1 / 26

基于目录服务的 校园网用户管理系统 北京大学计算中心 张蓓 zhp@pku

基于目录服务的 校园网用户管理系统 北京大学计算中心 张蓓 zhp@pku.edu.cn. 主要内容: 一、 概况 二、 设计原则 三、 系统逻辑结构 四、 主要设计思想与技术特色 五、 主要技术及产品 六、出现的问题及对策 七、后续工作. 一、 概况 1. 旧系统的问题 各项网络服务中均有用户管理、用户认证及用户记费的功能,但各个系统独立开发、独立使用,造成: 功能重复 用户多头交费 手工传单效率低、易出错 用户需记忆多个帐号和密码 需要设置多个系统管理员 各个计算机房帐号不通用

chessa
Télécharger la présentation

基于目录服务的 校园网用户管理系统 北京大学计算中心 张蓓 zhp@pku

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. 基于目录服务的 校园网用户管理系统 北京大学计算中心 张蓓 zhp@pku.edu.cn

  2. 主要内容: • 一、概况 • 二、设计原则 • 三、系统逻辑结构 • 四、主要设计思想与技术特色 • 五、主要技术及产品 • 六、出现的问题及对策 • 七、后续工作

  3. 一、概况 • 1. 旧系统的问题 • 各项网络服务中均有用户管理、用户认证及用户记费的功能,但各个系统独立开发、独立使用,造成: • 功能重复 • 用户多头交费 • 手工传单效率低、易出错 • 用户需记忆多个帐号和密码 • 需要设置多个系统管理员 • 各个计算机房帐号不通用 • 这种方式不能适应校园网中用户及网络应用迅速增长的需要。

  4. 一、系统概况 • 2. 新系统的目标 • 建立一个统一的、完善的、安全的、易于管理的、有良好的可移植性和扩展性的校园网用户管理系统。 • 这是我们共同面临的问题,也是我们的迫切需要。 • 3. 采用的主要技术 • 目录服务(LDAP) • java • 4. 课题名称:基于目录服务的校园网用户管理系统 • 5. 目前的状况 • 2000年7月6日开始投入运行,功能逐步得到完善

  5. 6. 新系统已实现的目标 • 实现了校园网用户的统一管理与统一计费 • 提供一口对外的用户服务,建户、交费一处完成 • 用户建户、交费后立刻生效,提高了服务质量 • 用户使用任何网络服务均使用相同的帐号和密码认 证,减轻了用户的记忆负担 • 减少了用户管理出现差错的机会 • 减少了网络用户管理维护成本 • 降低了管理人员的劳动强度 • 提高了网络系统的使用效率

  6. 7. 目前已纳入到本系统中的典型网络应用 • E-mail服务 • Proxy代理服务 • 公用机房管理 • 打印管理 • 8. 即将纳入到本系统中的网络应用 • 拨号服务 • 公用机房非Proxy的国际访问服务 • 9.可以纳入到本系统中的网络应用 • MIS系统 • 多媒体系统(VOD,多媒体教室,远程教育等) • 其他

  7. 二、设计原则 • 1. 实现当前运行的通用网络应用系统向新系统的平 滑过渡 • 2. 保证当前运行的通用网络应用系统在过渡期的安 全可靠运行 • 3. 具有较好的扩展性,为校园网中其他网络应用系 统向基于LDAP的管理过渡打下基础

  8. 三、系统逻辑结构 费用 数据库 LDAP 用户信息 开户、收费、封锁、解封、 变更、信息查询等 收款员 封锁、解封、改密码等 用户管理员 Web/LDAP 网关 配置信息等 目录服务系统 系统管理员 用户身份认证 用户管理 综合计费管理 系统参数管理 统计查询 配置信息 应收费用/实收费用 网 络 应 用 系 统 E-mail 用 户 认 证 帐号/口令 成功/失败 Proxy 封锁帐号 拨号 用户同步 远程教育 多媒体服务 帐号/口令 成功/失败 Domain1 Domain2 MIS ……. NT 教学环境 NT用户 系统日志 网络用户 应收费用 数据采集 系统日志 资费政策 应收费用

  9. 四、主要设计思想与技术特色 • 1. 基于Web技术,系统通过Web/Ldap网关实施管理要求 • 管理员通过浏览器完成管理操作 • 用户通过浏览器查询网络费用,查找他人,开设E-mail帐号 • 2. 用户分为四类:普通用户、用户管理员、收款员和系统管理员 • 不同用户具有不同操作权限,操作界面风格相同,内容不同 • 普通用户:能查询所有用户的基本信息,但只能查询自己 的费用信息,修改自己的基本信息及口令 • 用户管理员:可以修改用户口令,封锁/解封 用户帐号等 • 收款员:可以进行收费、审核、催费、制定和修改价格、 • 新建/修改/封锁/解封用户帐号等 • 系统管理员:不可以进行上述与收费有关的所有工作,但 可以进行系统维护、数据备份、系统参数的设置 和修改等

  10. 3. Web/ LDAP网关实现了树状结构的用户信息管理界面 • 用户数据层次清晰, 便于前台操作人员理解、掌握 • 在一个画面中集成了多项功能,减少了画面的切换,易 于操作 • 主要功能: • 显示用户属性 • 费用查询 • 修改用户属性/删除用户 • 修改口令 • 拷贝/移动 • 封锁/解锁 • 过期用户管理 • 刷新目录 • 新建帐号 • 用户查找

  11. 4. 系统提供多种计费政策 • 用户可以分为普通用户、优惠用户和免费用户三种类型,支持依用户身份制定记费政策 • 免费用户可以设置为全免或仅免几项费用,这种用户多为网 • 络管理人员 • 支持日夜两段折线计费,可以制定以时间为因素的价格政策 • 支持节日记费政策,可以制定节日价格,可以在系统参数中设 定节日 的范围,如周六、周日、五一、十一等 • 每项费用具有日单价、夜单价,优惠价,节日价等属性。日单价为缺省价格,其他价格属性仅当设置时才有效

  12. 5. 用户帐号分为活动和锁定两种状态。 • 系统参数中规定了封锁帐号阀值 • 费用数据采集程序在装入费用数据过程中,检测到用户本 • 期余额低于封锁帐号阀值后,立刻封锁该用户帐号 • 收费程序在检测到用户本期余额高于封锁帐号阀值后,立刻 • 解封帐号 • 被封锁的帐号将得不到任何需付费的网络服务 • 管理人员可以手工进行帐号的封锁和解封

  13. 6. 具有违规用户管理 • 进入违规用户清单的用户,不能获得任何网络服务 • 不能交费 • 不能解封 • 不能修改口令 • 这在惩罚违章使用网络行为时十分有效

  14. 7.具有标准化的费用数据接口,数据采集规范化7.具有标准化的费用数据接口,数据采集规范化 为了使得系统具有较好的扩展性,能够方便地接纳各种网络服务的记费数据,我们设计了规范化的数据接口,各项网络服务只要按标准化的费用数据接口准备数据,均可用公用数据采集程序将数据装入费用数据库中。该程序在装入数据的过程中执行系统设置的所有计费政策 8. 系统具有催费功能 管理员可以对余额低于催费阀值的用户发催费邮件、批量封锁帐号 9. 通过NT系统与IP流量日志的结合,实现在公用机房上机用户的IP流量计费,使得在公用机房上机的用户获得Proxy代理不能提供的服务

  15. 10. 提供基于Web的电子邮件服务,免除自由上机用户在每 • 次上机时设置POP帐号的麻烦 • 11. 可灵活制定数据采集频度 • 各项服务的费用采集程序都可以根据自身的数据特点,在综合网络负载、系统安全、控制费用丢失程度等因素的前提下,制定数据采集周期。 • 北京大学目前典型网络应用的数据周期如下: • 拨号服务: 日 • E-mail服务: 日 • Proxy代理服务: 小时 • PC 机时及打印: 小时 • 公用机房IP流量: 分钟

  16. 12. 服务器采用了Java Servlet 技术 保证系统具有较好的扩展性,可移植性和安全性 13. 提供Java、C的LDAP API接口 为其它应用程序在目录服务器上认证、获得用户权限提供了可能

  17. 五、主要技术及产品 • 1. 选型原则: • 支持基于LDAP V3的用户认证 • 目录服务产品必须具有C、Java等API接口 • 电子邮件服务器产品除上述要求外,须有Web Mail功能 • 2.涉及主要技术 • (1) Directory and LDAP • (2) HTML • (3) Java • (4) Java Servlet • (5) JavaScript • (6) JDBC • (7) Security • (8) C, C++ • (9) Sybase • (10) winsock

  18. 3.系统运行平台 • (1) SUN Solaris 7 • (2) MS Windows NT 4.0 • 4.主要软件产品 • (1) 目录服务器:Netscape Directory Server 4.12 • (2) E-mail 服务器:Netscape Message Server 4.0 • (3) 代理服务器:Netscape Proxy Server 3.5 • (4) 数据库服务器:Sybase 11.9.3 • 5.开发语言 • (1) Java • (2) JavaScript • (3) HTML • (4) C • (5) VC++

  19. 七、出现的问题及对策 • 1. 黑客及口令盗用对策 • 管理帐号与IP地址绑定,管理用计算机使用单独的网段 • 重要服务器限制IP地址的访问,尽量减少可访问的IP • 2. 黑客用户控制 • 设置黑客表,进入黑客表中的用户立刻被封锁, • 不能为黑客表中的用户加钱,改口令,解封 • 数据采集一旦发现了黑客用户的数据,立刻封锁该用户 • 3. 防止透支 • 制定封锁帐号阀值(5元),预付款低于阀值后被封锁 • 设置较小的数据采集周期 • 对正在上机的用户结算时“偷看”,低于阀值时封锁

  20. 4. 防止越权使用 • 普通用户与管理员的功能界面及显示界面各不相同 • 每项功能执行时首先进行权限检查,即使通过http直接 • 调用,普通用户也不能执行管理功能 • 5. 网络不稳定时的对策 • 现象1:NT系统日志中无注销记录,被结算到日结终止时间 • 对策1:用退机时功能,减除机时及发生费用 • 现象2:NT用户透支时不能完成帐号锁定 • 对策2:在催费程序中批量锁定透支用户帐号 • 6. NT Server 死机时的对策 • 现象:当时上机用户在系统日志中均无注销记录 • 解决:请用户立刻离开机房,按日结方式做NT入帐。 • 如果系统恢复的时间较长,要按DOWN机方式做NT • 入帐,同时给出扣除系统恢复时间的参数

  21. 7.NT机房突然断电时的对策 • 现象:当时上机用户在系统日志中均无注销记录 • UPS支持期间:立刻按日结方式做NT入帐 • UPS支持期间之外:按DOWN机方式做NT入帐,同时给出 • 扣除时间的参数 • 8. 提高统计速度 • 在服务器端通过定时启动数据库存储过程执行日统计 • 统计日、月、年报均从统计日报表中生成 • 9. 减少查询输出 • 现象:指定查询条件较弱时,大量的查询结果造成缓冲区 • 不足,不仅查询结果异常终止,也会造成数据库服 • 务器死机 • 解决:增加查询条件,限制查询输出的数量 • 增加数据库tempdb的大小 • 经常清除sybase系统的事务日志

  22. 10.增加系统的可靠性 • 采用双机系统,进行目录服务器的同步设置 • 定时备份目录数据和数据库数据 • 各种网络服务的日志数据均有备份,均可再次装入 • 数据采集程序日志信息详细,便于事后分析

  23. 八、后续工作 • 建立基于PKI的CA体系,增强用户身份认证的安全性 • 目录服务器向MS Windows 2000、Novel NDS移植 • 数据库系统向MS SQL Server移植,适合中小型校园网的使用 • IP V6环境下整个系统的实现 • 数据库双机热备份结构的建立 • 二期功能的开发

  24. 谢 谢!

More Related