第5 章——规划异类安全和目录解决方案

更多IT解决方案迁移针对UNIX的MicrosoftWindows安全和目录服务解决方案指南第5章——规划异类安全和目录解决方案发布日期：2005年01月31日本页内容本页内容本页内容本页内容简介和目标开发解决方案设计和体系结构验证技术创建功能规范制订项目计划建立开发和测试环境结束“规划阶段”重要里程碑：项目计划已批准总结简介和目标简介和目标简介和目标简介和目标本章提供了完成异类安全和目录解决方案项目的“规划阶段”所需的背景和技术信息。本章以“构想阶段”中所创建并同意的文档为基础。“规划阶段”的主要目标是创建解决方案的体系结构及设计、项目规划和项目进度表。解决方案的设计和体系结构是作为概念、逻辑系统和物理组件（概念设计、逻辑设计和物理设计）而链接的，并且将成为功能规范的一部分。这是一个将最初的构想转变为如何来实现的实际计划的项目阶段。项目组成员们利用他们的专业技术在项目的所有领域内创建单独的计划（其范围从安全性到预算再到部署），项目管理角色将这些计划累积成一个主项目计划。同样，单独的进度表将结合为主项目进度表。如果项目组一致同意这些计划对于继续开发足够明确，并且项目组、业务发起人和主要参与者批准了主项目计划、进度表和功能规范（通常是在重要会议上），则此阶段就结束了。正式确定是以主要的里程碑“项目规划已批准”为标志的。下面的列表标识了符合这个里程碑所必须完成的任务。与大多数的规划一样，这些任务可能涉及到许多交流活动。请记住在达成一致以前，项目组与客户和参与者可能会反复商议具体的项目。具体任务有：•开发解决方案设计和体系结构•验证技术•创建功能规范•制订项目计划•创建项目进度表•建立开发和测试环境本章所提供的技术信息将在您做出与该阶段相关的决定时，对您牢记的注意事项进行指导。例如，物理体系结构的设计部分由所需性能决定，同时也由其他产品和运行要求来决定。本章讨论了开发和测试环境的必备条件，还提供了对将要使用的技术进行验证的指南。读者应该参考《UNIX迁移项目指南》(UMPG)以获得有关组织完成这项工作的项目组和过程的指导信息。表5.1总结了“规划阶段”的过程及其主要任务。根据MSF项目组角色定义了每项任务的所有者。此表还包括这些角色关于分布式安全或目录解决方案的详细信息。表表表表5.1：主要的：主要的：主要的：主要的“规划阶段规划阶段规划阶段规划阶段”任务和所有者任务和所有者任务和所有者任务和所有者本文内容本文内容本文内容本文内容•前言•第1章——网络安全和目录服务概述•第2章——UNIX和Windows环境中的身份验证和授权•第3章——作为UNIX和Windows环境中的标识存储区的ActiveDirectory和LDAP•第4章——构想异类安全和目录解决方案•第5章——规划异类安全和目录解决方案•第6章——开发面向异类安全和目录解决方案的基础结构•第7章——开发异类Kerberos安全解决方案•第8章——开发LDAP安全和目录基础结构•第9章——测试基于Windows的安全和目录服务•第10章——部署基于Windows的安全和目录解决方案•第11章——Vintela身份验证服务下载完整的《针对UNIX的Windows安全和目录服务解决方案指南》规划异类安全和目录解决方案第1页共23页2010-6-2723:23主要任务主要任务主要任务主要任务所有者所有者所有者所有者开发解决方案设计和体系结构开发解决方案设计和体系结构开发解决方案设计和体系结构开发解决方案设计和体系结构项目组从解决方案设计和体系结构开始设计过程，在得到将成为功能规范的一部分的设计文档时结束此过程。开发验证技术验证技术验证技术验证技术项目组创建一个小范围的典型试验，用于评估不同的解决方案技术和选择。开发创建功能规范创建功能规范创建功能规范创建功能规范项目组创建描述解决方案必备条件、体系结构和所有功能的详细设计的功能规范。项目管理开发项目计划开发项目计划开发项目计划开发项目计划项目组开发一个说明六个MSF项目组角色如何执行其任务的计划集。这些计划将合并到主项目计划中。主项目计划被认为是所有计划的累积，因此它还包括战略项目（比如：解决方案的方法、依存项和假设等）。项目管理创建项目进度表创建项目进度表创建项目进度表创建项目进度表项目组创建主项目进度表，此进度表由每个单独的组角色在规划他们各自的活动时开发的里程碑驱动的进度表组成。项目管理建立开发和测试环境建立开发和测试环境建立开发和测试环境建立开发和测试环境项目组创建独立于产品环境的开发和测试环境来开发和测试解决方案。开发和测试结束结束结束结束“规划阶段规划阶段规划阶段规划阶段”项目组完成“项目规划已批准”里程碑的批准过程，并记录完成在该阶段所执行的任务的结果。项目组具体项目具体项目具体项目具体项目“规划阶段”的具体项目是：•功能规范•构想/范围文档的摘要•设想/范围文档中的要求之外的其他用户和客户要求•解决方案设计和体系结构•作为解决方案一部分的组件规范•主项目计划•安全计划•预算计划•资源计划•开发计划•测试计划•部署计划•试验规划•操作计划•开发和测试环境•项目进度表返回页首开发解决方案设计和体系结构开发解决方案设计和体系结构开发解决方案设计和体系结构开发解决方案设计和体系结构解决方案设计和体系结构的开发从设计过程开始，其结果为成为功能规范。此设计过程以项目规划异类安全和目录解决方案第2页共23页2010-6-2723:23组确立的构想和在“构想阶段”所收集的业务要求为基础，使项目组成员准备他们在“开发阶段”中的任务。通过开发解决方案的概念、逻辑和物理设计，此设计过程给予了项目组一个系统的方法，使其从抽象概念具体到特定的技术细节。这些过程不是三个独立的设计过程，而应该看作是设计统一体中的三个相互重叠的阶段。注意注意注意注意由于项目组从收集要求转移到设计解决方案再到创建详细的功能规范，所以保持要求和解决方案功能之间的可追溯性非常重要。可追溯性不是必须建立在一对一的基础上；事实上，通常不是这样的。可能一些功能满足不只一项要求，也可能需要很多功能来满足单一要求。但是每项要求都必须可追溯到其解决方案的相应部分。保持可追溯性可作为检查设计的正确性及确保设计达到解决方案的目标和要求的一种方式。安全和目录服务的概念设计安全和目录服务的概念设计安全和目录服务的概念设计安全和目录服务的概念设计概念设计描述了解决方案每个主要功能的功能性展示。对于迁移项目，其概念设计通常与为体系结构组件的当前构想所开发的概念设计相同。但重要的是将设计结合到迁移项目的功能规范中；当前组件的实际概念可能已经与其初始的概念不同。即使概念设计保持不变，它也会作为后续设计的“试金石”。例如，概念设计阐述了必须在解决方案中包括的每个用户界面元素。概念设计记录了用户和管理员使用解决方案的方式。在进行设计时，项目组要考虑所有用户配置文件组的需求。为了做到这一点，他们必须首先深入地了解这些要求。这是通过回顾在“构想阶段”中开发的一系列文档来完成的：•业务目标•用户团体配置文件•当前解决方案评估•高级要求•用户配置文件设计者根据最终成为功能规范一部分的描述合并这些要求。图5.1总结了本指南所介绍的解决方案的概念设计。虽然其他设计是可行的，但本指南没有提出实现它们的解决方案。在图5.1的图表中，左侧显示了安全解决方案的不同的概念设计，右侧显示了目录解决方案的不同的概念设计。注意本指南所给出的解决方案能够合并成为一个集成的安全和目录解决方案（在图中显示为合并的解决方案椭圆形），这非常重要。注意注意注意注意在与这两种解决方案都有关的每个章节中，本指南在介绍目录解决方案之前都首先介绍安全解决方案。规划异类安全和目录解决方案第3页共23页2010-6-2723:23图图图图5.1安全和目录服务的概念设计概览安全和目录服务的概念设计概览安全和目录服务的概念设计概览安全和目录服务的概念设计概览在本指南所给出的每个解决方案案例中，假设每个解决方案都将在具有现有的旧系统、旧安全服务和旧目录服务的环境中实现。将旧系统集成并迁移到任何新系统的能力是每个解决方案的一个重要方面。在下面各节中将更详细地描述不同的安全和目录解决方案设计。安全服务的概念设计安全服务的概念设计安全服务的概念设计安全服务的概念设计图5.1所示的安全服务的概念设计主要是为了提供跨越所有平台和应用程序的单一登录安全性。安全管理将集中在一个位置。由于用户和管理员只需在所有平台中处理相同的用户帐户或用户帐户集，所以系统和应用程序的可用性得到了提高。所给出的主要选择是单一领域或交叉领域。单一领域解决方案适用于只需要一个身份验证领域的情况。而在组织中需要不止一个领域时则需要交叉领域解决方案。在交叉领域解决方案的情况下，交叉领域身份验证很可能将会在不同操作系统中的身份验证系统中使用。在这种情况下，互操作性是此解决方案的一个重要的部分。这个目录身份验证解决方案是作为在如下两种情况中都可用的一个选择而提出的：•在不能使用身份验证的标准安全服务时。•作为目录服务解决方案一部分的目录操作过程中的身份验证。所有的解决方案必须能够与组织可能继续需要的旧系统相集成以支持特定的业务功能。目录服务的概念设计目录服务的概念设计目录服务的概念设计目录服务的概念设计图5.1所示的目录服务的概念设计主要是为了向组织内的所有操作系统提供集中的帐户目录。另外，目录服务也应该能够存储其他由组织的系统和应用程序使用的操作系统信息、用户帐户信息和公司信息。目录存储区保存了组织的员工的所有帐户，从而简化了帐户管理并改善了用户的体验。对于使用安全服务解决方案的情况，图5.1给出了两种主要的选择。这两个选择是单个域和多个域。这两种选择表现了一个组织由于策略上或技术上的原因需要将目录分成两个不同域的情景。在任何情况下，多域解决方案就是在多个域的环境中运行跨平台目录服务。规划异类安全和目录解决方案第4页共23页2010-6-2723:23在多数情况中，目录解决方案需要目录身份验证以确保目录服务能够安全运行。安全和目录服务的逻辑设计安全和目录服务的逻辑设计安全和目录服务的逻辑设计安全和目录服务的逻辑设计逻辑设计获得概念设计的每部分内容并在一个体系结构内指定给这些内容一个特定的逻辑角色。对于基于本指南的安全和目录解决方案的项目，体系结构是一系列显示网络、服务组件和网络连接单元的方框图。由于这是一个迁移项目，所以项目组应该记录现有的逻辑设计和已迁移的体系结构组件的逻辑设计，强调更改的地方。可能需要显示项目范围之外的其他组件如何与迁移主题相互作用。本节将分成几小节来介绍本指南所给出的不同的安全和目录解决方案及其所需的基础结构。每个单独的解决方案的逻辑设计都包含这些最低要求：•解决方案是基于标准的。•解决方案的平台是WindowsServer2003。•解决方案是跨平台的，并且允许集成WindowsServer2003ActiveDirectory与旧的基于UNIX和Linux的系统。•解决方案应该尽可能使每个解决方案组件中可用的任何安全功能都得到最好的利用。•解决方案主要通过使用WindowsServer2003管理工具来进行管理。在下面各节中，解决方案的组件和逻辑设计是建立在作为目标操作系统的一部分可用的标准组件基础上的，并在需要的地方升级到MITKerberos1.3.1分布和PADLLDAP模块。如果概念设计指定了一个完全集成的安全和目录解决方案，则可以使用这些小节中所描述的UNIX和Linux组件来部