5.1 单点登陆实现方案
通过Credential Vault(凭证保险库),Portal可以实现统一认证,单点登录,还可以非常方便地与外部B/S架构的业务系统实现单点登录。前面所述的在非Portal环境下实现的单点登录功能是通过由开发商开发相应的单点登录服务模块和认证插件实现,或购买第三方单点登录认证工具实现,其实现原理是:通过Credential Vault(凭证保险库)建立Portal的用户资源库(本系统为LDAP)与外部B/S系统的用户资源库的对应关系,而对外部系统用户资源库的形式不作要求。用户在由 Portal环境下进入被整合的外部系统时,凭证保险库会将当前登录用户在该系统中的身份信息传递到该系统进行认证,如果身份合法就直接进入系统,只有当凭证保险库中的用户对应关系不正确时,系统才会显示出该系统的用户登录界面。
需要说明的一点是, Portal的凭证保险库的建立并不是由系统管理员完成的,系统管理员只是将外部系统集成到Portal环境中,用户在第一次登录时,会被要求输入用户名和口令,登录成功后,即在凭证保险库中建立了对应关系,以后就可通过凭证保险库直接进入系统了。
实现单点登录有以下好处:
•免除了用户频繁登录和管理多套密码。
•提高密码管理的安全性。
•提高系统的整合度。
•为应用整合,统一用户管理作好基础准备。
SharePoint Single Sign-on提供了两种Credential 的映射数据库的方式。
•Per-user credentials 方式
在SSO服务上设置了对应应用的帐号后,可以为每个域用户配置此应用系统的登录凭证。可以后台管理也可以开发应用程序让用户在第一次登录系统时自动配置。
•Group credentials
在SSO服务上设置了对应应用的帐号后,可以配置此应用系统的组登录凭证。可以为域用户指定一个组登录凭证去登录应用系统。
图4: 其中待办事宜部分为工作流系统单点登录进来的效果。
5.2 统一目录服务设计方案
目前S省省邮政公司办公环境以工作组模式组织管理计算机,而部署活动目录会带来如下好处:
•支持更大的网络,得到更高的效益。众所周知,工作组只适用于很小的网络环境。
要想有一个规模可以做的很大,而且运行效率又很高的网络,只有部署活动目录。
•轻松实现网络的集中管理。在部署活动目录之后,您可以通过活动目录的管理工具对网络中的服务器、客户机、用户账号、网络资源等进行方便的管理。
•保证用户账号和网络资源的安全 。
•实现用户对网络资源的快速访问。
•提供很好的收缩和扩展能力。活动目录的逻辑结构和物理结构都有很好的伸缩性,当您公司的网络规模由于种种原因需要调整时,您不需要有大的动作,轻而易举地完成网络的伸缩。
部署活动目录是作为后续众多关键服务和应用的基础。
本方案采用单林单域结构,建议的域名为目前已在公网中使用的域名:sdpost.com.cn。该域不仅是其所属树的根域,也是其所属森林的根域。
•域控制器的规划
域控制器的数量:目前规划在省中心架设两台域控制器(假定的名字为DC1和DC2),其中一台主域服务器DC1专用,另一台DC2同时担当LCS应用服务器。
操作主机(Operating Master)的角色:在DC1上保留架构操作主机(Schema Master)、域命名操作主机(Domain Naming Master)、PDC模拟器(PDC Emulator)和RID Master,把结构操作主机(Infrestructure Master)转移到DC2上。
其中主DC1作为AD、DNS、DHCP等基础服务。
由于用户帐号、计算机资源等都由域进行管理,而且还是其他服务的基础,所以数据备份很重要。
服务范围:除了负责整合管理邮件服务器、门户、数据库、即时消息等中心服务器外,在第一期还将所有的省公司机关用户的终端加入域中,统一管理各种资源。
•应用服务器规划
所有和本方案有关的,以及如后新增加的OA类服务器,都要加入到本域中,由域统一对服务器进行管理和用户访问权限控制和身份验证。因此在这些服务器上运行的应用系统,也推荐使用集成Windows用户验证模式。
•应用服务器规划
所有和本方案有关的,以及如后新增加的OA类服务器,都要加入到本域中,由域统一对服务器进行管理和用户访问权限控制和身份验证。因此在这些服务器上运行的应用系统,也推荐使用集成Windows用户验证模式。
•客户机规划
在省中心的公司域网内的所有用户终端都加入域,用户都以域用户账号登录终端,做到一次登录就可以访问整个域内的包括邮件、即时消息、门户在内的多种服务。
•OU结构的设计和规划
总部下属的市场部、计划财务部、综合办公室等省公司直属部门,省信息公司、省储汇公司、省报刊公司以及各个地市公司单位都用相应的OU来表达。在各个优异OU内,还可以根据单位的规模和人员划分建立更多的层次性的OU。
图5
•用户组规划
除了方便进行用户权限管理,还由于Exchange 2007支持对用户组设置邮箱,实现邮件列表的功能,所以,需要对S省邮政AD的组进行规划,并规划开通组邮箱。计划建立如下安全组:
*全体人员。
*部门全体人员组、部门内职位职能组:使用组的方式可以避免人员职位更换后日常习惯和系统中配置好的邮箱地址变更。
*项目组:临时性的、跨部门的为了特点项目而组成的用户组。
*跨单位的职能组,例如所有地市公司的信息管理员隶属于同一个组,发送邮件公告时只需要发邮件到该组的邮箱即可。
•活动目录的扩展
目前采用集中部署对AD域的方式,而地市公司用户在目前使用要求不高的状况下可以全部访问省中心的AD域控制器,在网络带宽和用户访问量大以后,可以通过在各个分支机构部署域控制器的方式将整个邮政域深入到各个地市公司。
如果需要,还可以在本根域的基础上建立子域
•域用户和组管理
由于S省邮政AD涉及到全企业,用户和计算机数量较大,需要考虑采用集中管理,还是委派管理模式。
•用户和设备命名约定
为了规范和统一用户以及计算机命令,特约定如下:
*用户采用如下几种帐号命名方式,在发生某种命名规则下重名时可以选择其他方式:MingZhiXing、MZXing、XingMZ、XingMingZhi。
*计算机命令则采用位置和功能编号方式组合:SJ-SRV-DC-1,表示省公司-服务器-与控制器-一号。
