1、 国家电网企业企业标准 SG/T XXXXX.XX 电网企业门户系统用户目录服务 设计和管理规范 Portal directory for electric grid enterprise Design and management specifications (征求意见稿) YYYY-MM-DD公布 YYYY-MM-DD实施 国家电力企业 公布目 录 1 目标 1 2 范围 1 3 规范性引用文件 1 4 建设标准 2 5 建设目标 2 5.1 早期目标 2 5.2 最终目标
2、 2 6 目录服务系统总体设计规范 2 6.1 LDAP目录服务系统 2 6.2 分布式目录系统结构 3 6.3 目录服务结构设计 4 5.3.1目录树设计标准 4 5.3.2目录属性定义 5 5.3.3目录对象类定义 7 6.4 目录服务系统布署方案 10 5.4.1信息分区布署方法 11 5.4.2信息复制布署方法 12 5.4.3国家电网企业统一目录服务布署提议方案 14 7 附表: 16 1 目标 本规范结合SG186项目标建设思绪,提出国家电网企业企业门户系统用户管理建设目标,对企业系统用户管理目录服务架构、对象定义、管理方案、和应用系统集成进行计划,
3、同时对应用系统建设提出要求,规范和指导国家电网企业企业门户系统用户管理建设。 2 范围 本规范是国家电网企业企业门户系统用户管理建设基础依据。各网省企业可依据本规范和其它相关标准,结合当地实际情况建设本网省企业企业门户系统用户管理。 3 规范性引用文件 通常注日期引用文件,其随即全部修改单(不包含勘误内容)或修订版均不适适用于本部分,然而,激励依据本部分达成协议各方研究是否可使用这些文件最新版本。通常不注日期引用文件,其最新版本适适用于本部分。 GB/T 2312-1980 信息交换用汉字编码字符集 基础集 RFC 1823 LDAP应用程序编程接口 RFC 2251 轻型
4、目录访问协议(版本3) RFC 2252 轻型目录访问协议(版本3):属性语法定义 RFC 2254 LDAP查询过滤器字符串表示 RFC 2255 LDAPURL格式) RFC 2256 LDAPv3使用X.500(96)用户模式汇总 RFC 2849 LDAP数据交换格式(LDIF) 4 建设标准 国家电网企业企业门户系统用户管理建设基础标准是“集中计划、统一建设、分级管理”。即由企业总部统一计划系统用户目录管理相关要求,统一进行国网企业企业门户系统用户目录系统建设,,企业总部用户目录系统集中存放各网省企业用户信息,各网省企业管理、维护当地用户目录系统。
5、 5 建设目标 5.1 早期目标 建立国网企业总部和试点单位统一用户目录服务,实现总部和试点单位企业门户系统用户单点登录和统一管理;对国网企业系统目录结构、用户属性、命名规则、编码规则等提出规范性要求;规范、制订国网企业企业门户系统统一用户管理步骤。 5.2 最终目标 实现国家电网企业全系统企业门户单点登录和统一用户管理,实现和原有各应用系统用户管理集成,制订新建应用系统用户管理、授权、认证标准。 6 目录服务系统总体设计规范 6.1 LDAP目录服务系统 LDAP目录服务系统必需采取遵守LDAP V3标准目录服务产品,并满足以下要求。 目录服务产品协议标准 遵照标准LDAP
6、访问协议,方便支持分布式特征,并能够实现协议通讯向上向下兼容。目录服务产品应采取服务器(Server)/用户端(Client)总体模型,用户端经过访问服务器来完成全部协议操作。 性能和容量: 提供100万数据容量ms级访问,应达成同时处理1000个以上并发连接能力。 安全性: 提供多个身份认证方法,包含匿名、用户名/密码和数字证书身份认证; 支持灵活访问控制,能够正确到条目和属性,能实现和数字证书结合访问控制; 数据通道保密,预防对通讯过程监控造成信息泄密。 跨平台: 目录服务产品应该支持主流操作系统平台(比如:Windows、Linux、HP-UNIX、Solaris、IBM
7、 AIX) 支持分布式: 提供Referral分布式自动漫游查询支持,最少3级以上; 提供一主多从、级联、子树、互为主从等多个复制模式。 标准支持: 支持LDAP V3标准:RFC 2251、RFC 2252、RFC 2253、FC 2254、RFC 2255、RFC 2256. 易用性上: 提供图形化管理界面,降低系统维护成本。 6.2 分布式目录系统结构 国家电网企业统一目录系统采取分布式结构。国网企业中央目录数据库中存放整个国家电网企业项目系统整体信息,各区域企业设置中央目录服务器从目录服务器及当地目录服务器,各省企业设置当地目录服务器用以存放当地目录数据。 对于中央
8、目录服务系统、区域和省级目录服务系统,目录服务器要求采取双机热备方法。 各级节点目录服务器可采取主、从双服务器设计方法,保障该节点目录服务可靠性。当系统并发访问LDAP用户数量达成一定程度,需要采取多从方法,同时为了提升目录并发访问数量,实现负载平衡和失败容错,需要在从目录服务器前增加硬件代理。 6.3 目录服务结构设计 5.3.1目录树设计标准 目录树结构设计为目录数据命名和应用访问提供基础框架,目录树结构设计应符合LDAP层次模型,目录树设计基础标准以下: · 有利于简化目录数据管理; · 能够灵活创建数据复制和访问策略; · 支持应用系统对目录数据访问要求; 目录服
9、务系统后缀(suffix)确定了目录条目标命名空间。多个目录服务系统能够在一个统一命名空间下对条目进行命名,不一样目录服务系统管理该命名空间下不一样部分。整个命名空间最底层通常被称为命名空间根后缀,不一样目录服务系统管辖空间形成了子后缀。 国家电网企业统一目录树结构以下图所表示: o=sgcc,c=cn ou=HQ,o=sgcc,c=cn ou=NE,o=sgcc,c=cn nodeid=users,ou=HQ,o=sgcc,c=cn nodeid=apps,o=sgcc,c=cn nodeid=department,ou=HQ,o=sgcc,c=cn uid=user1 u
10、id=others,… appid=sys_email,… appid=sys_oa,… ou=depart1,… ou=depart2,… ………… Ø 节点说明: nodeid=apps 存放全部应用结点,这些结点之间是平行关系; nodeid=users 存放全部单位用户结点,这些结点之间是平行关系; nodeid=department 存放本单位全部部门结点,这些结点之间是平行关系,每个部门结点本身有上级部门属性;能够确保部门树状结构关系; Ø 条目dn举例: 某个用户uid=user1, ou=HQ,o=sgcc,c=cn
11、 某个部门ou=depart1, ou=HQ,o=sgcc,c=cn 某个应用appid=sys_email, nodeid=apps,o=sgcc,c=cn Ø 目录命名空间说明: 为了确保以后扩展性,目录根后缀最少应该定义到整个国家电网企业,现在定义是: 国家电网企业:o=sgcc,c=cn 国网本部:ou=HQ,o=sgcc,c=cn,东北电力企业:ou=NE,o=sgcc,c=cn,各单位代码表详见附件。 Email应用:appid=sys_email, nodeid=apps,o=sgcc,c=cn,其它应用以这类推。 5.3.2目录属性定义 在目录服务中,代表
12、用户信息条目标RDN选择SN或CN,代表国家电网下属单位信息条目标RDN选择ou。对于DN中数据内容必需严格参考RFC 2253要求,不许可出现字符决不能出现。RDN选择必需是必选属性。下面以国家电网企业本部为例说明该节点下面nodeid属性。 (1)用户属性列: 属性名 页面名称 cn 用户登录名(必填项) sn 汉字名字(必填项) userPassword 用户密码(必填项) idsuserstatus 启停状态(必填项,缺省是1) depart 用户所在部门id(参见说明) telephoneNumber 电话(可选项) mobile 移动电话(可选项)
13、 mail 邮件(可选项) appdesc 多值,参见下面说明 dispdesc 应用展示项(可选项) userpos 用户位置 job 职务 uid 证书id usercertificate 证书内容 objectClass idsperson 说明: appdesc:用户关联应用和应用中用户帐号,格式是appid#appuserid#appuserpassword。假如应用不需要进行用户帐号映射,那么就只有appid,不然格式必需最少是:appid#,中间用#分离; depart:用户所在部门id(必填项,是部门结点ou属性); .userpos:代
14、表用户所在节点位置,作为未来扩展用; (2)部门属性列表: 属性名 页面名称 ou 部门代码(必填项) description 部门名称(必填项) addrdesc 部门地址(可选项) telephoneNumber 部门电话(可选项) l 上级部门代码(必填项,参见说明) objectClass idsorganizationUnit 说明: ou:当部门为处室时,命名需有上级部门标识,如国网本部发展部ou=fz,发展部综合处ou=fzzh。 l:上级部门代码,当l和ou相同时代表顶级部门 (3)全部系统应用条目在o=sgcc,c=cn节点下面,应用条目
15、标属性列表: 属性名 页面名称 appid 应用编码(必填项,需要) appdesc 应用名称(必填项) appuserid 映射用户个数(参见说明) SSOProxyLoginURL 登入路径(必填项) SSOProxyLogoutURL 登出路径(可选项) attrdesc 应用所使用属性描述(必填项) objectClass idsapp 说明: appid:应用必需根据要求编码规则来输入,比如:sys_HQ_email,代表国网本部email应用,这个应用名字还必需是全局(整个国网企业,包含下属单位)唯一。 appuserid:新增属性,代表多id
16、情况; 5.3.3目录对象类定义 (1)用户对象类:idsperson 从LDAP标准对象类inetorgperson继承; objectclass ( 2.5.6.6.1 NAME 'idsperson' STRUCTURAL SUP inetorgperson MUST ( cn ) MAY ( sn $ idsuserstatus $ depart $ appdesc $ dispdesc $ userpos $ job ) ) (2)组织对象类:idsorganization 从LDAP标准对象类organization继承; object
17、class ( 2.5.6.4.1 NAME 'idsorganization' STRUCTURAL SUP organization MUST ( o ) MAY ( userPassword $ searchGuide $ seeAlso $ businessCategory $ x121Address $ registeredAddress $ destinationIndicator $ preferredDeliveryMethod $ telexNumber $ teletexTerminalIdentifier $ telephoneNumber $ int
18、ernationaliSDNNumber $ facsimileTelephoneNumber $ street $ postOfficeBox $ postalCode $ postalAddress $ physicalDeliveryOfficeName $ st $ l $ description $ addrdesc ) ) (3)部门对象类:idsorganizationUnit 从LDAP标准对象类organizationUnit继承; objectclass (2.5.6.5.1 NAME 'idsorganizationUnit' STRUCTURAL
19、 SUP organizationUnit MUST ( ou ) MAY ( userPassword $ searchGuide $ seeAlso $ businessCategory $ x121Address $ registeredAddress $ destinationIndicator $ preferredDeliveryMethod $ telexNumber $ teletexTerminalIdentifier $ telephoneNumber $ internationaliSDNNumber $ facsimileTelephoneNumber $ s
20、treet $ postOfficeBox $ postalCode $ postalAddress $ physicalDeliveryOfficeName $ st $ l $ description ) (4)应用对象类:idsapp 从LDAP标准对象类top继承; objectclass ( 2.5.6.12.2 NAME 'idsapp' STRUCTURAL SUP top MUST ( appid $ appdesc ) MAY ( attrdesc $ SSOProxyLoginURL $ SSOProxyLogoutURL $ appuseri
21、d ) ) (5)目录标准对象类:inetorgperson objectclass ( 2.16.840.1.113730.3.2.2 NAME 'inetOrgPerson' DESC 'RFC2798: Internet Organizational Person' STRUCTURAL SUP organizationalPerson MAY ( audio $ businessCategory $ carLicense $ departmentNumber $ displayName $ employeeNumber $ employeeType $
22、givenName $ homePhone $ homePostalAddress $ initials $ jpegPhoto $ labeledURI $ mail $ manager $ mobile $ o $ pager $ photo $ roomNumber $ secretary $ uid $ userCertificate $ x500uniqueIdentifier $ preferredLanguage $ userSMIMECertificate $ userPKCS12 ) ) (6)目录标准对象类:organizationalPerson object
23、class ( 2.5.6.7 NAME 'organizationalPerson' STRUCTURAL SUP person MAY ( title $ x121Address $ registeredAddress $ destinationIndicator $ preferredDeliveryMethod $ telexNumber $ teletexTerminalIdentifier $ telephoneNumber $ internationaliSDNNumber $ facsimileTelephoneNumber $ street $ postOff
24、iceBox $ postalCode $ postalAddress $ physicalDeliveryOfficeName $ ou $ st $ l ) ) (7)目录标准对象类:person objectclass ( 2.5.6.6 NAME 'person' STRUCTURAL SUP top MUST ( sn $ cn ) MAY ( userPassword $ telephoneNumber $ seeAlso $ description ) ) (8)目录标准对象类:organizationalUnit objectclas
25、s ( 2.5.6.5 NAME 'organizationalUnit' STRUCTURAL SUP top MUST ou MAY ( userPassword $ searchGuide $ seeAlso $ businessCategory $ x121Address $ registeredAddress $ destinationIndicator $ preferredDeliveryMethod $ telexNumber $ teletexTerminalIdentifier $ telephoneNumber $ internationaliSDNN
26、umber $ facsimileTelephoneNumber $ street $ postOfficeBox $ postalCode $ postalAddress $ physicalDeliveryOfficeName $ st $ l $ description ) ) 6.4 目录服务系统布署方案 目录服务中存放信息可采取分区或复制两种方法。假如采取信息分区,每个目录服务器全部存放信息一个唯一且不重合子集。也就是说,每个目录条目全部由一个也仅由一台服务器存放。对目录分区技术是使用 LDAP 参考。LDAP 参考许可用户将轻量级目录访问协议(LDAP)请求指导到不一样(或
27、相同)服务器中存放相同或不一样名称空间。假如采取信息复制,多台服务器存放同一个目录条目,即一颗目录树存放在多台服务器中。 5.4.1信息分区布署方法 依据目录服务技术分析,可采取信息分区方法进行分布式管理布署。采取信息分区方法实现分布式布署,各区域、省用户信息在各区域、省当地生成,并配置复制信息统一公布到当地引用目录服务器目录服务中,因为各区域、省当地引用目录服务器中现有当地全部数据又有其它各区域、省引用地址列表,从而实现分布式数据逻辑统一及分布环境下用户信息共享。 布署实例以下图所表示: 信息分区实现分布式布署图例 在该方案中,各个区域、省企业目录服务器中现有当地全部数据又有其它各
28、省(市)引用地址列表。目录服务实际引用过程我们举例说明,在国家电网企业统一门户系统前提下,天津企业用户在当地登录门户时,则当地目录服务器就能返回出结果,当其它区域、省企业用户在天津登录门户时,依据当地目录服务器中所存放外省服务器引用地址,返回给应用所要查找外地服务器IP地址和端口号,应用系统依据这个地址,去访问外省服务器获取对应用户信息。 此种方法在当地目录服务器中除保留当地用户信息外,同时存放外省 目录服务器引用地址;经过引用机制实现国家电网企业系统分布式管理,全局性使用上需要。方案优点在于:当地应用访问经过当地目录服务器完成确保效率,跨省异地访问可经过当地目录服务器实现指向。各地用于维
29、护用户信息硬件要求可相对较低,同时各地维护各地信息可降低系统联调管理工作量。但因为全部异地应用访问均需经过目录服务之间指向,所以对于国家电网企业系统网络实时运行要求较高。 5.4.2信息复制布署方法 依据目录服务技术分析,可采取信息复制方法进行分布式管理布署方案。首先需对国家电网企业信息进行全局计划,以下所表示: 信息复制方案中描述数据目录服务器结构 采取信息复制技术实现分布式布署,各区域、省企业用户信息在各区域、省企业生成,并配置复制信息统一公布到中央数据目录服务中,在国家电网企业中央数据目录数据库中就存放整个国家电网企业项目系统整体信息。然后经过配置中央数据目录服务向下复制,将全部
30、用户信息复制到各区域、省企业目录服务器上。因为各区域、省企业全部有一套储存完整信息目录服务,所以跨区域、省企业用户信息验证统一在当地数据目录服务器完成,从而实现分布式数据逻辑统一及分布环境下用户信息共享。中央数据目录服务需两套目录服务器,且之间实现主从互为备份。各区域、省企业需增加一台目录服务器用来储存中央数据目录服务器上整体信息。 复制方法实现分布式布署图例 在该方案中,各个区域、省企业负责维护当地数据,并将维护数据经过复制技术统一公布到中央目录服务器中,中央目录服务器将全部信息分别再复制到各地另一台目录服务中。各区域、省企业查询验证均在当地数据目录服务器上进行。 采取复制方法
31、各区域、省企业全部有一套和中央数据目录服务完全相同目录 服务,因为全部储存着全部用户信息,所以可当地实现跨省用户信息验证和查询。该方案优点在于:因为各地全部有完整信息目录服务,应用验证效率高,且中央数据目录服务压力小。对于数据灾难容错,在中央目录服务器将有每个地方数据备份,只要加强中央目录服务器管理、备份和安全保护即可提升整个系统数据灾难容错性。但因为各区域、省企业目录服务器存放数据量较大,所以对于服务器硬件要求将会较高。 5.4.3国家电网企业统一目录服务布署提议方案 综合上述两种目录服务技术和实际情况,提议国家电网企业统一目录服务系统建设采取信息分区和复制相结合分布式管理布署方案:物
32、理上分布、逻辑上统一。目录信息管理由各区域、省自行维护,用户信息和各区域、省CA颁发数字证书,存放在各自目录服务系统中,在国家电网企业中央目录数据库中存放整个国家电网企业系统整体信息,经过分区技术实现分布式数据逻辑统一。经过主从复制技术信息安全保障,在每个目录服务系统均最少安装两套以上目录服务器,两套目录服务器之间实现主从互为备份。 在该方案中,仅在中央目录服务器中维护整个国家电网企业系统全部数据(考虑到负载均衡,可在全国按区域设置中央目录服务器从目录服务器);各区域、省企业负责维护和存放当地数据。目录服务实际引用过程我们举例说明,在国家电网企业统一门户系统前提下,山东企业用户在当地登
33、录门户时,则当地目录服务器就能返回出结果,当其它区域、省企业用户在山东登录门户时,当地目录服务器返回指向上一级目录服务器引用,并经过引用访问上一级目录服务器,上一级目录服务器负责对数据进行查询,假如该用户不在当地目录服务中,则返回中央目录服务器引用,并访问中央目录服务器,中央目录服务器负责对数据进行查询,然后把数据返回。 在本方案中各地用户信息由各地系统维护,在当地仅保留当地数据, 同时存放指向上一级目录服务器引用,中央目录服务器经过复制机制存放整个国家电网企业系统目录信息。经过引用机制各地应用在使用上以国家电网企业系统整树形式使用数据,从而满足了分布式管理,全局性使用上需要。该方案优点在
34、于:仅在中央目录服务器维护全局数据,使复制数据量降低;采取分级引用方法,很大程度上减小了网络压力。 7 附表: 单位名称代码表 序号 单位名称 单位名称代码 1 国家电力调度中心 GDD 2 国家电网企业本部 HQ 3 东北电力企业 NE 4 华北电力集团企业 NC 5 华东电力企业 EC 6 西北电力企业 NW 7 华中电力企业 CC 8 黑龙江省电力企业 LJ 9 吉林省电力企业 JL 10 辽宁省电力企业 LN 11 河北电力企业 EB 12 北京供电企业 BJ 13 天津市电力企业 TJ 14
35、 山西省电力企业 SX 15 上海市电力企业 SH 16 浙江省电力企业 ZJ 17 安徽省电力企业 AH 18 福建省电力企业 FJ 19 江苏省电力企业 JS 20 江西省电力企业 JX 21 山东省电力企业 SD 22 河南省电力企业 EN 23 湖北省电力企业 HB 24 湖南省电力企业 HN 25 重庆市电力企业 CQ 26 四川省电力企业 SC 27 陕西省电力企业 SN 28 甘肃省电力企业 GS 29 青海省电力企业 QH 30 宁夏电力企业 NX 31 新疆电力企业 XJ






