2.3. 执行站点调查
站点调查 是发现和特征目录内容的正式方法。计划更多执行调查的时间,因为准备对目录架构至关重要。站点调查由以下任务组成:
识别使用目录的应用程序。
确定您在企业中部署的启用了目录的应用程序及其数据需求。
识别数据源。
调查企业并识别数据源,包括 Active Directory、其他 LDAP 服务器、PBX 系统、人工资源数据库和电子邮件系统。
特征目录需要包含的数据。
确定目录中应位于哪些对象(例如,人员或组)以及这些对象在目录中要维护哪些属性(如用户名和密码)。
确定要提供的服务级别。
决定客户端应用程序的目录数据可用性,并相应地设计架构。目录可用性会影响您如何配置数据复制和串联策略,以连接存储在远程服务器上的数据。
识别数据供应商。
数据供应商包含目录数据的主要来源。您可以将此数据镜像到其他服务器,以实现负载平衡和恢复。确定每个数据的数据供应商。
确定数据所有权。
对于每个数据,确定负责数据更新的人员。
确定数据访问。
从其他来源导入数据时,为批量导入和增量更新开发策略。作为此策略的一部分,尝试在单个位置管理数据,并限制可以更改数据的应用程序数量。另外,限制写入任何给定数据的人员数量。较小的组可确保数据完整性,同时减少管理开销。
- 记录站点调查。
如果目录对多个机构产生影响,请考虑创建一个目录部署团队,其中包含来自每个受影响机构的代表进行站点调查。
公司通常都会拥有人工资源部门、会计部门或客户收帐部门、制造企业、销售组织和开发组织。包括来自每个机构的代表可帮助执行调查过程,以及从本地数据存储迁移到集中式目录。
2.3.1. 识别使用目录的应用程序
访问目录的应用程序以及这些应用程序的数据需求指导目录内容的规划。使用该目录的各种常见应用程序包括:
- 目录浏览器应用程序,如在线电话书。决定用户需要哪些信息,并将其包含在目录中。
- 电子邮件应用程序,特别是电子邮件服务器.所有电子邮件服务器都需要在 目录中提供一些路由信息。但是,有些信息可能需要更高级的信息,如存储用户邮箱的磁盘的位置、假通知详情和协议信息,例如 IMAP 和 POP。
- 启用目录的人工资源应用程序.这需要其他个人信息,如政府身份识别号、家地址、家电话号码、出生日期、工资和职务。
- Microsoft Active Directory.通过 Windows User Sync,可以集成 Windows 目录服务,以便与 Directory Server 一起工作。这两个目录都可以存储用户信息和组信息。在现有 Windows 服务器部署后配置目录服务器部署,以便用户、组和其他目录数据可以同步。
在评估将使用目录的应用程序时,请考虑每个应用程序使用的信息类型。下表提供了应用程序的示例以及应用程序使用的信息:
表 2.1.应用程序数据需要示例
| Application | 数据类别 | data |
|---|---|---|
| 电话 | 人员 | 名称、电子邮件地址、电话号码、用户 ID、密码、部门号码、经理、邮件停止 |
| Web 服务器 | 人员、组 | 用户 ID、密码、组名称、组成员、组所有者 |
| 日历服务器 | 人员、会议室 | Name, user ID, cube number, room room name |
当您识别每个应用程序使用的应用程序和信息时,您将了解多个应用程序会使用哪些类型的数据。规划中的这一步可以防止目录中的数据冗余,并明确显示与数据目录相关的应用程序需要什么。
以下因素会影响目录中维护的数据类型以及将信息迁移到目录时的最终决定:
- 各种传统应用程序和用户所需的数据
- 传统应用程序与 LDAP 目录通信的能力
2.3.2. 识别数据源
要确定要包含在目录中的所有数据,请执行对现有数据存储的调查。该调查应包括以下内容:
识别提供信息的组织。
找到管理关键信息的所有组织,如信息服务、人力资源、工资和会计部门。
识别信息源的工具和流程。
信息的常见来源包括网络操作系统(如 Windows、Novell Netware、UNIX NIS)、电子邮件系统、安全系统、PBX (手机切换)系统和人力资源应用程序。
确定对数据进行中央化如何影响数据管理。
集中式数据管理可能需要新的工具和新的流程。在某些情况下,中央化可能需要机构中的员工和不满意。
在调查过程中,开发一个列表来标识企业中的所有信息源,如下表中所示:
表 2.2.信息源示例
| 数据源 | 数据类别 | data |
|---|---|---|
| 人力资源数据库 | 人员 | 名称、地址、电话号码、部门号码、经理 |
| 电子邮件系统 | 人员、组 | 名称、电子邮件地址、用户 ID、密码、电子邮件首选项 |
| 设施系统 | 设施 | 构建名称、指纹、现有数字、访问代码 |
2.3.3. 特征目录数据
使用以下方法将您要包含在目录中的数据特征:
- 格式
- 大小
- 各种应用程序中出现的次数
- 数据所有者
- 与其他目录数据的关系
在目录中查找您要包含的数据中的常见特征。这有助于在架构设计阶段节省时间,如 指定目录模式。
请考虑以下表,其特征是目录数据:
表 2.3。目录数据特征
| data | 格式 | 大小 | 所有者 | 相关 |
|---|---|---|---|---|
| 员工名称 | 文本字符串 | 128 个字符 | 人员资源 | 用户条目 |
| 传真号 | 电话号码 | 14 个数字 | 设施 | 用户条目 |
| 电子邮件地址 | 文本 | 多个字符 | IS 部门 | 用户条目 |
2.3.4. 确定服务级别
您提供的服务级别取决于依赖支持目录的应用程序的人员的预期。要确定每个应用程序所需的服务级别,请确定如何使用应用程序。
随着目录的演进,目录可能需要支持从生产到关键任务级别的不同服务级别。在目录部署后提高服务级别比较困难,因此请确保初始设计满足未来需求。
例如,要消除总故障的风险,请使用多层次配置,其中有多个供应商处理同一数据。
2.3.5. 考虑数据供应商
数据 供应商是提供数据的服务器。在多个位置存储相同的信息会降低数据完整性。数据供应商确保存储在多个位置的所有信息都是一致且准确的。以下场景需要数据供应商:
- 在目录服务器间复制
- Directory 服务器和 Active Directory 之间的同步
- 访问目录服务器数据的独立客户端应用程序
使用多层次复制时,目录服务器可以包含在多个服务器上的信息的主副本。多个供应商仍保持更改日志,并安全地解决冲突。您可以配置有限的供应商服务器,可以接受更改并将数据复制到副本或消费者服务器 [1].如果服务器脱机,几个数据供应商服务器提供安全故障转移。有关多层次复制的更多信息,请参阅 TBA[Designing the replication]。
使用同步,您可以将目录服务器用户、组、属性和密码与 Microsoft Active Directory 用户、组、属性和密码集成。如果您有两个目录服务,则决定是否管理相同的信息、这些信息量将共享,哪些服务将提供数据。最好选择一个应用程序来管理数据,并允许同步过程在其他服务上添加、更新或删除条目。
如果您使用与目录间接通信的应用程序,请考虑数据的供应商源。使数据更改过程尽可能简单。决定管理数据的位置后,使用相同的位置来管理其中包含的所有其他数据。当数据库在企业之间丢失同步时,单一位置简化了故障排除。
您可以采用以下方法提供数据:
管理目录以及不使用目录的所有应用程序中的数据。
维护多个数据供应商不需要自定义脚本传输数据。在这种情况下,某人必须更改所有其他站点中的数据,以防止企业的数据重新同步,但这针对目录目的。
在非目录应用程序中管理数据,并编写脚本、程序或网关来将该数据导入到目录中。
当您已使用应用程序管理数据时,在非目录应用程序中管理数据是最理想的选择。此外,您还将对目录进行查找,例如,对于在线企业电话图书。
如何维护数据的主副本取决于特定目录的需求。但是,始终保持维护简单且一致。例如,请勿尝试在多个位置管理数据,然后在竞争应用程序之间自动交换数据。这样做会导致更新丢失并增加管理开销。
例如,该目录管理一个员工的家电话号码,该号码同时存储在 LDAP 目录和人工资源数据库中。人工资源应用程序是启用了 LDAP 的,可以将数据从 LDAP 目录自动传输到人工资源数据库,反之亦然。
如果您试图管理 LDAP 目录和人力资源数据库中该员工电话号码的更改,那么电话号码被更改的最后位置会覆盖其他数据库中的信息。只有编写数据的最后一个应用程序具有正确的信息时,才能接受。
如果该信息已过时(例如,由于人工资源数据是从备份中恢复),则将删除 LDAP 目录中的正确电话号码。
2.3.6. 确定数据所有权
数据所有权 指的是负责确保数据最新状态的人员或组织。在数据设计阶段,决定谁可以将数据写入目录。以下是决定数据所有权的一些常见策略:
- 允许对除少量目录内容管理器之外的每个目录进行只读访问。
- 允许个人用户管理其战略性信息子集,如其密码、他们在机构中的角色、其自主许可证号码以及联系信息,如电话号码或办公室号码、描述信息。
- 允许个人经理编写该人员信息的战略子集,如联系信息或职位。
- 允许机构管理员创建和管理该机构的条目,使他们能够作为目录内容管理器运行。
- 创建赋予用户读取或写入访问权限组的角色。您可以为人力资源、财务或核算创建角色。允许这些角色对组需要的数据具有读取访问权限、写入访问权限或两者。这可包括工资信息、政府标识号以及主页电话号码和地址。
多个个人可能需要对同一信息进行写访问。例如,信息系统或目录管理组可能需要对员工密码进行写权限。此外,员工还需要对自己的密码进行写入访问权限。虽然多个人可以访问同一信息,但尽量使该组保持小且可识别性,以确保数据完整性。
2.3.7. 确定数据访问
确定数据所有权后,决定谁获得读取每个数据的访问权限。例如,员工主页电话号码可以存储在 目录中。此数据对许多用户(包括员工经理和人力资源部门)非常有用。员工应该能够读取该信息以进行验证。但是,家联系信息可被视为敏感。
对于目录中存储的每个信息,请考虑以下几点:
某人是否可以匿名读取数据?
LDAP 协议支持匿名访问,并允许轻松查找信息。但是,由于这种匿名情况(任何人都可以访问该目录),因此优先使用此功能。
某人能否广泛读取整个企业的数据?
您可以设置访问控制客户端必须登录到(或绑定到)目录才能读取特定信息的方式。与匿名访问不同,这种类型的访问控制可确保只有机构成员有权访问目录信息。此外,Directory 服务器访问日志包含有关谁访问信息的记录。
有关访问控制的更多信息,请参阅 指定访问控制。
是否有必须访问数据的人员或应用程序的可识别组?
对数据具有写入特权的任何人都需要读访问权限(除密码写入访问权限除外)。目录也可以包含特定于特定机构或项目组的数据。识别这些访问权限需要有助于确定哪些组、角色和访问控制。
对每个目录数据进行这些决策会定义目录的安全策略。这些决策取决于站点的性质,以及网站上已提供的安全性。例如,允许防火墙或无法直接访问互联网意味着,如果目录直接放置在互联网上,就很难支持匿名访问。此外,一些信息可能只需要访问控制和验证措施来限制访问。其他敏感信息可能需要在数据库中加密。
大多数国家的数据保护法律规定了企业如何维护和访问个人信息。例如,法律可能会禁止匿名访问信息,或者要求用户能够查看和编辑代表它们的条目中的信息。与组织法律部门进行检查,以确保目录部署符合企业运营的国家的数据保护法律。
在复制中,使用者服务器 或 副本服务器 接收来自供应商服务器或 hub 服务器的更新。
