基于目录服务的 校园网用户管理系统 北京大学计算中心 张蓓 zhp@pku
DESCRIPTION
基于目录服务的 校园网用户管理系统 北京大学计算中心 张蓓 [email protected]. 主要内容: 一、 概况 二、 设计原则 三、 系统逻辑结构 四、 主要设计思想与技术特色 五、 主要技术及产品 六、出现的问题及对策 七、后续工作. 一、 概况 1. 旧系统的问题 各项网络服务中均有用户管理、用户认证及用户记费的功能,但各个系统独立开发、独立使用,造成: 功能重复 用户多头交费 手工传单效率低、易出错 用户需记忆多个帐号和密码 需要设置多个系统管理员 各个计算机房帐号不通用 - PowerPoint PPT PresentationTRANSCRIPT
主要内容:
一、概况二、设计原则三、系统逻辑结构四、主要设计思想与技术特色五、主要技术及产品六、出现的问题及对策七、后续工作
一、概况1. 旧系统的问题
各项网络服务中均有用户管理、用户认证及用户记费的功能,但各个系统独立开发、独立使用,造成:
•功能重复•用户多头交费•手工传单效率低、易出错•用户需记忆多个帐号和密码•需要设置多个系统管理员•各个计算机房帐号不通用
这种方式不能适应校园网中用户及网络应用迅速增长的需要。
一、系统概况2. 新系统的目标
建立一个统一的、完善的、安全的、易于管理的、有良好的可移植性和扩展性的校园网用户管理系统。
这是我们共同面临的问题,也是我们的迫切需要。
3. 采用的主要技术目录服务( LDAP )java
4. 课题名称:基于目录服务的校园网用户管理系统
5. 目前的状况2000 年 7 月 6 日开始投入运行,功能逐步得到完善
6. 新系统已实现的目标
• 实现了校园网用户的统一管理与统一计费• 提供一口对外的用户服务,建户、交费一处完成• 用户建户、交费后立刻生效,提高了服务质量• 用户使用任何网络服务均使用相同的帐号和密码认
证,减轻了用户的记忆负担• 减少了用户管理出现差错的机会• 减少了网络用户管理维护成本• 降低了管理人员的劳动强度• 提高了网络系统的使用效率
7. 目前已纳入到本系统中的典型网络应用• E-mail 服务• Proxy 代理服务• 公用机房管理• 打印管理
8. 即将纳入到本系统中的网络应用• 拨号服务• 公用机房非 Proxy 的国际访问服务
9. 可以纳入到本系统中的网络应用• MIS 系统• 多媒体系统( VOD ,多媒体教室,远程教育等)• 其他
二、设计原则
1. 实现当前运行的通用网络应用系统向新系统的平 滑过渡
2. 保证当前运行的通用网络应用系统在过渡期的安 全可靠运行
3. 具有较好的扩展性,为校园网中其他网络应用系 统向基于 LDAP 的管理过渡打下基础
目录服务系统用户身份认
证 用户管理
综合计费管
理 系统参数管
理 统计查询
网
络
应
用
系
统
Proxy
拨号
MIS
帐号 / 口令
成功 /失败
系统管理员 配置信息等
配置信息
收款员 开户、收费、封锁、解封、变更、信息查询等
Domain1 Domain2
NT 教学环境
用户同步
NT 用户
帐号 / 口令
成功 /失败
网络用户
系统日志 数据采集
系统日志
应收费用 / 实收费用
应收费用
应收费用
三、系统逻辑结构
封锁帐号
LDAP
用户信息
用户管理员
Web/LDAP 网关
封锁、解封、改密码等
资费政策
远程教育多媒体服务
…….
费用
数据库
用
户
认
证
四、主要设计思想与技术特色
1. 基于 Web 技术,系统通过 Web/Ldap 网关实施管理要求•管理员通过浏览器完成管理操作•用户通过浏览器查询网络费用,查 找他人,开设 E-mail 帐号
2. 用户分为四类:普通用户、用户管理员、收款员和系统管理员• 不同用户具有不同操作权限,操作界面风格相同,内容不同
• 普通用户:能查询 所有用户的基本信息,但只能查询 自己 的费用信息,修改自己的基本信息及口令• 用户管理员:可以修改用户口令,封锁 /解封 用户帐号等• 收款员:可以进行收费、审核、催费、制定和修改价格、 新建 /修改 /封锁 /解封用户帐号等• 系统管理员:不可以进行上述与收费有关的所有工作,但 可以进行系统维护、数据备份、系统参数的设置
和修改等
3. Web/ LDAP 网关实现了树状结构的用户信息管理界面
• 用户数据层次清晰, 便于前台操作人员理解、掌握
• 在一个画面中集成了多项功能,减少了画面的切换,易 于操作
• 主要功能:•显示用户属性•费用查询•修改用户属性 /删除用户•修改口令•拷贝 / 移动•封锁 /解锁•过期用户管理•刷新目录•新建帐号•用户查找
4. 系统提供多种计费政策
• 用户可以分为普通用户、优惠用户和免费用户三种类型,支持依用户身份 制定记费政策
• 免费用户可以设置为全免或仅免几项费用,这种用户多为网 络管理人员
•支持日夜两段折线计费,可以制定以时间为因素的价格政策
•支持节日记费政策,可以制定节日价格,可以在系统参数中设 定节日 的范围,如周六、周日、五一、十一等
• 每项费用具有日单价、夜单价,优惠价,节日价等属性。日单价为缺省价格,其他价格属性仅当设置时才有效
5. 用户帐号分为活动和锁定两种状态。
• 系统参数中 规定了封锁帐号阀值
• 费用数据采集程序在装入费用数据过程中,检测到用户本 期余额低于封锁帐号阀值后,立刻封锁该用户帐号
• 收费程序在检测到用户本期余额高于封锁帐号阀值后,立刻 解封帐号
• 被封锁的帐号将得不到任何需付费的网络服务
• 管理人员可以手工进行帐号的封锁和解封
6. 具有违规用户管理
• 进入违规用户清单的用户,不能获得任何网络服务•不能交费•不能解封•不能修改口令•这在惩罚违章使用网络行为时十分有效
7. 具有标准化的费用数据接口,数据采集规范化
为了使得系统具有较好的扩展性,能够方便地接纳各种网络服务的记费数据,我们设计了规范化的数据接口,各项网络服务只要按标准化的费用数据接口准备数据,均可用公用数据采集程序将数据装入费用数据库中。该程序在装入数据的过程中执行系统设置的所有计费政策
8. 系统具有催费功能
管理员可以对余额低于催费阀值的用户发催费邮件、批量封锁帐号
9. 通过 NT系统与 IP流量日志的结合,实现在公用机房 上机用户的 IP流量计费,使得在公用机房上机的用户获得 Proxy代理不能提供的服务
10. 提供基于 Web 的电子邮件服务,免除自由上机用户在每
次上机时设置 POP 帐号的麻烦
11. 可灵活制定数据采集频度
各项服务的费用采集程序都可以根据自身的数 据特点,在综合网络负 载、系统安全、控制费用丢失程度等因素的前提下,制定数据采集周期。
北京大学目前典型网络应用的数据周期如下:拨号服务: 日E-mail 服务: 日Proxy 代理服务: 小时PC 机时及打印:小时公用机房 IP流量: 分钟
12. 服务器采用了 Java Servlet 技术
保证系统具有较好的扩展性,可移植性和安全性
13. 提供 Java 、 C 的 LDAP API接口
为其它应用程序在目录服务器上认证、获得用户权限提供了可能
五、主要技术及产品1. 选型原则:
•支持基于 LDAP V3 的用户认证•目录服务产品必须具有 C、 Java 等 API 接口•电子邮件服务器产品除上述要求外,须有Web Mail功能
2.涉及主要技术(1) Directory and LDAP (2) HTML (3) Java (4) Java Servlet (5) JavaScript (6) JDBC (7) Security (8) C, C++ (9) Sybase (10) winsock
3. 系统运行平台(1) SUN Solaris 7(2) MS Windows NT 4.0
4. 主要软件产品(1) 目录服务器: Netscape Directory Server 4.12(2) E-mail 服务器: Netscape Message Server 4.0(3) 代理服务器: Netscape Proxy Server 3.5(4) 数据库服务器: Sybase 11.9.3
5. 开发语言(1) Java(2) JavaScript(3) HTML(4) C(5) VC++
七、出现的问题及对策 1. 黑客及口令盗用对策
•管理帐号与 IP地址绑定,管理用计算机使用单独的网段• 重要服务器限制 IP地址的访问,尽量减少可访问的 IP
2. 黑客用户控制• 设置黑客表,进入黑客表中的用户立刻被封锁,• 不能为黑客表中的用户加钱,改口令,解封• 数据采集一旦发现了黑客用户的数据,立刻封锁该用户
3. 防止透支• 制定封锁帐号阀值( 5元),预付款低于阀值后被封锁• 设置较小的数据采集周期• 对正在上机的用户结算时“偷看”,低于阀值时封锁
4. 防止越权使用• 普通用户与管理员的功能界面及显示界面各不相同• 每项功能执行时首先进行权限检查,即使通过 http 直接 调用,普通用户也不能执行管理功能
5. 网络不稳定时的对策• 现象 1 : NT系统日志中无注销记录,被结算到日结终止时间• 对策 1 :用退机时功能,减除机时及发生费用• 现象 2 : NT用户透支时不能完成帐号锁定• 对策 2 :在催费程序中批量锁定透支用户帐号
6. NT Server 死机时的对策• 现象:当时上机用户在系统日志中均无注销记录• 解决:请用户立刻离开机房,按日结方式做NT入帐。 如果系统恢复的时间较长,要按 DOWN机方式做NT 入帐,同时给出扣除系统恢复时间的参数
7.NT机房突然断电时的对策• 现象:当时上机用户在系统日志中均无注销记录• UPS支持期间:立刻按日结方式做NT入帐• UPS支持期间之外:按 DOWN机方式做NT入帐,同时给出 扣除时间的参数
8. 提高统计速度• 在服务器端通过定时启动数据库存储过程执行日统计• 统计日、月、年报均从统计日报表中生成
9. 减少查询 输出• 现象:指定查询 条件较弱时,大量的查询结 果造成缓冲区 不足,不仅查询结 果异常终止,也会造成数据库服 务器死机• 解决:增加查询 条件,限制查询 输出的数量 增加数据库 tempdb的大小 经常清除 sybase系统的事务日志
10. 增加系统的可靠性• 采用双机系统,进行目录服务器的同步设置• 定时备份目录数 据和数据库数据• 各种网络服务的日志数据均有备份,均可 再次装入• 数据采集程序日志信息详细,便于事后分析
八、后续工作
• 建立基于 PKI 的 CA 体系,增强用户身份认证的安全性
• 目录服务器向MS Windows 2000、 Novel NDS移植
• 数据库系统向MS SQL Server移植,适合中 小型校园网的使用
• IP V6环境下整个系统的实现
• 数据库双机热备份结构的建立
• 二期功能的开发
谢 谢!