一、目錄與LDAP

    結構化的數據在計算機中通過數據庫來存儲。從廣義上，可把對數據庫的訪問請求分為兩類，一類是數據分析，如“3-6歲間的小孩的身高平均數是多少”，關系型數據庫憑借功能強大的SQL、索引、存儲過程、事務等技術可以進行復雜的分析和報告，滿足分析請求需要；還有一類是定位請求，如“職員ABC的郵件地址是什么”，目錄（分層的數據庫）適合處理這類請求，目錄適合于讀遠多于寫、數據為靜態的情況，目錄提供通過簡單的訪問協議（如LDAP）對大量的分布的數據進行檢索的功能。

    目錄和FTP、DNS(一種特定的目錄服務)等一樣，也是客戶端/服務器結構的網絡服務。LDAP定義了目錄客戶端和目錄服務器之間的訪問接口協議，由一系列消息定義組成，LDAP目錄是可以通過LDAP方式訪問的信息，LDAP并沒有定義目錄服務本身，與信息存儲的方式無關。LDAP最初是為提供簡化客戶端訪問X.500目錄的方式（基于OSI的DAP）設計，運行在TCP/IP之上的LDAP降低了對客戶端的資源需求。X.500目錄服務并不能直接理解LDAP消息，需要通過一個轉換網關實現LDAP消息到DAP消息的轉換，這個轉換網關被稱為LDAP服務器。最初的LDAP服務器同時支持LDAP和DAP，新的LDAP服務器則通常只支持LDAP的目錄訪問方式，演變為現在的LDAP目錄服務。

    LDAP協議當前的版本是V3，與V2 相比，LDAP V3在一些方面進行了擴充。V3提供了Referral指向功能，增加了對SASL（Simple Authentication Secure Layer）安全認證的支持，增加了對國際化的字符編碼（UTF-8）的支持，以及可以動態的定義對象和操作并以標準的方式發布目錄模式。

    LDAP標準定義了四種模型來幫助用戶建立和使用目錄，它們是信息模型、命名模型、功能模型、安全模型。

    信息模型定義了數據類型以及保存在目錄中的信息的基本單元，目錄信息的基本單元是條目（Entry），它是一個對象的屬性的集合。LDAP目錄服務通過樹型結構組織這些條目，每個條目具有唯一的標示名DN(Distinguished Name)，LDAP條目的組織通常依據直觀的物理位置和組織關系進行。對象的屬性由類型和值組成，每個屬性可以由多個值。目錄模式（Directory Schemas）對必須或可以存放在條目中的屬性類型進行了限制。

    命名模型為目錄中給每個條目提供一個唯一的標示名DN，以便準確地索引條目，由兩部分組成，相對DN（RDN）和體條目在目錄樹中的位置組成，如同文件系統中的相對路徑和絕對路徑的關系；不同條目RDN可以相同，DN不能相同。

    功能模型定義了LDAP可對目錄進行的三類操作：查詢操作、更新操作和身份驗證和控制操作。查詢操作分為搜索操作和比較操作，更新操作包括了添加、刪除、修改、重命名、條目移位等。LDAPV3提供多種身份驗證方式和對訪問控制的支持，通過綁定(Bonding)實現，支持Kerberos，并提供安全驗證（SASL）的功能。

    安全模型的目的是提供一個不進行身份驗證不能訪問目錄信息的框架；安全模型是基于LDAP是面向協議的，在連接的有效期內LDAP客戶可對目錄服務器進行身份驗證。

    雖然LDAP得到了多數IT廠商的支持，并得到了大量應用。LDAP也并不是靈丹妙藥，LDAP協議缺乏一些關鍵的標準如復制、訪問控制、還有目錄模式(Schema)，因為廠商目錄復制方式為私有，一個廠商的目錄產品的不能自然地和其他廠商的產品信息同步。IETF的LDUP工作組正在將這些重要的特性標準化，但目前在目錄的集成中需要采取辦法克服上述缺陷。

    二、目錄集成

    通常每個大型企業都有很多目錄，幾十個甚至數百個，管理這么多的目錄很困難，為了保持數據準確，需要管理員花費大量時間重復更新目錄條目，或者目錄的數據一致性越來越差。通過目錄集成解決這些管理難題是目前的思路。目錄集成提供了一種新的管理方式，可以讓管理員從一個目錄管理多個目錄，并且可以使用自動流程實現各個目錄之間的數據同步。

    短期來看，目錄集成降低了人為參與的工作量。長遠來看，通過集成的目錄可以結合企業的應用系統創造出有價值的增值應用，如SSO，統一用戶管理，工作流等，新建的應用系統也可以不建立專用的目錄，而利用集成的目錄數據。

    目錄集成往往是企業信息化項目中應用變革的基礎，如實現統一用戶管理，整合電子商務等。目錄信息規劃是集成的基礎，包括現有目錄結構整理，目標結構的建模，數據編碼，信息連接規劃。目錄集成的方式多種多樣，其根本是在孤立的目錄（有時包括SQL數據庫或文件）之間建立數據連接，這種連接結構可能是1對1，1個對多個，多個對多個，或者上述結構的結合；每個連接數據流向可能是單向的也可能是雙向的。目錄集成有時需要引入新的目錄存放公共信息，有時是在現有的目錄之間集成。為了使不同目錄之間能夠對話，有些目錄集成場景中需要進行目錄模式(Schema)的地調整，或者需要建立映射和轉換規則。目錄集成是一個長期的過程，需要階段性的調整和長期的維護結合。

    三、目錄集成技術與元目錄(Meta-directory)

    目錄集成存在不同層次上多種工具。最基本的，RFC2849描述了一種名為ldif(LDAP Data Interchange Format)的文本文件格式，可以用來在基于LDAP的目錄服務器間進行目錄信息的導入導出，或者描述應用到目錄的變化，這種方式很簡單，但往往人工操作，實時性不能保障，同時不能做信息轉換。有的目錄服務軟件自帶一些插件可以實現與特定目錄之間信息的交互，如Domino目錄可以通過一個名為ADSync的工具實現與AD目錄信息的單項或雙向同步，這種方式局限于特定的目錄系統。更為復雜的一種集成方式，可以通過專門的目錄集成軟件實現目錄間的連接定制，并在必要時建立一個中心目錄，這種方式能比較全面覆蓋各種目錄集成需求，元目錄(Meta-directory)是比較典型的一種實現。Gartner將元目錄的解決方案分為三類：復制、虛目錄和信息中介，每一類都有它的優點和缺點。

    最常見基于復制技術元目錄解決方案，從每一個獨立目錄服務器中復制屬性到一個中心目錄。這種實現方案的優點明顯，能提供很好的性能，如很快完成復雜的檢索，并可以利用已有的目錄技術，也比較成熟；缺點是在整個目錄體系中數據存在很多拷貝，也總是存在信息同步的時延。

    虛目錄方式的解決方案是建立可以訪問不同目錄的客戶端,不需要建立中心目錄。但是這種方式需要客戶端較高的智能，把企業中的目錄中的條目組織成一個獨立的視圖是很困難的，微軟的ADSI（Active Directory Service Interface）是實現虛目錄技術框架的一個實現。短期之內這種虛目錄方式很難普及，因為企業多數沒有很好地目錄信息規劃，不能通過一個獨立的id定位所有的條目。

    信息中介解決方案是建立一個本身不在本地存儲數據的目錄服務器，從不同的目錄服務器中獲取數據并通過標準的目錄協議反饋給請求方；這種方式的優點是沒有信息同步的時延，并且不需要保留數據拷貝，節約存儲空間，缺點也很明顯，因為數據分散在不同的目錄服務器中，檢索性能很低，服務可用性依賴于也依賴于分散的目錄服務器。

    當前，比較理想的是結合復制與信息中介兩者優點的元目錄實現方式，最可行的仍然是基于復制的元目錄實現。在建立元目錄時，應考慮的幾個關鍵問題包括信息的傳播延時，還有目錄的擴展性，因為元目錄會成為IT體系中核心的基礎設施。

    四、目錄集成項目實施

    目錄集成是往往IT項目的一部分，由于其重要性和涉及的資源多，其本身也是復雜的系統工程，需要前期的大量的信息搜集等前期準備工作，在此基礎上確立實施方案，完成測試后再進行正式的集成。

    1、前期準備工作

     (1)確定目錄結構

    根據應用需求，確定需要集成的目錄服務，設計出整體的目錄結構，可能是現有的目錄中重組，或者建立新的元目錄。目錄結構可以為multi-master或者multi-slave結構。

    (2)數據模式建立

    一旦整體目錄結構確定，目錄樹的結構，相關的屬性和規則需要建立，有些時候可以采取由目錄廠商提供的默認信息模式，有時候需要重新組織定義。

    (3)通過目錄內容對模式進行認證

    檢查每一個目錄里面的數據內容，保障符合已建立的數據模式，檢查數據的完整性，對不同系統之間數據的差異進行確認，確定主數據源。

    (4)模式映射

    需要集成的目錄信息的模式建立之后，需要建立一個映射來確定不同目錄間的信息是如何集成在一起的。這需要檢查那些字段是強制的，需要映射的內容的轉換規則。這些規則需要被應用到所有目錄的內容上，包括截取，分拆，合并，替換等。

    (5)意外處理

    目錄集成過程中會涉及很多數據內容問題，如id的不統一，這些意外情況不能由軟件全部解決，需要人工參與，這些意外需要被確認和記錄。

    2、 測試集成

    完成前期準備后，需要制定部署方案。并將目錄模式以及數據轉換規則進行測試，測試過程中很可能出現新的數據依賴，需要加入方案。

    3、 正式集成

    完成前期準備工作并完成測試后，可以將方案實施到正式環境，跟蹤和評估是必要的。

    4、文檔

    將目錄集成過程文檔化非常重要，文檔應對描述集成過程，數據流，意外處理進行詳細記錄。

    五、目錄集成應用推廣

    目錄集成在很多企業得到了實施，成功的目錄集成為企業信息化的打下良好的基礎，企業可以通過下面一些措施實施推進目錄應用：

    1、 建立一個符合IT長期戰略的LDAP兼容的集成目錄，目前通常是meta-directory。
    2、 盡可能多的利用建立的目錄來進行集中的目錄管理及開展其它應用，如結合PKI搭建企業的信息安全基礎。
    3、 強化目錄信息的效用，如取消紙質電話本。
    4、 信息化過程中，如果不得不增加新的目錄，只增加LDAP兼容的目錄。
    5、 減少新增的目錄的數目，要求應用廠商或內部開發隊伍開發遵循LDAP協議的應用系統。
    6、制定一個符合業務要求的目錄安全策略。

核心關注：拓步ERP系統平臺是覆蓋了眾多的業務領域、行業應用，蘊涵了豐富的ERP管理思想，集成了ERP軟件業務管理理念，功能涉及供應鏈、成本、制造、CRM、HR等眾多業務領域的管理，全面涵蓋了企業關注ERP管理系統的核心領域，是眾多中小企業信息化建設首選的ERP管理軟件信賴品牌。

轉載請注明出處：拓步ERP資訊網http://m.guhuozai8.cn/

本文標題：企業信息化中的目錄集成的技術與實施

本文網址：http://m.guhuozai8.cn/html/consultation/1082053320.html