基于目录服务的
This presentation is the property of its rightful owner.
Sponsored Links
1 / 26

基于目录服务的 校园网用户管理系统 北京大学计算中心 张蓓 [email protected] PowerPoint PPT Presentation


  • 130 Views
  • Uploaded on
  • Presentation posted in: General

基于目录服务的 校园网用户管理系统 北京大学计算中心 张蓓 [email protected] 主要内容: 一、 概况 二、 设计原则 三、 系统逻辑结构 四、 主要设计思想与技术特色 五、 主要技术及产品 六、出现的问题及对策 七、后续工作. 一、 概况 1. 旧系统的问题 各项网络服务中均有用户管理、用户认证及用户记费的功能,但各个系统独立开发、独立使用,造成: 功能重复 用户多头交费 手工传单效率低、易出错 用户需记忆多个帐号和密码 需要设置多个系统管理员 各个计算机房帐号不通用

Download Presentation

基于目录服务的 校园网用户管理系统 北京大学计算中心 张蓓 [email protected]

An Image/Link below is provided (as is) to download presentation

Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author.While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server.


- - - - - - - - - - - - - - - - - - - - - - - - - - E N D - - - - - - - - - - - - - - - - - - - - - - - - - -

Presentation Transcript


Zhp pku

基于目录服务的

校园网用户管理系统

北京大学计算中心

张蓓 [email protected]


Zhp pku

主要内容:

  • 一、概况

  • 二、设计原则

  • 三、系统逻辑结构

  • 四、主要设计思想与技术特色

  • 五、主要技术及产品

  • 六、出现的问题及对策

  • 七、后续工作


Zhp pku

  • 一、概况

  • 1. 旧系统的问题

  • 各项网络服务中均有用户管理、用户认证及用户记费的功能,但各个系统独立开发、独立使用,造成:

    • 功能重复

    • 用户多头交费

    • 手工传单效率低、易出错

    • 用户需记忆多个帐号和密码

    • 需要设置多个系统管理员

    • 各个计算机房帐号不通用

  • 这种方式不能适应校园网中用户及网络应用迅速增长的需要。


Zhp pku

  • 一、系统概况

  • 2. 新系统的目标

    • 建立一个统一的、完善的、安全的、易于管理的、有良好的可移植性和扩展性的校园网用户管理系统。

  • 这是我们共同面临的问题,也是我们的迫切需要。

  • 3. 采用的主要技术

  • 目录服务(LDAP)

  • java

  • 4. 课题名称:基于目录服务的校园网用户管理系统

  • 5. 目前的状况

  • 2000年7月6日开始投入运行,功能逐步得到完善


Zhp pku

  • 6. 新系统已实现的目标

    • 实现了校园网用户的统一管理与统一计费

    • 提供一口对外的用户服务,建户、交费一处完成

    • 用户建户、交费后立刻生效,提高了服务质量

    • 用户使用任何网络服务均使用相同的帐号和密码认证,减轻了用户的记忆负担

    • 减少了用户管理出现差错的机会

    • 减少了网络用户管理维护成本

    • 降低了管理人员的劳动强度

    • 提高了网络系统的使用效率


Zhp pku

  • 7. 目前已纳入到本系统中的典型网络应用

    • E-mail服务

    • Proxy代理服务

    • 公用机房管理

    • 打印管理

  • 8. 即将纳入到本系统中的网络应用

    • 拨号服务

    • 公用机房非Proxy的国际访问服务

  • 9.可以纳入到本系统中的网络应用

    • MIS系统

    • 多媒体系统(VOD,多媒体教室,远程教育等)

    • 其他


Zhp pku

  • 二、设计原则

    • 1. 实现当前运行的通用网络应用系统向新系统的平 滑过渡

    • 2. 保证当前运行的通用网络应用系统在过渡期的安 全可靠运行

    • 3. 具有较好的扩展性,为校园网中其他网络应用系 统向基于LDAP的管理过渡打下基础


Zhp pku

三、系统逻辑结构

费用

数据库

LDAP

用户信息

开户、收费、封锁、解封、

变更、信息查询等

收款员

封锁、解封、改密码等

用户管理员

Web/LDAP 网关

配置信息等

目录服务系统

系统管理员

用户身份认证

用户管理

综合计费管理

系统参数管理

统计查询

配置信息

应收费用/实收费用

网 络 应 用 系 统

E-mail

用 户 认 证

帐号/口令

成功/失败

Proxy

封锁帐号

拨号

用户同步

远程教育

多媒体服务

帐号/口令

成功/失败

Domain1

Domain2

MIS

…….

NT 教学环境

NT用户

系统日志

网络用户

应收费用

数据采集

系统日志

资费政策

应收费用


Zhp pku

  • 四、主要设计思想与技术特色

  • 1. 基于Web技术,系统通过Web/Ldap网关实施管理要求

    • 管理员通过浏览器完成管理操作

    • 用户通过浏览器查询网络费用,查找他人,开设E-mail帐号

  • 2. 用户分为四类:普通用户、用户管理员、收款员和系统管理员

    • 不同用户具有不同操作权限,操作界面风格相同,内容不同

    • 普通用户:能查询所有用户的基本信息,但只能查询自己

      的费用信息,修改自己的基本信息及口令

    • 用户管理员:可以修改用户口令,封锁/解封 用户帐号等

    • 收款员:可以进行收费、审核、催费、制定和修改价格、

    • 新建/修改/封锁/解封用户帐号等

    • 系统管理员:不可以进行上述与收费有关的所有工作,但

      可以进行系统维护、数据备份、系统参数的设置

      和修改等


Zhp pku

  • 3. Web/ LDAP网关实现了树状结构的用户信息管理界面

    • 用户数据层次清晰, 便于前台操作人员理解、掌握

    • 在一个画面中集成了多项功能,减少了画面的切换,易 于操作

    • 主要功能:

      • 显示用户属性

      • 费用查询

      • 修改用户属性/删除用户

      • 修改口令

      • 拷贝/移动

      • 封锁/解锁

      • 过期用户管理

      • 刷新目录

      • 新建帐号

      • 用户查找


Zhp pku

  • 4. 系统提供多种计费政策

  • 用户可以分为普通用户、优惠用户和免费用户三种类型,支持依用户身份制定记费政策

  • 免费用户可以设置为全免或仅免几项费用,这种用户多为网

  • 络管理人员

  • 支持日夜两段折线计费,可以制定以时间为因素的价格政策

  • 支持节日记费政策,可以制定节日价格,可以在系统参数中设 定节日 的范围,如周六、周日、五一、十一等

  • 每项费用具有日单价、夜单价,优惠价,节日价等属性。日单价为缺省价格,其他价格属性仅当设置时才有效


Zhp pku

  • 5. 用户帐号分为活动和锁定两种状态。

  • 系统参数中规定了封锁帐号阀值

  • 费用数据采集程序在装入费用数据过程中,检测到用户本

  • 期余额低于封锁帐号阀值后,立刻封锁该用户帐号

  • 收费程序在检测到用户本期余额高于封锁帐号阀值后,立刻

  • 解封帐号

  • 被封锁的帐号将得不到任何需付费的网络服务

  • 管理人员可以手工进行帐号的封锁和解封


Zhp pku

  • 6. 具有违规用户管理

  • 进入违规用户清单的用户,不能获得任何网络服务

  • 不能交费

  • 不能解封

  • 不能修改口令

  • 这在惩罚违章使用网络行为时十分有效


Zhp pku

7.具有标准化的费用数据接口,数据采集规范化

为了使得系统具有较好的扩展性,能够方便地接纳各种网络服务的记费数据,我们设计了规范化的数据接口,各项网络服务只要按标准化的费用数据接口准备数据,均可用公用数据采集程序将数据装入费用数据库中。该程序在装入数据的过程中执行系统设置的所有计费政策

8. 系统具有催费功能

管理员可以对余额低于催费阀值的用户发催费邮件、批量封锁帐号

9. 通过NT系统与IP流量日志的结合,实现在公用机房上机用户的IP流量计费,使得在公用机房上机的用户获得Proxy代理不能提供的服务


Zhp pku

  • 10. 提供基于Web的电子邮件服务,免除自由上机用户在每

  • 次上机时设置POP帐号的麻烦

  • 11. 可灵活制定数据采集频度

  • 各项服务的费用采集程序都可以根据自身的数据特点,在综合网络负载、系统安全、控制费用丢失程度等因素的前提下,制定数据采集周期。

  • 北京大学目前典型网络应用的数据周期如下:

    • 拨号服务:日

    • E-mail服务:日

    • Proxy代理服务:小时

    • PC 机时及打印:小时

    • 公用机房IP流量: 分钟


Zhp pku

12. 服务器采用了Java Servlet 技术

保证系统具有较好的扩展性,可移植性和安全性

13. 提供Java、C的LDAP API接口

为其它应用程序在目录服务器上认证、获得用户权限提供了可能


Zhp pku

  • 五、主要技术及产品

  • 1. 选型原则:

    • 支持基于LDAP V3的用户认证

    • 目录服务产品必须具有C、Java等API接口

    • 电子邮件服务器产品除上述要求外,须有Web Mail功能

  • 2.涉及主要技术

    • (1) Directory and LDAP

    • (2) HTML

    • (3) Java

    • (4) Java Servlet

    • (5) JavaScript

    • (6) JDBC

    • (7) Security

    • (8) C, C++

    • (9) Sybase

    • (10) winsock


Zhp pku

  • 3.系统运行平台

    • (1) SUN Solaris 7

    • (2) MS Windows NT 4.0

  • 4.主要软件产品

    • (1) 目录服务器:Netscape Directory Server 4.12

    • (2) E-mail 服务器:Netscape Message Server 4.0

    • (3) 代理服务器:Netscape Proxy Server 3.5

    • (4) 数据库服务器:Sybase 11.9.3

  • 5.开发语言

    • (1) Java

    • (2) JavaScript

    • (3) HTML

    • (4) C

    • (5) VC++


Zhp pku

  • 七、出现的问题及对策

  • 1. 黑客及口令盗用对策

    • 管理帐号与IP地址绑定,管理用计算机使用单独的网段

    • 重要服务器限制IP地址的访问,尽量减少可访问的IP

  • 2. 黑客用户控制

    • 设置黑客表,进入黑客表中的用户立刻被封锁,

    • 不能为黑客表中的用户加钱,改口令,解封

    • 数据采集一旦发现了黑客用户的数据,立刻封锁该用户

  • 3. 防止透支

    • 制定封锁帐号阀值(5元),预付款低于阀值后被封锁

    • 设置较小的数据采集周期

    • 对正在上机的用户结算时“偷看”,低于阀值时封锁


  • Zhp pku

    • 4. 防止越权使用

      • 普通用户与管理员的功能界面及显示界面各不相同

      • 每项功能执行时首先进行权限检查,即使通过http直接

      • 调用,普通用户也不能执行管理功能

  • 5. 网络不稳定时的对策

    • 现象1:NT系统日志中无注销记录,被结算到日结终止时间

    • 对策1:用退机时功能,减除机时及发生费用

    • 现象2:NT用户透支时不能完成帐号锁定

    • 对策2:在催费程序中批量锁定透支用户帐号

  • 6. NT Server 死机时的对策

    • 现象:当时上机用户在系统日志中均无注销记录

    • 解决:请用户立刻离开机房,按日结方式做NT入帐。

    • 如果系统恢复的时间较长,要按DOWN机方式做NT

    • 入帐,同时给出扣除系统恢复时间的参数


  • Zhp pku

    • 7.NT机房突然断电时的对策

      • 现象:当时上机用户在系统日志中均无注销记录

      • UPS支持期间:立刻按日结方式做NT入帐

      • UPS支持期间之外:按DOWN机方式做NT入帐,同时给出

      • 扣除时间的参数

  • 8. 提高统计速度

    • 在服务器端通过定时启动数据库存储过程执行日统计

    • 统计日、月、年报均从统计日报表中生成

  • 9. 减少查询输出

    • 现象:指定查询条件较弱时,大量的查询结果造成缓冲区

    • 不足,不仅查询结果异常终止,也会造成数据库服

    • 务器死机

    • 解决:增加查询条件,限制查询输出的数量

    • 增加数据库tempdb的大小

    • 经常清除sybase系统的事务日志


  • Zhp pku

    • 10.增加系统的可靠性

      • 采用双机系统,进行目录服务器的同步设置

      • 定时备份目录数据和数据库数据

      • 各种网络服务的日志数据均有备份,均可再次装入

      • 数据采集程序日志信息详细,便于事后分析


    Zhp pku

    • 八、后续工作

      • 建立基于PKI的CA体系,增强用户身份认证的安全性

      • 目录服务器向MS Windows 2000、Novel NDS移植

      • 数据库系统向MS SQL Server移植,适合中小型校园网的使用

      • IP V6环境下整个系统的实现

      • 数据库双机热备份结构的建立

      • 二期功能的开发


    Zhp pku

    谢 谢!


  • Login