目錄(Meta-directory)是比較典型的一種實(shí)現(xiàn)。Gartner將元目錄的解決方案分為三類：復(fù)制、虛目錄和信息中介，每一類都有它的優(yōu)點(diǎn)和缺點(diǎn)。

    最常見基于復(fù)制技術(shù)元目錄解決方案，從每一個(gè)獨(dú)立目錄服務(wù)器中復(fù)制屬性到一個(gè)中心目錄。這種實(shí)現(xiàn)方案的優(yōu)點(diǎn)明顯，能提供很好的性能，如很快完成復(fù)雜的檢索，并可以利用已有的目錄技術(shù)，也比較成熟；缺點(diǎn)是在整個(gè)目錄體系中數(shù)據(jù)存在很多拷貝，也總是存在信息同步的時(shí)延。

    虛目錄方式的解決方案是建立可以訪問(wèn)不同目錄的客戶端,不需要建立中心目錄。但是這種方式需要客戶端較高的智能，把企業(yè)中的目錄中的條目組織成一個(gè)獨(dú)立的視圖是很困難的，微軟的ADSI（Active Directory Service Interface）是實(shí)現(xiàn)虛目錄技術(shù)框架的一個(gè)實(shí)現(xiàn)。短期之內(nèi)這種虛目錄方式很難普及，因?yàn)槠髽I(yè)多數(shù)沒有很好地目錄信息規(guī)劃，不能通過(guò)一個(gè)獨(dú)立的id定位所有的條目。

    信息中介解決方案是建立一個(gè)本身不在本地存儲(chǔ)數(shù)據(jù)的目錄服務(wù)器，從不同的目錄服務(wù)器中獲取數(shù)據(jù)并通過(guò)標(biāo)準(zhǔn)的目錄協(xié)議反饋給請(qǐng)求方；這種方式的優(yōu)點(diǎn)是沒有信息同步的時(shí)延，并且不需要保留數(shù)據(jù)拷貝，節(jié)約存儲(chǔ)空間，缺點(diǎn)也很明顯，因?yàn)閿?shù)據(jù)分散在不同的目錄服務(wù)器中，檢索性能很低，服務(wù)可用性依賴于也依賴于分散的目錄服務(wù)器。

    當(dāng)前，比較理想的是結(jié)合復(fù)制與信息中介兩者優(yōu)點(diǎn)的元目錄實(shí)現(xiàn)方式，最可行的仍然是基于復(fù)制的元目錄實(shí)現(xiàn)。在建立元目錄時(shí)，應(yīng)考慮的幾個(gè)關(guān)鍵問(wèn)題包括信息的傳播延時(shí)，還有目錄的擴(kuò)展性，因?yàn)樵�目錄�?huì)成為IT體系中核心的基礎(chǔ)設(shè)施。

    四、目錄集成項(xiàng)目實(shí)施

    目錄集成是往往IT項(xiàng)目的一部分，由于其重要性和涉及的資源多，其本身也是復(fù)雜的系統(tǒng)工程，需要前期的大量的信息搜集等前期準(zhǔn)備工作，在此基礎(chǔ)上確立實(shí)施方案，完成測(cè)試后再進(jìn)行正式的集成。

    1、前期準(zhǔn)備工作

     (1)確定目錄結(jié)構(gòu)

    根據(jù)應(yīng)用需求，確定需要集成的目錄服務(wù)，設(shè)計(jì)出整體的目錄結(jié)構(gòu)，可能是現(xiàn)有的目錄中重組，或者建立新的元目錄。目錄結(jié)構(gòu)可以為multi-master或者multi-slave結(jié)構(gòu)。

    (2)數(shù)據(jù)模式建立

    一旦整體目錄結(jié)構(gòu)確定，目錄樹的結(jié)構(gòu)，相關(guān)的屬性和規(guī)則需要建立，有些時(shí)候可以采取由目錄廠商提供的默認(rèn)信息模式，有時(shí)候需要重新組織定義。

    (3)通過(guò)目錄內(nèi)容對(duì)模式進(jìn)行認(rèn)證

    檢查每一個(gè)目錄里面的數(shù)據(jù)內(nèi)容，保障符合已建立的數(shù)據(jù)模式，檢查數(shù)據(jù)的完整性，對(duì)不同系統(tǒng)之間數(shù)據(jù)的差異進(jìn)行確認(rèn)，確定主數(shù)據(jù)源。

    (4)模式映射

    需要集成的目錄信息的模式建立之后，需要建立一個(gè)映射來(lái)確定不同目錄間的信息是如何集成在一起的。這需要檢查那些字段是強(qiáng)制的，需要映射的內(nèi)容的轉(zhuǎn)換規(guī)則。這些規(guī)則需要被應(yīng)用到所有目錄的內(nèi)容上，包括截取，分拆，合并，替換等。

    (5)意外處理

    目錄集成過(guò)程中會(huì)涉及很多數(shù)據(jù)內(nèi)容問(wèn)題，如id的不統(tǒng)一，這些意外情況不能由軟件全部解決，需要人工參與，這些意外需要被確認(rèn)和記錄。

    2、 測(cè)試集成

    完成前期準(zhǔn)備后，需要制定部署方案。并將目錄模式以及數(shù)據(jù)轉(zhuǎn)換規(guī)則進(jìn)行測(cè)試，測(cè)試過(guò)程中很可能出現(xiàn)新的數(shù)據(jù)依賴，需要加入方案。

    3、 正式集成

    完成前期準(zhǔn)備工作并完成測(cè)試后，可以將方案實(shí)施到正式環(huán)境，跟蹤和評(píng)估是必要的。

    4、文檔

    將目錄集成過(guò)程文檔化非常重要，文檔應(yīng)對(duì)描述集成過(guò)程，數(shù)據(jù)流，意外處理進(jìn)行詳細(xì)記錄。

    五、目錄集成應(yīng)用推廣

    目錄集成在很多企業(yè)得到了實(shí)施，成功的目錄集成為企業(yè)信息化的打下良好的基礎(chǔ)，企業(yè)可以通過(guò)下面一些措施實(shí)施推進(jìn)目錄應(yīng)用：

    1、 建立一個(gè)符合IT長(zhǎng)期戰(zhàn)略的LDAP兼容的集成目錄，目前通常是meta-directory。
    2、 盡可能多的利用建立的目錄來(lái)進(jìn)行集中的目錄管理及開展其它應(yīng)用，如結(jié)合PKI搭建企業(yè)的信息安全基礎(chǔ)。
    3、 強(qiáng)化目錄信息的效用，如取消紙質(zhì)電話本。
    4、 信息化過(guò)程中，如果不得不增加新的目錄，只增加LDAP兼容的目錄。
    5、 減少新增的目錄的數(shù)目，要求應(yīng)用廠商或內(nèi)部開發(fā)隊(duì)伍開發(fā)遵循LDAP協(xié)議的應(yīng)用系統(tǒng)。
    6、制定一個(gè)符合業(yè)務(wù)要求的目錄安全策略。

核心關(guān)注：拓步ERP系統(tǒng)平臺(tái)是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用，蘊(yùn)涵了豐富的ERP管理思想，集成了ERP軟件業(yè)務(wù)管理理念，功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理，全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域，是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。

轉(zhuǎn)載請(qǐng)注明出處：拓步ERP資訊網(wǎng)http://www.ezxoed.cn/

本文標(biāo)題：企業(yè)信息化中的目錄集成的技術(shù)與實(shí)施

本文網(wǎng)址：http://www.ezxoed.cn/html/consultation/1082053320.html