slide1 n.
Download
Skip this Video
Download Presentation
基于目录服务的 校园网用户管理系统 北京大学计算中心 张蓓 zhp@pku

Loading in 2 Seconds...

play fullscreen
1 / 26

基于目录服务的 校园网用户管理系统 北京大学计算中心 张蓓 zhp@pku - PowerPoint PPT Presentation


  • 188 Views
  • Uploaded on

基于目录服务的 校园网用户管理系统 北京大学计算中心 张蓓 zhp@pku.edu.cn. 主要内容: 一、 概况 二、 设计原则 三、 系统逻辑结构 四、 主要设计思想与技术特色 五、 主要技术及产品 六、出现的问题及对策 七、后续工作. 一、 概况 1. 旧系统的问题 各项网络服务中均有用户管理、用户认证及用户记费的功能,但各个系统独立开发、独立使用,造成: 功能重复 用户多头交费 手工传单效率低、易出错 用户需记忆多个帐号和密码 需要设置多个系统管理员 各个计算机房帐号不通用

loader
I am the owner, or an agent authorized to act on behalf of the owner, of the copyrighted work described.
capcha
Download Presentation

PowerPoint Slideshow about '基于目录服务的 校园网用户管理系统 北京大学计算中心 张蓓 zhp@pku' - chessa


Download Now An Image/Link below is provided (as is) to download presentation

Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author.While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server.


- - - - - - - - - - - - - - - - - - - - - - - - - - E N D - - - - - - - - - - - - - - - - - - - - - - - - - -
Presentation Transcript
slide1

基于目录服务的

校园网用户管理系统

北京大学计算中心

张蓓 zhp@pku.edu.cn

slide2

主要内容:

  • 一、概况
  • 二、设计原则
  • 三、系统逻辑结构
  • 四、主要设计思想与技术特色
  • 五、主要技术及产品
  • 六、出现的问题及对策
  • 七、后续工作
slide3

一、概况

  • 1. 旧系统的问题
  • 各项网络服务中均有用户管理、用户认证及用户记费的功能,但各个系统独立开发、独立使用,造成:
    • 功能重复
    • 用户多头交费
    • 手工传单效率低、易出错
    • 用户需记忆多个帐号和密码
    • 需要设置多个系统管理员
    • 各个计算机房帐号不通用
  • 这种方式不能适应校园网中用户及网络应用迅速增长的需要。
slide4

一、系统概况

  • 2. 新系统的目标
    • 建立一个统一的、完善的、安全的、易于管理的、有良好的可移植性和扩展性的校园网用户管理系统。
  • 这是我们共同面临的问题,也是我们的迫切需要。
  • 3. 采用的主要技术
  • 目录服务(LDAP)
  • java
  • 4. 课题名称:基于目录服务的校园网用户管理系统
  • 5. 目前的状况
  • 2000年7月6日开始投入运行,功能逐步得到完善
slide5

6. 新系统已实现的目标

    • 实现了校园网用户的统一管理与统一计费
    • 提供一口对外的用户服务,建户、交费一处完成
    • 用户建户、交费后立刻生效,提高了服务质量
    • 用户使用任何网络服务均使用相同的帐号和密码认 证,减轻了用户的记忆负担
    • 减少了用户管理出现差错的机会
    • 减少了网络用户管理维护成本
    • 降低了管理人员的劳动强度
    • 提高了网络系统的使用效率
slide6

7. 目前已纳入到本系统中的典型网络应用

    • E-mail服务
    • Proxy代理服务
    • 公用机房管理
    • 打印管理
  • 8. 即将纳入到本系统中的网络应用
    • 拨号服务
    • 公用机房非Proxy的国际访问服务
  • 9.可以纳入到本系统中的网络应用
    • MIS系统
    • 多媒体系统(VOD,多媒体教室,远程教育等)
    • 其他
slide7

二、设计原则

    • 1. 实现当前运行的通用网络应用系统向新系统的平 滑过渡
    • 2. 保证当前运行的通用网络应用系统在过渡期的安 全可靠运行
    • 3. 具有较好的扩展性,为校园网中其他网络应用系 统向基于LDAP的管理过渡打下基础
slide8

三、系统逻辑结构

费用

数据库

LDAP

用户信息

开户、收费、封锁、解封、

变更、信息查询等

收款员

封锁、解封、改密码等

用户管理员

Web/LDAP 网关

配置信息等

目录服务系统

系统管理员

用户身份认证

用户管理

综合计费管理

系统参数管理

统计查询

配置信息

应收费用/实收费用

网 络 应 用 系 统

E-mail

用 户 认 证

帐号/口令

成功/失败

Proxy

封锁帐号

拨号

用户同步

远程教育

多媒体服务

帐号/口令

成功/失败

Domain1

Domain2

MIS

…….

NT 教学环境

NT用户

系统日志

网络用户

应收费用

数据采集

系统日志

资费政策

应收费用

slide9

四、主要设计思想与技术特色

  • 1. 基于Web技术,系统通过Web/Ldap网关实施管理要求
    • 管理员通过浏览器完成管理操作
    • 用户通过浏览器查询网络费用,查找他人,开设E-mail帐号
  • 2. 用户分为四类:普通用户、用户管理员、收款员和系统管理员
    • 不同用户具有不同操作权限,操作界面风格相同,内容不同
    • 普通用户:能查询所有用户的基本信息,但只能查询自己

的费用信息,修改自己的基本信息及口令

    • 用户管理员:可以修改用户口令,封锁/解封 用户帐号等
    • 收款员:可以进行收费、审核、催费、制定和修改价格、
    • 新建/修改/封锁/解封用户帐号等
    • 系统管理员:不可以进行上述与收费有关的所有工作,但

可以进行系统维护、数据备份、系统参数的设置

和修改等

slide10

3. Web/ LDAP网关实现了树状结构的用户信息管理界面

    • 用户数据层次清晰, 便于前台操作人员理解、掌握
    • 在一个画面中集成了多项功能,减少了画面的切换,易 于操作
    • 主要功能:
        • 显示用户属性
        • 费用查询
        • 修改用户属性/删除用户
        • 修改口令
        • 拷贝/移动
        • 封锁/解锁
        • 过期用户管理
        • 刷新目录
        • 新建帐号
        • 用户查找
slide13

4. 系统提供多种计费政策

  • 用户可以分为普通用户、优惠用户和免费用户三种类型,支持依用户身份制定记费政策
  • 免费用户可以设置为全免或仅免几项费用,这种用户多为网
  • 络管理人员
  • 支持日夜两段折线计费,可以制定以时间为因素的价格政策
  • 支持节日记费政策,可以制定节日价格,可以在系统参数中设 定节日 的范围,如周六、周日、五一、十一等
  • 每项费用具有日单价、夜单价,优惠价,节日价等属性。日单价为缺省价格,其他价格属性仅当设置时才有效
slide14

5. 用户帐号分为活动和锁定两种状态。

  • 系统参数中规定了封锁帐号阀值
  • 费用数据采集程序在装入费用数据过程中,检测到用户本
  • 期余额低于封锁帐号阀值后,立刻封锁该用户帐号
  • 收费程序在检测到用户本期余额高于封锁帐号阀值后,立刻
  • 解封帐号
  • 被封锁的帐号将得不到任何需付费的网络服务
  • 管理人员可以手工进行帐号的封锁和解封
slide15

6. 具有违规用户管理

  • 进入违规用户清单的用户,不能获得任何网络服务
  • 不能交费
  • 不能解封
  • 不能修改口令
  • 这在惩罚违章使用网络行为时十分有效
slide16

7.具有标准化的费用数据接口,数据采集规范化7.具有标准化的费用数据接口,数据采集规范化

为了使得系统具有较好的扩展性,能够方便地接纳各种网络服务的记费数据,我们设计了规范化的数据接口,各项网络服务只要按标准化的费用数据接口准备数据,均可用公用数据采集程序将数据装入费用数据库中。该程序在装入数据的过程中执行系统设置的所有计费政策

8. 系统具有催费功能

管理员可以对余额低于催费阀值的用户发催费邮件、批量封锁帐号

9. 通过NT系统与IP流量日志的结合,实现在公用机房上机用户的IP流量计费,使得在公用机房上机的用户获得Proxy代理不能提供的服务

slide17

10. 提供基于Web的电子邮件服务,免除自由上机用户在每

  • 次上机时设置POP帐号的麻烦
  • 11. 可灵活制定数据采集频度
  • 各项服务的费用采集程序都可以根据自身的数据特点,在综合网络负载、系统安全、控制费用丢失程度等因素的前提下,制定数据采集周期。
  • 北京大学目前典型网络应用的数据周期如下:
      • 拨号服务: 日
      • E-mail服务: 日
      • Proxy代理服务: 小时
      • PC 机时及打印: 小时
      • 公用机房IP流量: 分钟
slide18

12. 服务器采用了Java Servlet 技术

保证系统具有较好的扩展性,可移植性和安全性

13. 提供Java、C的LDAP API接口

为其它应用程序在目录服务器上认证、获得用户权限提供了可能

slide19

五、主要技术及产品

  • 1. 选型原则:
    • 支持基于LDAP V3的用户认证
    • 目录服务产品必须具有C、Java等API接口
    • 电子邮件服务器产品除上述要求外,须有Web Mail功能
  • 2.涉及主要技术
    • (1) Directory and LDAP
    • (2) HTML
    • (3) Java
    • (4) Java Servlet
    • (5) JavaScript
    • (6) JDBC
    • (7) Security
    • (8) C, C++
    • (9) Sybase
    • (10) winsock
slide20

3.系统运行平台

    • (1) SUN Solaris 7
    • (2) MS Windows NT 4.0
  • 4.主要软件产品
    • (1) 目录服务器:Netscape Directory Server 4.12
    • (2) E-mail 服务器:Netscape Message Server 4.0
    • (3) 代理服务器:Netscape Proxy Server 3.5
    • (4) 数据库服务器:Sybase 11.9.3
  • 5.开发语言
    • (1) Java
    • (2) JavaScript
    • (3) HTML
    • (4) C
    • (5) VC++
slide21

七、出现的问题及对策

  • 1. 黑客及口令盗用对策
      • 管理帐号与IP地址绑定,管理用计算机使用单独的网段
      • 重要服务器限制IP地址的访问,尽量减少可访问的IP
  • 2. 黑客用户控制
      • 设置黑客表,进入黑客表中的用户立刻被封锁,
      • 不能为黑客表中的用户加钱,改口令,解封
      • 数据采集一旦发现了黑客用户的数据,立刻封锁该用户
  • 3. 防止透支
      • 制定封锁帐号阀值(5元),预付款低于阀值后被封锁
      • 设置较小的数据采集周期
      • 对正在上机的用户结算时“偷看”,低于阀值时封锁
slide22

4. 防止越权使用

      • 普通用户与管理员的功能界面及显示界面各不相同
      • 每项功能执行时首先进行权限检查,即使通过http直接
      • 调用,普通用户也不能执行管理功能
  • 5. 网络不稳定时的对策
      • 现象1:NT系统日志中无注销记录,被结算到日结终止时间
      • 对策1:用退机时功能,减除机时及发生费用
      • 现象2:NT用户透支时不能完成帐号锁定
      • 对策2:在催费程序中批量锁定透支用户帐号
  • 6. NT Server 死机时的对策
      • 现象:当时上机用户在系统日志中均无注销记录
      • 解决:请用户立刻离开机房,按日结方式做NT入帐。
      • 如果系统恢复的时间较长,要按DOWN机方式做NT
      • 入帐,同时给出扣除系统恢复时间的参数
slide23

7.NT机房突然断电时的对策

      • 现象:当时上机用户在系统日志中均无注销记录
      • UPS支持期间:立刻按日结方式做NT入帐
      • UPS支持期间之外:按DOWN机方式做NT入帐,同时给出
      • 扣除时间的参数
  • 8. 提高统计速度
      • 在服务器端通过定时启动数据库存储过程执行日统计
      • 统计日、月、年报均从统计日报表中生成
  • 9. 减少查询输出
      • 现象:指定查询条件较弱时,大量的查询结果造成缓冲区
      • 不足,不仅查询结果异常终止,也会造成数据库服
      • 务器死机
      • 解决:增加查询条件,限制查询输出的数量
      • 增加数据库tempdb的大小
      • 经常清除sybase系统的事务日志
slide24

10.增加系统的可靠性

      • 采用双机系统,进行目录服务器的同步设置
      • 定时备份目录数据和数据库数据
      • 各种网络服务的日志数据均有备份,均可再次装入
      • 数据采集程序日志信息详细,便于事后分析
slide25

八、后续工作

    • 建立基于PKI的CA体系,增强用户身份认证的安全性
    • 目录服务器向MS Windows 2000、Novel NDS移植
    • 数据库系统向MS SQL Server移植,适合中小型校园网的使用
    • IP V6环境下整个系统的实现
    • 数据库双机热备份结构的建立
    • 二期功能的开发