基于目录服务的 校园网用户管理系统 北京大学计算中心 张蓓 zhp@pku
DESCRIPTION
基于目录服务的 校园网用户管理系统 北京大学计算中心 张蓓 [email protected]. 主要内容: 一、 概况 二、 设计原则 三、 系统逻辑结构 四、 主要设计思想与技术特色 五、 主要技术及产品 六、出现的问题及对策 七、后续工作. 一、 概况 1. 旧系统的问题 各项网络服务中均有用户管理、用户认证及用户记费的功能,但各个系统独立开发、独立使用,造成: 功能重复 用户多头交费 手工传单效率低、易出错 用户需记忆多个帐号和密码 需要设置多个系统管理员 各个计算机房帐号不通用 - PowerPoint PPT PresentationTRANSCRIPT
![Page 2: 基于目录服务的 校园网用户管理系统 北京大学计算中心 张蓓 zhp@pku](https://reader036.vdocuments.pub/reader036/viewer/2022081417/5681449e550346895db153d2/html5/thumbnails/2.jpg)
主要内容:
一、概况二、设计原则三、系统逻辑结构四、主要设计思想与技术特色五、主要技术及产品六、出现的问题及对策七、后续工作
![Page 3: 基于目录服务的 校园网用户管理系统 北京大学计算中心 张蓓 zhp@pku](https://reader036.vdocuments.pub/reader036/viewer/2022081417/5681449e550346895db153d2/html5/thumbnails/3.jpg)
一、概况1. 旧系统的问题
各项网络服务中均有用户管理、用户认证及用户记费的功能,但各个系统独立开发、独立使用,造成:
•功能重复•用户多头交费•手工传单效率低、易出错•用户需记忆多个帐号和密码•需要设置多个系统管理员•各个计算机房帐号不通用
这种方式不能适应校园网中用户及网络应用迅速增长的需要。
![Page 4: 基于目录服务的 校园网用户管理系统 北京大学计算中心 张蓓 zhp@pku](https://reader036.vdocuments.pub/reader036/viewer/2022081417/5681449e550346895db153d2/html5/thumbnails/4.jpg)
一、系统概况2. 新系统的目标
建立一个统一的、完善的、安全的、易于管理的、有良好的可移植性和扩展性的校园网用户管理系统。
这是我们共同面临的问题,也是我们的迫切需要。
3. 采用的主要技术目录服务( LDAP )java
4. 课题名称:基于目录服务的校园网用户管理系统
5. 目前的状况2000 年 7 月 6 日开始投入运行,功能逐步得到完善
![Page 5: 基于目录服务的 校园网用户管理系统 北京大学计算中心 张蓓 zhp@pku](https://reader036.vdocuments.pub/reader036/viewer/2022081417/5681449e550346895db153d2/html5/thumbnails/5.jpg)
6. 新系统已实现的目标
• 实现了校园网用户的统一管理与统一计费• 提供一口对外的用户服务,建户、交费一处完成• 用户建户、交费后立刻生效,提高了服务质量• 用户使用任何网络服务均使用相同的帐号和密码认
证,减轻了用户的记忆负担• 减少了用户管理出现差错的机会• 减少了网络用户管理维护成本• 降低了管理人员的劳动强度• 提高了网络系统的使用效率
![Page 6: 基于目录服务的 校园网用户管理系统 北京大学计算中心 张蓓 zhp@pku](https://reader036.vdocuments.pub/reader036/viewer/2022081417/5681449e550346895db153d2/html5/thumbnails/6.jpg)
7. 目前已纳入到本系统中的典型网络应用• E-mail 服务• Proxy 代理服务• 公用机房管理• 打印管理
8. 即将纳入到本系统中的网络应用• 拨号服务• 公用机房非 Proxy 的国际访问服务
9. 可以纳入到本系统中的网络应用• MIS 系统• 多媒体系统( VOD ,多媒体教室,远程教育等)• 其他
![Page 7: 基于目录服务的 校园网用户管理系统 北京大学计算中心 张蓓 zhp@pku](https://reader036.vdocuments.pub/reader036/viewer/2022081417/5681449e550346895db153d2/html5/thumbnails/7.jpg)
二、设计原则
1. 实现当前运行的通用网络应用系统向新系统的平 滑过渡
2. 保证当前运行的通用网络应用系统在过渡期的安 全可靠运行
3. 具有较好的扩展性,为校园网中其他网络应用系 统向基于 LDAP 的管理过渡打下基础
![Page 8: 基于目录服务的 校园网用户管理系统 北京大学计算中心 张蓓 zhp@pku](https://reader036.vdocuments.pub/reader036/viewer/2022081417/5681449e550346895db153d2/html5/thumbnails/8.jpg)
目录服务系统用户身份认
证 用户管理
综合计费管
理 系统参数管
理 统计查询
网
络
应
用
系
统
Proxy
拨号
MIS
帐号 / 口令
成功 /失败
系统管理员 配置信息等
配置信息
收款员 开户、收费、封锁、解封、变更、信息查询等
Domain1 Domain2
NT 教学环境
用户同步
NT 用户
帐号 / 口令
成功 /失败
网络用户
系统日志 数据采集
系统日志
应收费用 / 实收费用
应收费用
应收费用
三、系统逻辑结构
封锁帐号
LDAP
用户信息
用户管理员
Web/LDAP 网关
封锁、解封、改密码等
资费政策
远程教育多媒体服务
…….
费用
数据库
用
户
认
证
![Page 9: 基于目录服务的 校园网用户管理系统 北京大学计算中心 张蓓 zhp@pku](https://reader036.vdocuments.pub/reader036/viewer/2022081417/5681449e550346895db153d2/html5/thumbnails/9.jpg)
四、主要设计思想与技术特色
1. 基于 Web 技术,系统通过 Web/Ldap 网关实施管理要求•管理员通过浏览器完成管理操作•用户通过浏览器查询网络费用,查 找他人,开设 E-mail 帐号
2. 用户分为四类:普通用户、用户管理员、收款员和系统管理员• 不同用户具有不同操作权限,操作界面风格相同,内容不同
• 普通用户:能查询 所有用户的基本信息,但只能查询 自己 的费用信息,修改自己的基本信息及口令• 用户管理员:可以修改用户口令,封锁 /解封 用户帐号等• 收款员:可以进行收费、审核、催费、制定和修改价格、 新建 /修改 /封锁 /解封用户帐号等• 系统管理员:不可以进行上述与收费有关的所有工作,但 可以进行系统维护、数据备份、系统参数的设置
和修改等
![Page 10: 基于目录服务的 校园网用户管理系统 北京大学计算中心 张蓓 zhp@pku](https://reader036.vdocuments.pub/reader036/viewer/2022081417/5681449e550346895db153d2/html5/thumbnails/10.jpg)
3. Web/ LDAP 网关实现了树状结构的用户信息管理界面
• 用户数据层次清晰, 便于前台操作人员理解、掌握
• 在一个画面中集成了多项功能,减少了画面的切换,易 于操作
• 主要功能:•显示用户属性•费用查询•修改用户属性 /删除用户•修改口令•拷贝 / 移动•封锁 /解锁•过期用户管理•刷新目录•新建帐号•用户查找
![Page 11: 基于目录服务的 校园网用户管理系统 北京大学计算中心 张蓓 zhp@pku](https://reader036.vdocuments.pub/reader036/viewer/2022081417/5681449e550346895db153d2/html5/thumbnails/11.jpg)
![Page 12: 基于目录服务的 校园网用户管理系统 北京大学计算中心 张蓓 zhp@pku](https://reader036.vdocuments.pub/reader036/viewer/2022081417/5681449e550346895db153d2/html5/thumbnails/12.jpg)
![Page 13: 基于目录服务的 校园网用户管理系统 北京大学计算中心 张蓓 zhp@pku](https://reader036.vdocuments.pub/reader036/viewer/2022081417/5681449e550346895db153d2/html5/thumbnails/13.jpg)
4. 系统提供多种计费政策
• 用户可以分为普通用户、优惠用户和免费用户三种类型,支持依用户身份 制定记费政策
• 免费用户可以设置为全免或仅免几项费用,这种用户多为网 络管理人员
•支持日夜两段折线计费,可以制定以时间为因素的价格政策
•支持节日记费政策,可以制定节日价格,可以在系统参数中设 定节日 的范围,如周六、周日、五一、十一等
• 每项费用具有日单价、夜单价,优惠价,节日价等属性。日单价为缺省价格,其他价格属性仅当设置时才有效
![Page 14: 基于目录服务的 校园网用户管理系统 北京大学计算中心 张蓓 zhp@pku](https://reader036.vdocuments.pub/reader036/viewer/2022081417/5681449e550346895db153d2/html5/thumbnails/14.jpg)
5. 用户帐号分为活动和锁定两种状态。
• 系统参数中 规定了封锁帐号阀值
• 费用数据采集程序在装入费用数据过程中,检测到用户本 期余额低于封锁帐号阀值后,立刻封锁该用户帐号
• 收费程序在检测到用户本期余额高于封锁帐号阀值后,立刻 解封帐号
• 被封锁的帐号将得不到任何需付费的网络服务
• 管理人员可以手工进行帐号的封锁和解封
![Page 15: 基于目录服务的 校园网用户管理系统 北京大学计算中心 张蓓 zhp@pku](https://reader036.vdocuments.pub/reader036/viewer/2022081417/5681449e550346895db153d2/html5/thumbnails/15.jpg)
6. 具有违规用户管理
• 进入违规用户清单的用户,不能获得任何网络服务•不能交费•不能解封•不能修改口令•这在惩罚违章使用网络行为时十分有效
![Page 16: 基于目录服务的 校园网用户管理系统 北京大学计算中心 张蓓 zhp@pku](https://reader036.vdocuments.pub/reader036/viewer/2022081417/5681449e550346895db153d2/html5/thumbnails/16.jpg)
7. 具有标准化的费用数据接口,数据采集规范化
为了使得系统具有较好的扩展性,能够方便地接纳各种网络服务的记费数据,我们设计了规范化的数据接口,各项网络服务只要按标准化的费用数据接口准备数据,均可用公用数据采集程序将数据装入费用数据库中。该程序在装入数据的过程中执行系统设置的所有计费政策
8. 系统具有催费功能
管理员可以对余额低于催费阀值的用户发催费邮件、批量封锁帐号
9. 通过 NT系统与 IP流量日志的结合,实现在公用机房 上机用户的 IP流量计费,使得在公用机房上机的用户获得 Proxy代理不能提供的服务
![Page 17: 基于目录服务的 校园网用户管理系统 北京大学计算中心 张蓓 zhp@pku](https://reader036.vdocuments.pub/reader036/viewer/2022081417/5681449e550346895db153d2/html5/thumbnails/17.jpg)
10. 提供基于 Web 的电子邮件服务,免除自由上机用户在每
次上机时设置 POP 帐号的麻烦
11. 可灵活制定数据采集频度
各项服务的费用采集程序都可以根据自身的数 据特点,在综合网络负 载、系统安全、控制费用丢失程度等因素的前提下,制定数据采集周期。
北京大学目前典型网络应用的数据周期如下:拨号服务: 日E-mail 服务: 日Proxy 代理服务: 小时PC 机时及打印:小时公用机房 IP流量: 分钟
![Page 18: 基于目录服务的 校园网用户管理系统 北京大学计算中心 张蓓 zhp@pku](https://reader036.vdocuments.pub/reader036/viewer/2022081417/5681449e550346895db153d2/html5/thumbnails/18.jpg)
12. 服务器采用了 Java Servlet 技术
保证系统具有较好的扩展性,可移植性和安全性
13. 提供 Java 、 C 的 LDAP API接口
为其它应用程序在目录服务器上认证、获得用户权限提供了可能
![Page 19: 基于目录服务的 校园网用户管理系统 北京大学计算中心 张蓓 zhp@pku](https://reader036.vdocuments.pub/reader036/viewer/2022081417/5681449e550346895db153d2/html5/thumbnails/19.jpg)
五、主要技术及产品1. 选型原则:
•支持基于 LDAP V3 的用户认证•目录服务产品必须具有 C、 Java 等 API 接口•电子邮件服务器产品除上述要求外,须有Web Mail功能
2.涉及主要技术(1) Directory and LDAP (2) HTML (3) Java (4) Java Servlet (5) JavaScript (6) JDBC (7) Security (8) C, C++ (9) Sybase (10) winsock
![Page 20: 基于目录服务的 校园网用户管理系统 北京大学计算中心 张蓓 zhp@pku](https://reader036.vdocuments.pub/reader036/viewer/2022081417/5681449e550346895db153d2/html5/thumbnails/20.jpg)
3. 系统运行平台(1) SUN Solaris 7(2) MS Windows NT 4.0
4. 主要软件产品(1) 目录服务器: Netscape Directory Server 4.12(2) E-mail 服务器: Netscape Message Server 4.0(3) 代理服务器: Netscape Proxy Server 3.5(4) 数据库服务器: Sybase 11.9.3
5. 开发语言(1) Java(2) JavaScript(3) HTML(4) C(5) VC++
![Page 21: 基于目录服务的 校园网用户管理系统 北京大学计算中心 张蓓 zhp@pku](https://reader036.vdocuments.pub/reader036/viewer/2022081417/5681449e550346895db153d2/html5/thumbnails/21.jpg)
七、出现的问题及对策 1. 黑客及口令盗用对策
•管理帐号与 IP地址绑定,管理用计算机使用单独的网段• 重要服务器限制 IP地址的访问,尽量减少可访问的 IP
2. 黑客用户控制• 设置黑客表,进入黑客表中的用户立刻被封锁,• 不能为黑客表中的用户加钱,改口令,解封• 数据采集一旦发现了黑客用户的数据,立刻封锁该用户
3. 防止透支• 制定封锁帐号阀值( 5元),预付款低于阀值后被封锁• 设置较小的数据采集周期• 对正在上机的用户结算时“偷看”,低于阀值时封锁
![Page 22: 基于目录服务的 校园网用户管理系统 北京大学计算中心 张蓓 zhp@pku](https://reader036.vdocuments.pub/reader036/viewer/2022081417/5681449e550346895db153d2/html5/thumbnails/22.jpg)
4. 防止越权使用• 普通用户与管理员的功能界面及显示界面各不相同• 每项功能执行时首先进行权限检查,即使通过 http 直接 调用,普通用户也不能执行管理功能
5. 网络不稳定时的对策• 现象 1 : NT系统日志中无注销记录,被结算到日结终止时间• 对策 1 :用退机时功能,减除机时及发生费用• 现象 2 : NT用户透支时不能完成帐号锁定• 对策 2 :在催费程序中批量锁定透支用户帐号
6. NT Server 死机时的对策• 现象:当时上机用户在系统日志中均无注销记录• 解决:请用户立刻离开机房,按日结方式做NT入帐。 如果系统恢复的时间较长,要按 DOWN机方式做NT 入帐,同时给出扣除系统恢复时间的参数
![Page 23: 基于目录服务的 校园网用户管理系统 北京大学计算中心 张蓓 zhp@pku](https://reader036.vdocuments.pub/reader036/viewer/2022081417/5681449e550346895db153d2/html5/thumbnails/23.jpg)
7.NT机房突然断电时的对策• 现象:当时上机用户在系统日志中均无注销记录• UPS支持期间:立刻按日结方式做NT入帐• UPS支持期间之外:按 DOWN机方式做NT入帐,同时给出 扣除时间的参数
8. 提高统计速度• 在服务器端通过定时启动数据库存储过程执行日统计• 统计日、月、年报均从统计日报表中生成
9. 减少查询 输出• 现象:指定查询 条件较弱时,大量的查询结 果造成缓冲区 不足,不仅查询结 果异常终止,也会造成数据库服 务器死机• 解决:增加查询 条件,限制查询 输出的数量 增加数据库 tempdb的大小 经常清除 sybase系统的事务日志
![Page 24: 基于目录服务的 校园网用户管理系统 北京大学计算中心 张蓓 zhp@pku](https://reader036.vdocuments.pub/reader036/viewer/2022081417/5681449e550346895db153d2/html5/thumbnails/24.jpg)
10. 增加系统的可靠性• 采用双机系统,进行目录服务器的同步设置• 定时备份目录数 据和数据库数据• 各种网络服务的日志数据均有备份,均可 再次装入• 数据采集程序日志信息详细,便于事后分析
![Page 25: 基于目录服务的 校园网用户管理系统 北京大学计算中心 张蓓 zhp@pku](https://reader036.vdocuments.pub/reader036/viewer/2022081417/5681449e550346895db153d2/html5/thumbnails/25.jpg)
八、后续工作
• 建立基于 PKI 的 CA 体系,增强用户身份认证的安全性
• 目录服务器向MS Windows 2000、 Novel NDS移植
• 数据库系统向MS SQL Server移植,适合中 小型校园网的使用
• IP V6环境下整个系统的实现
• 数据库双机热备份结构的建立
• 二期功能的开发
![Page 26: 基于目录服务的 校园网用户管理系统 北京大学计算中心 张蓓 zhp@pku](https://reader036.vdocuments.pub/reader036/viewer/2022081417/5681449e550346895db153d2/html5/thumbnails/26.jpg)
谢 谢!