国家电网公司企业标准SG/TXXXXX.XX电网企业门户系统用户目录服务设计和管理规范PortaldirectoryforelectricgridenterpriseDesignandmanagementspecifications(征求意见稿)YYYY-MM-DD发布YYYY-MM-DD实施国家电力公司发布目录1目的..................................................................................................................................................12范围..................................................................................................................................................13规范性引用文件..............................................................................................................................14建设原则..........................................................................................................................................25建设目标..........................................................................................................................................25.1初期目标.................................................................................................................................25.2最终目标.................................................................................................................................26目录服务系统总体设计规范..........................................................................................................26.1LDAP目录服务系统..............................................................................................................26.2分布式目录系统结构.............................................................................................................36.3目录服务结构设计.................................................................................................................45.3.1目录树的设计原则.................................................................................................................45.3.2目录属性定义.........................................................................................................................55.3.3目录对象类定义.....................................................................................................................76.4目录服务系统部署方案.......................................................................................................105.4.1信息分区部署方式...............................................................................................................115.4.2信息复制部署方式...............................................................................................................125.4.3国家电网公司统一目录服务部署建议方案.......................................................................147附表:............................................................................................................................................161目的本规范结合SG186项目的建设思路,提出国家电网公司企业门户系统用户管理的建设目标,对公司系统用户管理的目录服务架构、对象定义、管理方案、与应用系统的集成进行规划,同时对应用系统的建设提出要求,规范和指导国家电网公司企业门户系统用户管理的建设。2范围本规范是国家电网公司企业门户系统用户管理建设的基本依据。各网省公司可依照本规范以及其它相关标准,结合本地实际情况建设本网省公司的企业门户系统用户管理。3规范性引用文件凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本部分,然而,鼓励根据本部分达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本部分。GB/T2312-1980信息交换用汉字编码字符集基本集RFC1823LDAP应用程序编程接口RFC2251轻型目录访问协议(版本3)RFC2252轻型目录访问协议(版本3):属性语法定义RFC2254LDAP查询过滤器的字符串表示RFC2255LDAP的URL格式)RFC2256LDAPv3使用的X.500(96)用户模式汇总RFC2849LDAP数据交换格式(LDIF)国网公司系统统一目录服务建设规范24建设原则国家电网公司企业门户系统用户管理建设的基本原则是“集中规划、统一建设、分级管理”。即由公司总部统一规划系统用户目录管理的相关要求,统一进行国网公司企业门户系统用户目录系统的建设,,公司总部用户目录系统集中存放各网省公司的用户信息,各网省公司管理、维护本地的用户目录系统。5建设目标5.1初期目标建立国网公司总部和试点单位的统一用户目录服务,实现总部和试点单位企业门户系统用户的单点登录和统一管理;对国网公司系统目录结构、用户属性、命名规则、编码规则等提出规范性要求;规范、制定国网公司企业门户系统统一用户管理的流程。5.2最终目标实现国家电网公司全系统企业门户单点登录和统一用户管理,实现与原有各应用系统的用户管理集成,制定新建应用系统用户管理、授权、认证的标准。6目录服务系统总体设计规范6.1LDAP目录服务系统LDAP目录服务系统必须采用遵守LDAPV3标准的目录服务产品,并满足以下要求。目录服务产品协议标准遵循标准的LDAP访问协议,以便支持分布式特性,并能够实现协议通讯的向上向下兼容。目录服务产品应采用服务器(Server)/客户端(Client)的国网公司系统统一目录服务建设规范3总体模型,客户端通过访问服务器来完成所有协议操作。性能和容量:提供100万数据容量的ms级访问,应达到同时处理1000个以上的并发连接的能力。安全性:提供多种身份认证方式,包括匿名、用户名/密码和数字证书的身份认证;支持灵活的访问控制,可以精确到条目和属性,能实现与数字证书结合的访问控制;数据通道的保密,防止对通讯过程的监控造成的信息泄密。跨平台:目录服务产品应该支持主流操作系统平台(例如:Windows、Linux、HP-UNIX、Solaris、IBMAIX)支持分布式:提供Referral的分布式自动漫游查询支持,至少3级以上;提供一主多从、级联、子树、互为主从等多种复制模式。标准的支持:支持LDAPV3标准:RFC2251、RFC2252、RFC2253、FC2254、RFC2255、RFC2256.易用性上:提供图形化的管理界面,降低系统维护成本。6.2分布式目录系统结构国家电网公司统一目录系统采用分布式结构。国网公司中央目录数据库中存储整个国家电网公司项目系统的整体信息,各区域公司设置中央目录服务器的国网公司系统统一目录服务建设规范4从目录服务器及本地目录服务器,各省公司设置本地目录服务器用以存储本地的目录数据。对于中央目录服务系统、区域和省级目录服务系统,目录服务器要求采用双机热备方式。各级节点的目录服务器可采用主、从双服务器设计方式,保障该节点目录服务的可靠性。当系统并发访问LDAP的用户数量达到一定程度,需要采用多从的方式,同时为了提高目录的并发访问数量,实现负载平衡和失败容错,需要在从目录服务器前增加硬件代理。6.3目录服务结构设计5.3.1目录树的设计原则目录树的结构设计为目录数据的命名和应用访问提供基本框架,目录树的结构设计应符合LDAP层次模型,目录树设计的基本原则如下:·有利于简化目录数据的管理;·可以灵活的创建数据复制和访问策略;·支持应用系统对目录数据的访问要求;目录服务系统的后缀(suffix)确定了目录条目的命名空间。多个目录服务系统可以在一个统一命名空间下对条目进行命名,不同的目录服务系统管理该命名空间下的不同部分。整个命名空间的最底层一般被称为命名空间的根后缀,不同的目录服务系统的管辖空间形成了子后缀。国家电网公司统一目录树结构如下图所示:…………o=sgcc,c=cnou=HQ,o=sgcc,c=cnou=NE,o=sgcc,c=cnnodeid=users,ou=HQ,o=sgcc,c=cnnodeid=apps,o=sgcc,c=cnnodeid=department,ou=HQ,o=sgcc,c=cnuid=user1uid=others,…appid=sys_email,…appid=sys_oa,…ou=depart1,…ou=depart2,…国网公司系统统一目录服务建设规范5节点说明:nodeid=apps存放所有应用的结点,这些结点之间是平行的关系;nodeid=users存放所有单位用户的结点,这些结点之间是平行的关系;nodeid=department存放本单位所有的部门结点,这些结点之间是平行的关系,每个部门结点本身有上级部门的属性;可以保证部门的树状