1. Trang chủ
  2. » Luận Văn - Báo Cáo

Nghiên cứu giải pháp đồng bộ dữ liệu ngược áp dụng cho việc quản trị cây thư mục bằng openlap

39 1 0
Tài liệu được quét OCR, nội dung có thể không chính xác

Đang tải... (xem toàn văn)

Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống

THÔNG TIN TÀI LIỆU

Thông tin cơ bản

Định dạng
Số trang 39
Dung lượng 4,46 MB

Nội dung

Trang 1

BỘ KHOA HỌC VẢ CÔNG NGHỆ VIỆN ỨNG DỤNG CÔNG NGHỆ

BAO CAO TONG HOP

KET QUA KHOA HOC CONG NGHE DE TAI

Nghiên cứu giải pháp đồng bộ dữ

trị cây thư mục ø OpenLdap ngược áp dụng cho việc quản

Cơ quan chủ trì đề "Trung tâm hợp tác công nghệ Việt - Hàn

Chủ nhiệm để tài: Ths Nguyén Quang Hai

9375

HẢ NỘI - 2010

Trang 2

BỘ KHOA HỌC VẢ CÔNG NGHỆ VIỆN ỨNG DỤNG CÔNG NGHỆ

BAO CAO TONG HOP

KET QUA KHOA HOC CONG NGHE DE TAI

Nghiên cứu giải pháp đồng bộ dữ

trị cây thư mục ø OpenLdap ngược áp dụng cho việc quản

Chủ nhiệm đề tài Cơ quan chủ trì đề tài:

‘Trung tim hop tac công nghệ Việt - Hàn

'ThS Nguyễn Quang Hải

Bộ Khoa học và Công nghệ

HẢ NỘI - 2010

Trang 3

MỤC LỤC MỤC LỤC CÁC HÌNH VẼ GIỚI THIẾU PHẦN 1 MỞ ĐẦU Sự hình thành để tài Các vấn đề phát sinh Mục tiêu của đề tài Đối tượng, Tính cấp thiết

Pham vi nghiên cứu

Ý nghĩa khoa học và thực tiễn ii iêu, đối tượng, tính cấp thiết, phạm vi nghiên cứu, ÿ nghĩa khoa học và RRR RRR Tình hình nghiên cứu, phân tích, đánh giá các công trình đã có trong và ngoài nước

PHAN 2 NỘI DUNG THỰC HIỆN

Chuong 1 TONG QUAN VE LDAP

Giới thiêu về LDAP

Ung dung LDAP trong thực tế Tổ chức phần mềm OpenLDAP CAA AK 9 Chuong 2 CAC GIAI PHAP DONG BO DA CO TRONG OPENLDAP 2.4 Giới thiệu

Slurpd và mô hình đồng bộ Master/Slaye

SyncRep và mô hình đồng bô Consumer/Provider

Chương 3: NHU CAU DONG BO PHI DOI XUNG

Thu cầu thực tế

Xây dựng khái niệm đồng bộ phi đối xứng

Trang 4

Thiết lập kết nối, phát hiện và xử lý xung đột có thể xây ra trong đồng bộ

phi đối xứng 27

An ninh trong đồng bộ phi đối xứng 30

Chương 4: TÍCH HỢP GIẢI PHÁP ĐÔNG BỘ PHI ĐỐI XỨNG VÀO

TRONG OpenLDAP 2.4 32

Lya chọn hướng tiếp cận 32

Giải pháp 1: cơ chế quản lý đa cấp theo nhánh 33

Giải pháp 2: cơ chế multi-rnaster sợncrepl 34

Giải pháp 3: tng dung mdbsyne 35

Thiết kế và thử nghiệm mndbsyne 37

PHAN 3 CAC KET QUA DAT DUOC 38

PHAN 4 KÉT LUẬN VÀ KIÊN NGHT 40

Kết luận 40

Kiến nghị 40

Quản lý nhân sự và quyển hạn đăng nhập 40

Quản lý học sinh trên diện rộng, 41

PHAN 5 TAI LIEU THAM KHAO 42

Trang 5

CAC HINH VE

Hinh 1 Quan hé gitra LDAP va X.500 6

Hình 2 Ví dụ về Cây Thông tin Thư mục 8

Hình 3 Nhiều ứng dụng cùng sử dụng chung các thuộc tính của một thực thể, 8 Hình 4 Ví dụ về kết nối LDAP với các dịch vu trong DataCenter 9

Tình 5 Mô hình tổ chức của LDAP Server 9

Hình 6 Cơ chế hoạt động của slurpd 13

Hình 7: Hoạt đông của 8yncrepl trong chế độ kéo - “refreshOnly” 16

Hình 8: Hoạt động của 8yncrepl trong chế độ đây - “refreshAndPersist” 1

Hình 9: Delta-Syncrepl 19

Hình 10: Tổ chức cây thông tin phân cấp 20

Hình 11: Tổ chức cập nhật thông tin trong mô hình phân cấp 21

Hình 12: Ví dụ về phân vùng đữ liêu 26

Hình 13: Phân quyền quản lý đa cấp 33

Hinh 14: Multi-master Syncrep! 34

Hình 15: Mô hình hoạt động của MDBSyne 36

Trang 6

VIEN UNG DUNG CONGNGHE CONGHOA XA HOI CHỦ NGHĨA VIỆT NAM

TT HOP TAC CONG NGHE Độc lập - Tự do - Hạnh phúc

VIỆT-HẢN

Hà nội, ngày — tháng - năm 2010

BAO CAO THONG KE

KET QUA THỰC HIEN DE TAI I THONG TIN CHUNG

1 Tên để tài/dự án:

“Nghiên cứu giải pháp đồng bộ dữ liệu ngược áp dụng cho việc quản trị cây thư mục bằng OpenLdap”

"Thuộc lĩnh vực: công nghệ thông tin

2 Chủ nhiệm để tài/dự án:

Họ và tên: NGUYEN QUANG HAI

Ngày, tháng, năm sinh: 07-5-1967 Nam/ Nữ: Nam Học hàm, học vị: Thạc sĩ kỹ thuật

Chức danh khoa học: nghiên cứu viên Chức vụ Phó giám đốc

Điện thoại: Tổ chức: (04)3933 1763 Nhà riêng: (04) 38523 731 Mobile: 091352 4144 Fax: (04) 3933 1040 E-mail: quanghai@hn.vnn.vn Tên tổ chức đơng công tác: Trung tâm Hợp tác Công nghệ Việt - Hàn

Trang 7

Website:

Địa chỉ: 25 Lê Thánh Tông, Hoàn Kiếm, Hà Nội, Việt Nam

Ho va tên thủ trưởng tổ chức: Trần Hồng Sơn Số tài khoản: 301.01.004.1

Ngân hàng: KBNN Quận Hoàn Kiếm Hà Nội

"Tên cơ quan chủ quản đề tài: Viện Ứng dụng Công nghệ

Điện thoại: (04) 3933 3389 Fax: (04) 3933 0267 E-mail: vanphongnacentech@vnn.vn

‘Website: http://www nacentech.vn/

Địa chỉ: 25 Lê Thánh Tơng, Hồn Kiếm, Hà Nội

Ho va tên thủ trưởng tổ chức: Trần Xuân Hồng

'TTên cơ quan chủ quản đề tài: Bộ Khoa học và Công nghệ

TI TÌNH HÌNH THỰC HIỆN

1 Thời gian thực hiện để tài dự án:

- Theo Hợp đồng đã ký kết số 12/HĐ/ĐT ngày 12/8/2009: từ tháng7 năm 2009 đến tháng 6 năm 2010

- Thực tế thực hiện: từ từ tháng 7 năm 2009 đến tháng 6 năm 2012

- Được gia hạn (nếu có):

Trang 9

1 | Thiét bi, may méc mua mới 2 |Nhà xưởng xây đựng mới, cải tạo 3 |Kinh phí hỗ trợ công nghệ 4 | Chỉ phí lao động 3 |Nguyên vật liệu, năng lượng 6 | Thuê thiết bị, nhà xưởng 7 | Khác Tổng cộng

- Lý do thay đổi (nêu có):

3 Các văn bản hành chính trong quá trình thực hiện để tài/dự ám:

Số | Số, thời gian bạn pene ts Z3:

1 sak vita bin Tên văn bản Ghi chit 1 | 22/7/2009 Biên bản hợp hội

duyệt thuyết minh đề

2 |số12/HĐ/ĐT Hợp đồng thực hiện đề tài

ngày 12/8/2009

3 | ngày 15/11/2010 | Báo cáo định kỳ

Trang 10

4 Tổ chức phối hợp thực hiện dé tai, du 4

5 Cá nhân tham gia thực hiện đề tài, dự án:

(Người tham gia thực hiện đề tài thuộc tễ chức chủ trì và cơ quan phối hợp, không quá 10 người hễ cả chủ nhiệm) số | Tên cá nhân | Tên cá nhân ôi dung | Sản phẩm

đăng ký theo | đã tham gia tham gia | chit yéu dat wae

IT | Thuyét mink | thuc hign chink được

1 | Nguyễn Quang | Nguyễn Quang | Tổng hợp, thiết | Báo cáo tổng

Hải Hải kế, viết báo cáo hợp

tổng thụ

2 | NgôTố Nhiên | Ngô Tố Khiên Dự án pl Module phan

mém mem

3 Tran Hai Au Trần Hải Âu | Biên địch tổng Tài liệu

họp tài liệu kỹ | hướng dẫn kỹ thuật thuật 4 | Trin Mạnh Hiền | Trần Mạnh Hiền | Dw dn phan Module phan mém, coding mém 3 | Lương Duy Hiếu | Lương Duy Dựán phần | Module phan Tiểu mềm, coding mềm

6 | BàiNgọcTú | BùiNgọcTú | Biéndichtai | Bién dich va liên, thử chương |_ thử nghiệm trình phần mềm 6 Tình hình hợp tác quốc tế:

7 Tinh hình tổ chức hội thảo, hội nghị: 8 Tóm tắt các nội đung, công việc chủ yếu:

(Neu tại mục 13 của thuyết minh, không bao gâm: Hội thảo khoa học, điều tra khảo sắt trong nước và nước ngoài)

Thời gian

số | _ Các nội đang, công việc _ chữ yếm | (Bắt đâu, kết thúc co quan Người,

TT | (Các mốc đánh giá chủ yếu) - tháng „ năm) thực hiện

Theokế | Thục tế

Trang 11

hoach đạt được Nội đụng 1

Nghiên cứu mô hình hoạt đông của cây thông tin thư mục (DIT)

Nghiên cứu tài liêu về X 500,

LDAP va các chuẩn tương ứng

Đánh giá khả năng ứng dựng cây thông in thư mục trong mô hình quản lý cây thông tin DIT phan

Đề xuất một mô hình ứng dụng cây thư mục trong vấn đề quản lý

thông tin cấu hình và hoạt động của một hệ thống phân cấp cụ thể vi nén tang 1a OpenLDAP 2.4 07/2009 đến 12/2009 07/2009 đến 12/2009 Nhóm đề tài Đánh giá ưu điểm và hạn chế của cơ chế đồng bộ dạng Master/Slave

và Provider/Consumer trong viée

đồng bộ dữ liệu phân cấp Đề xuất

các tiêu chí cấn thiết cho việc

đồng bộ đữ liệu ngược cho ứng dung OpenLDAP 2.4 07/2009 đến 12/2009 07/2009 đến 12/2009 Nhóm đề tài Aội đụng 2 Phan tích các khả năng xung đột trong quá trình đồng bộ và cập nhật ngược cây thông tin đa cấp

Nghiên cứu các giả pháp giải

quyết xung đột, quản lý quyền truy cập trong mô hình đồng bộ đữ

liệu ngược

Xây đụng “giải pháp khả thí" cho

mô hình tổ chức và đồng bộ đữ

ngược cho cây thông tin đa cấp

được quân lý bởi OpenLDAP 2.4 07/2009 đến 12/2009 07/2009 đến 12/2009 Nhóm đề tài Nội đụng 3

Xây dựng, triển khai mô hình ứng

dụng OpenLDAP 24 trong việc quan trị cây thông tin thư mục phân cấp

Xây dung tién khai module quan

tri ACL cho hệ thống đồng bộ ngược của OpenLDAP

Trang 12

đổi về câu trúc cây thông tin và xác lập cơ chế đồng bộ cho máy

chủ cục bộ

Xây dựng module chiết xuất thay

đổi về đữ liệu và xác lập cơ chế

đồng bộ cho máy chủ cục bộ

3 | Xây dựng và thử nghiêm module] — 12/2009 02/2010 Í Nhóm đề tài gửi và đồng bộ cấu trúc cây thông đến đến

tin (bao gồm kết nối, xác thực, lưu nhật ký sửa đối, ) giữa các máy chủ không đồng cấp

Xây dựng và thử nghiệm module

gửi và đồng bộ đữ liệu (bao gồm kết nối, xác thực, lưu nhật ký sửa

đổi, ) giữa các máy chủ không đồng cấp Xây dựng và thử nghiệm module quản trị hệ thống và cảnh báo tình trạng khơng tồn vẹn dữ liệu trong quá trình vận hành Tích hợp, thử nghiêm và đánh giá g thé các module phần mềm trên OpenLDAP Can chỉnh lỗi và hoàn thiện hệ thống, 04/2010 06/2010 Nội đụng 4 6 | Bién soạn tài liêu hướng dấn 04/2010 06/2010 Í Nhóm đề tài Đồng gói sẵn phẩm đến đến 06/2010 11/2010

I SAN PHAM KH&CN CUA DE TAI, DU AN

1 Sản phẩm KH&CN đã tạo ra:

Trang 13

bộ đữ ngược cho cây thông tia đa cấp được quản lý béi OpenLDAP 24 ting dung, trong đó phải nêu rõ các đâu vào, đầu ra, các tác nhân, các quan hệ và luéng thang tin cân xử lý sử dụng bộ phần mềm MDBSync 2 |Các module phần mềm phục vụ chức năng đồng bộ ngược trong mô hình cây thông tin phân cấp, Các module phải được tích hợp và hoạt động ổn định trên nền Linux và OpenLDAP 24 Phần mềm (bao gồm mã nguồn và mã biển dich) được đóng gói trong đĩa CD kèm hướng dẫn cài đất Các module và hướng dẫn sử dụng được đóng gói trong đĩa CD (chạy trên nền Linux + Ldap 2.4) e) Thống kê danh mục sản phẩm KHCN đã được ứng dung vào thực tế Số Tên kết quả TT | đã được ứng đụng Thời gian Địa điểm (Ghi rỡ tên, địa chỉ not ting dung) Kat qua sơ bộ

2 Đánh giá về hiệu quả do để tài, dự án mang lại: a) Hiệu quả về khoa học và công nghệ:

(êu rõ danh mục công nghệ và mức độ nắm vững, làm chủ, so sánh với trình độ công nghệ so với khu vực và thể giới )

b) Hiệu quả về kinh tế xã hội

(iêu rõ hiệu quả làm lợi tính bằng tiền dự kiến do đễ tài, đự án tạo ra so với các sẵn phẩm cùng loại tiên thị trường )

viii

Trang 14

3 Tình hình thực hiện chế độ báo cáo, kiểm tra của để tài, dự án: sé NOi dung ‘Hat gia (Tám Bl ul luận 1 thục hiện chính, người chủ trì ) 1 | Báo cáo định kỳ Lần1 04/12/2009 Lần2 15/11/2010 I |Kiểm tra định kỳ Lần 1 04/12/2009 Theo tién độ đã đề ra Lần 2 15/11/2010 | Đủ điều kiện bảo vệ cấp cơ sở

II | Nghiệm thu cơ sở 27/12/2010 Đủ điều kiện để bảo vệ

Trang 15

GIỚI THIỆU

Đề tài khoa học “Nghiên cứu giải pháp đồng bộ đữ liệu ngược áp dụng cho

việc quản trị cây thư mục bằng OpenLdap” được triển khai tại Trung tâm hợp tác sông nghệ Việt - Hàn, thuộc Viện Ứng dụng Công nghệ Mục tiêu của đề

tài là: “nghiên cứu giải pháp đồng bộ ngược áp dụng cho hệ quản trị cây thư mục OpenL.dap phiên bản 2.4” Cụ thể, chúng ta cần phải xây dựng một cơ chế hỗ trợ việc cập nhật cây thông tin LDAP tly nhiéu nguồn theo mô hình phân cấp và cơ chế này phải tương thích hoàn toàn với hoạt động nền tảng của hệ phần

mém OpenLDAP 2.4 Dé hoan thành mục tiêu trên, nhớm nghiên cứu đã tiến

hành phân tích cơ chế hoạt động của LDAP, mô hình ứng dung trong

OpenLDAP, Nhóm đặc biệt quan tâm đến các cơ chế trao đổi thông tin, đồng

bộ dữ liệu, tao ban sao đã có trong OpenLDAP 2.4 Sau khi phân tích, đánh giá, cuối cùng nhóm đã tiến hành xây dựng phương án khả thị, phát triển ứng dụng,

MDBSYNC cho gidi phap đồng bộ ngược và thử nghiệm trong thực tế

Với tiêu chí tân dụng tối đa các tính năng có sẵn của phần mễm gốc

(OpenLDAP), nhớm đã lựa chọn cách tiếp cân xây dựng chương trình hỗ trợ đồng bộ MdbSync dưới dạng module độc lập, kết nổi với phần mềm gốc qua giao thức chuẩn; Các tác vụ xử lý như đồng bộ, tao bản sao, quan lý quyền truy cập, được xử lý dựa trên tính năng sẵn có của phần mềm gốc Cách tiếp cận này cho phép phần mềm hỗ trợ được xây dựng khá độc lập với phần mềm gốc, do dé day nhanh được tiến độ phát triển Kết thúc quá trình phát triển phần mềm, nhóm nghiên cứu cũng đã tiến hành thử nghiệm các mô hình đồng bộ trong pham vi phòng thí nghiệm Các thao tác kiểm tra này đã được tích hợp lại trong các gói scripts để việc thử nghiệm có thể thực hiện được nhiều lần một cách dễ dàng hơn

áo cáo của đề tài được tổ chức theo trình tự sau đây

Phần 1: Mở đầu, giới thiệu về xuất xứ và các nội dung khoa học cần đạt được liên quan đến đền tài

Phần 2: Nôi dung khoa học đã thực hiện, gồm các chương sau đây

Chương 1 Tổng quan về LDAP và khả năng ứng dụng LDAP trong

thực tế Nhu cầu phát triển mô hình đồng bộ ngược cho cây thư mục LDAP

Chương 2 Giới thiệu về các giải pháp đồng bộ trong OpenLDAP 2.4

Chương 3 Nhu cầu thực tế và các vấn đề liên quan đến mô hình đồng bộ dữ liệu ngược

Chương 4: Các hướng tiếp cận để tìm kiếm giải pháp đồng bộ ngược và lựa chọn cách thức xây dựng ứng dụng mbdsyne,

Phần 3: Các kết qua đạt được Phần 4: Kết luận và kiến nghị

Phần 5 Tài liệu tham khảo

Trang 16

Các báo cáo hỗ trợ của để tài bao gồm

© Tài liệu thiết kế kỹ thuật phần mềm MDBSYNC và các scripts thử

nghiệm đã được tự động hóa

s_ Hướng dẫn cài đặt và sử dụng OpenLDAP (phiên bản 2.4) «Các phụ lục của để tài

© Dia cai dat phan mềm

Trang 17

PHAN 1 MỞ ĐÀU

Sự hình thành đề tài

Trong thời gian qua chúng tôi đã có điều kiên nghiên cứu các vấn đề liên quan đến việc ứng dụng công nghệ thông tin vào lĩnh vực quản lý hành chính nhà nước Một trong những vấn đề liên quan đền hạ tầng rất được quan lâm là việc xây dựng một hệ thống Ổn định, có tính mở để có thể hỗ trợ thành công cơ chế

đăng nhập một lan (ingle Sign-On) cho nhiều nền tảng khác nhau Quá trình

tìm kiếm đó đã đưa chúng tôi tiếp cận với mô hình quản lý dữ liệu phân cấp

hình cây dựa trên nén LDAP, cu thé hơn là OpenLDAP trên Linux va Active

Directory trén các hệ điều hành Microsoft Windows Qua tìm hiển, chúng tôi

nhận thấy LDAP có nhiều tính năng rất phủ hợp với mô hình quản lý đăng nhập mở và tương thích với nhiều nền tảng khác nhau:

® LDAP là giao thức chuẩn được thu gọn tử X.500 và đã được phát triển

trên nhiều nền tảng khác nhau nhu Linux, BSD, SunOS, va Microsoft

Windows (với nhiều tên gọi khác nhau)

© _ Việc truy vấn và khai thác dữ liệu trên LDAP rất đơn giản và thuận tiện

vì mọi ứng dụng đều có thể kết nối với LDAP thông qua các hàm gọi API chuẩn và thông tin có thể xây dựng dựa trên các giản đồ cơ bản đã có sẵn; các giản đồ đặc thủ có thể đễ đàng được phát triển và công bồ để

sử dụng trên mọi nền tảng,

s_ Tổ chức dữ liệu trong LDAP có tính mở, Giữa LDAP với mô hình dữ liêu XML có sự tương đồng lớn nên việc xuất và nhập dữ liệu với hệ

thống CSDL khác rất thuận tiện

Trong thực tế chúng tôi đã tiến hành triển khai thử nghiên ứng dụng OpenLDAP trơng việc quản lý nguồn nhân lực của các đơn vị cấp huyện, thi, sở, ban, ngành trực thuộc bộ máy quản lý hành chính của một tỉnh và thay ing

dụng LDAP hoàn toàn có thể đáp ứng được các nhu cầu thực tế trong phạm vi

mạng cục bộ

Các van dé phat sinh

Cùng với sự phát triển của công nghệ thông tin, các hệ thống mang tin học dần được triển khai liên thông trên điện rông từ cấp trung ương đến tỉnh#hành và xuống đến cấp huyệnHhi Đi kèm với việc mở rộng này các ứng dụng the nghiệp cũng được triển khai theo xu hướng hình thành một hệ thống mạng phân cấp đa lớp nhưng vẫn phải đâm bảo được tính thống nhất về quyền hạn của

từng cá nhân tham gia hệ thống Với vai trò là phần mềm gốc chịu toàn bộ

trách nhiệm quản lý tài khoản và quyền hạn đăng nhập, OpenLDAP cùng cần

Trang 18

được triển khai với một cơ chế đồng bộ và quản lý đồng bộ một cách phd hop và hiệu quả để có thể đáp ứng được nhu cầu đó, Yên cầu này đã làm nảy sinh bài toán đồng bộ dữ liêu phi đối xứng giữa các cấp quản lý

Mục tiêu, đối tượng, tính cấp thiết, phạm vi nghiên cứu, ý nghĩa khoa học và thực tiên

TMục tiêu của đề tài

Mục tiêu của để tài là nghiên cứu và xây dựng giải pháp đồng bộ ngược áp dụng cho hệ quản trị cây thư mục OpenLdap phiên bản 2.4 qua đó giúp việc quản trị và đồng bộ dữ liêu trong cây thư mục trên diện rông được để ding và thuận tiện

Đối tượng

Đối tượng của để tài là các vấn đề liên quan đến việc bảo đảm sự đồng nhất và toàn ven đữ liệu của cây thư mục trên phạm vi mạng diện rộng đa cấp trên nén

OpenLDAP 2.4 Tính cấp thiết

Việc xây dựng và phát triển cơ chế đồng bộ ngược cho OpenLDAP 2.4 là rất

cần thiết trong việc xây đựng các hệ thống nên tảng hỗ trợ quản lý thông tin xác thực và quyền truy cập đồng nhất trên điện rộng

Phạm vi nghiên cứu

Mội dụng cơ bản bao gồm việc tiến hành nghiên cứu cơ chế hoại động bên

trong của OpenLDAP, nghiên cứu cơ chế đồng bộ từ nhiều nguồn để đưa ra

hướng giải quyết thỏa đáng cho việc đồng bộ phi đối xứng, cuối cùng là tiến hành lập trình và tích hợp các module cin thiết với phần mềm gốc

'Ý nghĩa khoa học và thực tiễn

Việc xây dựng thành công cơ chế đồng bộ ngược giúp cho hệ phần mềm

OpenLDAP được hoàn thiện hơn Chúng ta cũng có thể triển khai ứng dụng

OpenLDAP trong môi trường phân cấp phi đối xứng dễ dàng hơn

Tình hình nghiên cứu, phân tích, đánh giá các công trình đã có trong và ngoài nước

Ở nước ngoài việc nghiên cứu về các hệ thống quản trị cây thông tin thư mục (Directory Tnformatiơn Tree) đã được triển khai và áp dụng từ nhiều năm nay, TỨng dụng đầu tiên được phát triển dựa trên nền 3⁄.500 Phiên bản thu gọn của

X.500 là LDAP được phát triển dưới cả dạng thương phẩm cũng như nguồn mở LDAP hiện nay được ứng dụng rất rộng rãi, và chúng ta có thể gặp ngay

Trang 19

trong các hệ diéu hanh cha Microsoft Windows vi tén goi « Directory Service ~ Dịch vụ thư mục » Các sản phẩm LDAP độc lập có thể kể đến OpenLDAP,

Sun LDAP,

Trong nước chúng ta mới chỉ gặp nhiều các ứng dụng CSDL quan hệ Các ứng dung liên quan đến hệ thống quản trị cây thông tin thư rnục (DIT) chưa được

tìm hiểu và triển khai nhiều Các ứng dụng liên quan đến LDAP vẫn chỉ gặp

trong quy mô vừa và nhỏ, và triển khai tập trong phạm vi mạng cục bộ Các cây thông tin theo mô hình đa cấp phân tán hầu như chưa phát triển

Trang 20

PHAN 2 NỘI DUNG THỰC HIỆN

Chương 1 TÔNG QUAN VE LDAP

Giới thiệu về LDAP

Lightweight Directory Access Protocol, hay LDAP, 18 mot giao thức ứng dụng để truy vẫn và sửa đối dịch vụ thư mục chạy trên nền TCP/TP Khởi nguồn của LDAP được xây dựng đựa trên nền X⁄.500, nhưng đã được loại bỏ các chức

năng ít được sử dụng và chỉ giữ lại các chức năng cần thiết 051 protocol stack LDẠP Session Transport TP oP TCPAP protocol Network ° ea

Hinh 1 Quan hé gitra LDAP va X.500

Hiện nay LDAP đang được phát triển 6 phién ban 3, va doc mé ta trong mét

tập hợp các RFC của Internet Engineering Task Force (ETF), bắt 4510, ° LDAP e LDAP e LDAP e LDAP e LDAP e LDAP e LDAP e LDAP Technical Specification Road Map [RFC4510] The Protocol [RFC4511]

Directory Information Models [RFC4512]

Authentication Methods and Security Mechanisms [RFC4513] String Representation of Distinguished Names [RFC4514] String Representation of Search Filters [RFC4515]

Uniform Resource Locator [RFC4516] Syntaxes and Matching Rules [RFC4517]

Trang 21

LDAP: Internationalized String Preparation [RFC4518] LDAP: Schema for User Applications [RFC4519]

LDAP: Content Synchronization Operation [RFC4533]

LDAP hoạt động theo mô hình Client/Server Một client bắt đầu phiên LDAP bằng cách kết nỗi với LDAP server, qua công mặc định TCP/389 Client sau đó

gửi các yêu cầu thao tác đến server, và server gửi trả lại các phúc đáp Các yêu cầu mà client có thể gửi

Start TLS - sir dung trong phần mở rộng của LDAPv3 Transport Layer

8ecurity (TL§) đối với các kết nối an toàn

Bind - xác thực và chỉ định phiên bản giao thức LDAP Search - tìm kiếm và/hoặc lây thực thể của thư mục

Compare - so sánh nếu thực thể có tên chứa giá trị thuộc tính đã cho Add anew entry - thêm thực thể

Delete an entry - xóa thực thể

Modify an entry - sửa đổi thực thể

Modify Distinguished Name (DN) - chuyển hoặc đổi tên thực thể

Abandon - hủy yêu cầu trước đó

Extended Operation - thao tác chung được sử dụng để định nghĩa các hành động khác

Unbind - đóng kết nối

LDAP tổ chức thông tin theo dạng hình cây Mỗi cây bao giờ cũng có một gốc

(root) va che nhánh Trong các nhánh có các thực thé (entry) va mdi thực thể lại chứa một hoặc nhiều thuộc tính (attribute)

Trang 22

Direct oveMarketng =—¬ —

Hình 2 Ví dụ về Cây Thông tin Thư mục

LDAP được thiết kế tối ưu cho các thao tra cứu, tìm kiếm, xét duyệt và các

hoạt động “đọc" khác Ngoài ra do có cầu trúc khá mềm dẻo, LDAP được sử

dụng rất phổ biến trong các ứng dụng quản lý thông tin cá nhân, xác thực và cấp phép cho người dùng (authentication và authorisation), quản lý quyền truy nhập, Các ứng dụng có thể kể đến bao gồm: address books, web catalogs, whois, dict, operating system / network information services, Domain Name

Trang 23

Ung dung LDAP trong thuc té

Trong thực tế, LDAP được xây dựng như là một dịch vụ hạ tầng cho các dịch vụ và ứng dụng khác Chúng ta có thể kết hợp LDAP với giao diện WEB để

cung cấp các dich vu tra cứu như đanh bạ điện tử LDAP cũng được sử dụng cho mục đích xác thực trong MAIL, FTP, SSH, CA, RADIUS và các ứng dụng làm việc nhóm như Domino Sau đây là một ví dụ về mô hình triển khai và tích hợp LDAP với các dich vụ khác trong vùng an toàn của một DataCenter:

Hình 4 Ví dụ về kết nối LDAP với các dịch vụ trong DataCenter

Khi triển khai hệ thống LDAP trong phạm vi một mạng cục bộ, chútgP #1 thường cài đặt các LDAP server dưới dạng phân tải Điều này cho phép phân

tải dich vu LDAP trén nhiều máy chủ khác nhau và vẫn đảm bảo an toàn dữ ph

liệu eI

Tổ chức phần mềm OpenLDAP

` ` Saf

Một phần mềm quản trị LDAP mã mở được sử dụng trong thực tế là

OpenLDAP OpenLDAP server str dung các hệ quản trị cơ sở dữ liệu có sẵn để

lưu dữ liệu như Berkeley DB, LDIF, SQL, Perl/Shell,

-ĐfdEM 2 SNE Data stor

3P3/IMAPiSMTP_ RADIUS Prt aguas Id sponses

Publ

Hình 5 Mô hình tổ chức của LDAP Server

OpenLDAP là một bộ phần mềm có nhiều tính năng và nó được tổ chức dưới

dang các module

Trang 24

© slapd - stand-alone LDAP daemon (erver)

© slurpd - stand-alone LDAP update replication daemon © Cfcmodule hé tr¢ bao gm backends va che overlays © cdc thu-vién ting dung giao thức LDAP, và

© cde céng cụ, tiên ích, và các ví dụ v8 Clients

Slapd: stand-alone LDAP daemon (server)

Tiến trình chính slapd là một tiến trình độc lập dùng để giao tiếp với LDAP

Client, tải các Backends, các Overlays, Các tính năng được tích hợp sẵn trong slapd bao gồm:

«Đọc cấu hình tử tập hoặc từ thư mục Tải các backeends, các overlays và mở các tiến trình khi được yêu cầu

© _ Nghe các yêu cầu kết nối từ LDAP Client qua cổng TCP/IP

© Quin lý đăng nhập và xác thực

©_ Quản lý quyền truy cập ACL

Slapd cé thể chạy như một tiền trình độc lập Theo mặc định slapd nghe trên

cổng TCP/389 và TCP/636 Tử phiên bản 2.3, ta có thể lưu cấu hình hoạt động

cho slapd tir mét trong hai dang:

© Kiéu ct dạng tệp, với tập mặc định thường là /etefopenldap/slapd.conf (cầu hình tĩnh) như ở các phiên bản trước đó,

s Dang mới cấu hình động thường lưu trong thư mục /etelopenldap/slapd.d Việc cấu hình động cho phép slapd chấp nhận các theo tác cấu hình mà không đòi hỏi khởi đông lại máy chủ

Slurpd: stand-alone LDAP up date replication daemon

Tiến trình hỗ trợ tạo bản sao slurpd cũng là một tiến trình độc lập Slurpd có thể

được khởi đông thông qua slapd hoặc được người dùng chạy trực tiếp tử dòng lệnh Từ phiên bản 2.4, slurpd da bi thay thé băng syncproy

Trang 25

Cac “backend”

Backends 1 các module thuộc OpenLDAP được sử dụng để làm giao diện giữa

LDAP với một dạng CSDL nào đó, ví dụ để kết nối với một CSDL thực như

BDB, HDB, SQL, .; hode voi mdt dang CSDL ảo như LDIF, Perl, Shell,

LDAP, META, ., Chúng ta cũng có thể sử dụng backend Monitor dé theo déi

trạng thái hoạt động của bản thân OpenLDAP Các “Overlay”

Overlays là các rnodule dùng để tăng cường hoặc rnở rộng tính năng cho slapd Chúng có thể do bên thứ ba cung cấp Ví dụ chúng la có “overlay” Access

Logging, Audit Logging để hỗ trợ việc lưu lại các thao tác truy cập, sửa đổi Có

các Overlays liên quan đến việc quản trị dữ liệu bên trong của LDAP như Constrains, Value Sorting, Dynamic Groups

Trang 26

Chương 2 CÁC GIẢI PHÁP ĐỒNG BỘ ĐÃ CÓ TRONG

OPENLDAP24

Giới thiệu

Tạo bản sao tự động là một yêu cầu bắt buộc đối với các ứng dụng CSDL nhằm

mục đích bảo đảm sự an toàn dữ liệu và khả năng phân tải cho toàn hệ thống

OpenLDAP cung cấp nhiều cơ chế để tạo bản sao cho thư mục Các phiên ban

OpenLDAP trước 2.4 cho phép tạo bản sao theo mô hình một Master và các Slave Một Master chấp nhận các cập nhật từ các Clients, và các 8lave chỉ có

thể sao chép dữ liệu từ một master duy nhất Cấu trúc tạo bản sao được định nghĩa một cách cứng nhắc và một cơ sở dữ liệu chỉ có thể hoặc là Master hoặc

là Slave

Phiên bản OpenLDAP 2.4 mở rộng các cơ chế tạo bản sao và đưa ra khái niêm “provider” và “consumer” Ngược là với nô hình cứng nhắc dạng masterfslave, các provider cấp các bản sao cho consumer, và các cơnsumer cũng có thể cùng, cấp các bản sao cho các consumer khác, có nghĩa nó có thể đồng thời làm cả chức năng provider và consumer Một điểm đặc biệt là các consumer không

nhất thiết là LDAP Server, nó có thể chỉ là một LDAP Client

Slurpd và mô hình đồng bộ Master/Slave

M6 hinh hoạt động của slurpd

Slurpd là phiên bản đồng bộ đầu tiên của OpenLDAP được thừa kế từ UMichs

LDAP Slurpd 14 mét tiên trình ngầm chay độc lập đối với Slapd Cơ chế siupd chỉ thao tic trong chế độ đẩy được khởi tạo từ phía Master Nguyên tắc hoạt động của Slurpd như sau

OpenLDAP server duoc cấu hình để ghi các thay đổi cần được đồng bộ ra một

tập nhật ky (replication log file) Tập này có khuôn dạng LDTE

Tiến trình slurpd đrên phía master) xem tập nhật ký để biết các thay đổi và tiến hành cập nhật các slave theo xắp đặt

Các thay đổi không thể cập nhật được lưu vào trong tập “rejection log”

Slurpd có thể chay ở chế độ phát một (*oneshot mode”, và đòi hỏi can thiệp bằng tay) với tủy chọn “-o” để xử lý lại tp “rejection log”

Trang 27

rece) eens) Hình 6 Cơ chế hoạt động của siurpd Hạn chế của cơ chế đồng bộ sử dụng Slrpd

Slurpd có một số hạn chế ngắn gơn như sau: s_ Nó đã không đáng tin cây

s_ Nó đã vô cùng nhạy cảm với thứ tự các bản ghỉ trong replog

© 6 cé thé rất dã bị lệch đồng bộ, tại điển đó đòi hỏi có sự can thiệp

bằng tay để đồng bộ lại CSDL slave với thư mục của master

«Nó đã khơng thực sự dung thứ với các máy chủ không sẵn sàng Nếu một slave bị dừng trong khoảng thời gian dài, replog có thể phình to trở thành quá lớn để slurpd xử lý

s_ Nó chỉ hoạt đông theo chế độ đây

®ˆ Nó đòi hỏi dùng và khỏi động lại master khi bỗ xung một slave méi

© Nó chỉ hỗ trợ tạo bản sao tử một master duy nhất

SyncRep và mô hình đồng bộ Consumer/Provider Toạt động của Syncrepl

Động cơ tạo bản sao LDAP Syne Replication, goi tit 1A syncrepl, 1a mot dong

co tao ban sao phia consumer qua đó cho phép máy chủ conster LDAP duy trì hình bóng bản sao lưu của một phân nhánh cây thông tin thư mục DIT

Trang 28

Synerep! được bắt đầu phát triển từ năm 2003 và đến nay đã được ghi nhận

trong tài liệu quản tri OpenLDAP va trong RFC 4533 - “LDAP Content

Synchronization Operation” Động cơ syncrepl nằm tại censuzmer và thực hiện như một tuyến của siap4(8) Nó tạo và duy trì một bản sao ở conszner bằng

cách kết nối đến nhà cung cấp bản sao feplicatien provider) đễ thực hiện khởi tạo việc tải nội dung DIT, tiếp theo là lây nội dung cập nhật định kỳ hoặc theo thời gian khi nội dung thay đổi

Syncrepl sử dụng giao thức LDAP Content Synchronization (hay gọi ngắn gọn

la LDAP Sync - RFC4533) nhu 1a giao thức đồng bộ bản sao Giao thức LDAP Syne cho phép client duy trì bản sao đồng bộ của một phân đoạn DIT Thao tác

LDAP Sync duge dinh nghĩa như là một tập các điều khiển và các thành phần

giao thức khác đùng mở rộng thao tác tìm kiếm của LDAP

LDAP Sync cung cấp bản sao theo trạng thái với hỗ trợ cả hai đạng đồng bộ

dựa trên cơ chế kéo (pull-based) và đẩy (push-based) và không bắt buộc sử dụng bản nhật ký sự kiện Trong tạo bản sao dạng kéo (pull-based), consurner định kỳ thăm đò provider đối với các cập nhật Trong tạo bản sao dạng đây, consuuner lắng nghe các cập nhật được gửi từ provider trong thời gian thực Vi giao thức không đòi hỏi lưu giữ lịch sử các sự kiện, prøvider không cần duy trì bắt kỳ bản nhật ký nào về cập nhật mà nó nhận được (am ý là động cơ symerepl có thể mở rộng và các giao thức bỗ xung khác có thể được hỗ trợ trong tương lai)

Synerepl lưu vết trang thái của nội dung tao bản sao bằng cách duy trì và trao đối các cookies đồng bộ Vì syncrep! consumer va provider duy tri trang thai nội dung, consumer có thể thăm đò nội dung tại provider để thực hiện việc đồng bộ gia tăng bằng cách hỏi các đầu mục được yêu cầu để bản sao của consurner được cập nhật phủ hợp với nội dung của provider Syncrepl cũng cho phép quản trị thông thường đối với bản sao bằng cách duy trì trang thái bản sao Bản sao của consumer có thể được xây dựng ở phía consumer-side hoặc ở bản sao dự phòng của provider-side tai trạng thái đồng bộ bất kỳ Syncrepl có thể tự động đồng bộ lại bản sao của consumer để cập nhật phủ hợp với nội dụng hiện thời của provider

So với cơ chế đồng bộ qua “slurpđ”, Syncrepl có các ưu điểm sau:

© Synerepl là hy đồng bộ, chúng ta có thể bắt đầu chạy CSDL consumer tai

mọi trang thái từ lúc rỗng hoàn toàn cho đến khi tất cả được đồng bộ và nó tự động làm các việc cần thiết để hoàn thành và duy trì sự đồng bộ

«_ Nó hồn tồn khơng nhạy cảm với thứ tự thay đổi đã xây ra

© Né dim bảo độ hội tụ giữa nội dung consumer và provider mà không cần can thiệp bằng tay

Trang 29

© Né 06 thể đồng bộ lại không quan tâm đến thời gian consumer bi nim ngoài liên kết ới provider

© Syncrepl có thể hoạt động theo hai hướng

© Consumers có thể được bổ xung vào thời điểm bất kỳ mà không cần cham dén provider

© Céhé tro sy tao ban sao ty nhiéu master (Multi-master rep lication)

Hoat dng ciia Syncrep] trong ché 44 keo - “refreshOnly”

Syncrepl hoạt động được bằng cách kết nối và trao đổi thông điệp Trong chế đô kéo (Pull-based), quy trình thực hiện theo các bước sau:

© consumer thực hiên việc kết nối với Provider và gửi cho Provider yéu

cầu tìm kiếm với Syne Request Control cé ché dé 1a “resfreshOnly”

© Provider sé trả lại nội dung phủ hợp với yêu cầu tìm kiếm và với mỗi

đầu mục nó sẽ cung cấp một Sync State Control có chứa “enryUUTID” Kết thúc là thông diép Syne Done Control cé chita syncCookie - thé

hiện trang thái hiện tại của phiên kết nối

© Consumer thim dd che cập nhật bằng cách công bố syncCockie của nó © Provider x4c định pha làm việc là xóa hay xuất hiện Nếu pha xuất hiện,

nó cung cấp cho khách hàng bản sao cho đến thời điểm có thể bắt đầu pha xóa Máy chủ sử dụng syneCookie để xác định điểm đồng bộ Các đầu mục sau điểm đó được coi là đã bị thay đổi và tất cả các thuộc tính

sẽ được gửi về

©_ Consumer tiếp tục sử dụng syncCookie bằng cách quay lại bước 3

Trang 30

Client Server 2 tntial client copy Syne request - search reguest

wish Syne Request Contra itn mode s

2a, Returns content matching search and with each entry provides a Syne State Control which cantains the 'entyUUIP' 2b Follows with a SearchResukDone ‘with aSync Done Contror wih provides the syneCookle- this cookie represents the sess.on state

5 Fols for updates providing the Previously issued syncCockie

4a, Use prese Bath car be

ent or oelete phase? tú, present brings Client copy up to 4 point where delete can begin

4b, Server uses syneCeckie incicator o* what clert got before and as an then sends copies of entries that have changed, All attributes are sert

'5 Repeat using syncCookie, Le 99 back to step 3

Hinh 7: Hoat déng ciia Syncrepl trong chế độ kéo - “refreshOnly”

Hoạt động của 5yncrep] trong chế độ đẩy và duy trì- “refreshA ndPersist” Giống như trên, Consumer thực hiện việc kết nối với Provider và gửi cho

Provider yêu cầu tìm kiém véi Syne Request Control có chế độ là “resfreshAndPersist”

Như chế độ RefreshOnly, Provider sẽ trả lại nội dung phủ hợp với yêu cầu tìm

kiếm và với mỗi đầu mục nó sẽ cung cấp một Sync State Control có chứa

“entryUUTDP” Kết thúc là thông điệp Sync Info Message thông báo trang thái làm tươi kết thúc và chuyển sang trạng thái lưu ký

Khi nhận được Syne Info Message, client sẽ thiết kế bản sao như được mô tả trong refreshOnly Từ đây server có thể gửi các thông báo thay đổi đến cho

client dua trén Syne Search Request ban đầu Client nhận từng đầu mục được

trả về, trong đó sẽ có Sync State Control được đặt là A dd, Delete hotic Modify

Sau dé né tiép tue doi Server gửi các thay đổi khác Server có thể kết thúc 8yne

Operation, Néu nó không cung cấp cookie, việc làm tươi toàn bộ là bắt buộc

Client sẽ làm tươi nếu bị ngắt kết nối, nó sẽ cung cấp syncCookie nếu có

Trang 31

Client Server 1 but

set srelreshOnly reques nandPersist mode

2a, Same as efreshOnly mode 2b This time send a Sync Into Message to client indicating relresh stage is done ard then enters the 3 Ater receiving the message, persist stage

the client will construct 2

‘synchronized copy as described inthe refreshOn'y made '“——_

4 Server can new sen change retiieations tased on original Syne Sa, For retuned entries the ‘SearchResultEntry will Search Request

Syne State Central se to fade, delete oF modify

Sb vais for server to send entries r may terminate Sync Operation, provide a cookie, a ful weeded by cient 7 Client refresh: <_ and proves last if disconnects —

Hình 8: Hoạt động của 8yncrepl trong chế độ đây - “refreshAndPersist” Các đặc điểm của Syncrepl

Syncrepl có các đặc điểm sau:

© Co ché tao ban sao dang kéo Pull-based replication) - Consumer thường xuyên truy vấn provider về các thay đổi @heo khoảng thời gian đã định) © Cơ chế tạo bản sao dạng đẩy (Push-based replication) - consumer

nghefchờ thay đổi được gửi từ provider trong thời gian thực

© Syncrepl theo déi trang thái của việc tạo bản sao bằng cách duy trì và trao d8i “synchronization cookies”

© Ban sao tại Consumer có thể được xây dựng từ các bản backups ở tại consumer-side hoặc từ phía provider-side với trạng thái bất kỳ,

©_8ynerepl có thể tự động tạo bản sao và cập nhật bản sao với nội dụng hiện thời của provider Nhật ký phiên (session log) có thể được dùng tại

phía provider để lưu các entryUUIDs của một số giới hạn các đầu rnục

đã bị xóa khỏi CSDL, qua đó có thể sử dụng trong pha xóa (delete

phase) LDAP Syne provider duy trì một contextCSN trong tiền tố đầu muc (change sequence number = CSN) Đó là entryCSN cao nhất trong

ngữ cảnh của provider @hụ thuộc vào phiên giao dich) contextCSN

Trang 32

được duy trì trong bộ nhớ và được ghỉ ra đĩa cứng khi tắt máy, nhưng có

thé được đánh dấu (checkpointed) định kỳ Toàn bộ CSDL sẽ được quét nếu contextCSN không được tìm thấy và một cái mới sẽ được sinh ra

Consumer cfing uu trang thai tao ban sao, trong dé contextCSN của

provider được nhận về như là mét “synchronization cookie” s_ Các Consumer mới không thay đổi cầu hình của provider s_ Không cần khỏi đông lai provider

© Vide tao bản sao trên Consurner có thể dừng bất kỳ lúc nào và không đòi hỏi phải khởi đông lại hoặc thay đổi trên phía provider

Cac han ché cia LDAP Sync

LDAP Syne duoc x4y dựng dựa theo cơ chế tạo bản sao với cơ sở là các đầu

mục Nó sao lưu cả các thuộc tính bị thay đổi lẤn không bị thay đỗi dẫn đến việc sinh ra lưu lượng truyền tải lớn ngay cả khi có thay đổi nhỏ (Ấy ví dụ khi chúng ta có các đối tượng với kích thước trung bình 2kB/đối tượng Nếu thay

đổi thuộc tính userPassword Qhoảng 128 bytes) cho khoảng 2000 đối tượng, chúng ta có thể phải truyền tải lại toàn bộ lượng dữ liệu ào khoảng 4.0 GB,

trong đó chỉ khoảng 6.5% đữ liệu là có ích), Có thể sử dụng Delta-syncrepl để khắc phục hạn chế này

Delta-syncrepl

Delta-Syncrepl 1A mét phién bản biến thể của syncrepl Nó duy trì nhật ký về

các thay đổi trên phía provider Consurner kiểm tra sự thay đổi mà nó cần Nếu

sự tạo bản sao vượt quá ngưỡng cho phép, nó chuyển về chế độ syncrepl thông thường Sau khi đồng bộ, lại chuyển về chế độ delta-syncrep!

Trang 33

Bao cdo ting hop

Trang 34

Chương 3: NHU CAU DONG BỘ PHI ĐÓI XỨNG

Nhu cầu thực tế

Cùng với sự phát triển của công nghệ thông tin, các hệ thống mạng tin học đang dần được triển khai trên diện rộng từ cấp trung ương đến tỉnh/thành và xuống đến cấp huyện/thị Đi kèm với việc mở rộng này, các dịch vụ cơ bản như

DNS, LDAP, MAIL, cũng được triển khai theo xu hướng để hình thành một

hệ thống rang phân cấp đa lớp Tuy nhiên do đặc thủ hoạt động, khi triển khai dịch vụ LDAP và thư điện tử, chúng ta đã gặp phải khá nhiều khó khăn trong việc đồng nhất và đồng bộ dữ liệu trên diện rông,

Chúng ta cùng xem xét rô hình quản lý thông tin gồm nhiều cấp bao gồm

Trung Ương, Tỉnh/Thành và Huyên/Thi Trong tổ chức mạng này có thể phân loại các mạng con thành các cấp 0, cấp 1 và 2 Mỗi cấp có một hoặc nhiều don vị Mỗi đơn vị có một mạng cục bộ và được quản lý bởi một hay nhiều máy chủ LDAP Máy chủ LDAP cung cấp các địch vụ xác thực cho các ứng dụng, cục bộ, đồng thời phải có nghĩa vu bảo đảm sự đồng nhất về đữ liệu với toàn bội các cây thư mục còn lại trong hệ thông,

capa

6 6 @

che 224 Hình 10: Tổ chức cây thông tin phân cấp

Trong mô hình phân cấp mỗi máy chủ LDAP chịu sự quản lý trực tiếp của một một máy chủ LDAP ở vùng trên và có thể quản lý một hoặc nhiều đơn vị vùng cấp dưới Các quy định về tổ chức cây thông tin và quyền truy nhập sẽ được

khai báo và cập nhật tại các máy chủ cấp trên (í dụ cấp 1), sau đó được gửi xuống cho các máy chủ cấp dưới (cấp 2), Các thông tin chỉ tiết về con người, địa chỉ, mật khẩu, sẽ được thực hiện tại các máy chủ cục bộ cấp 2, sau đó phải cập nhật ngược về máy chủ cấp trên (cấp 1)

Lộ trình khai báo và cập nhật thông tin sẽ được thực hiện như hình sau:

Trang 35

nan nat cay thing in va thé lap các ee thông tin từ [tát lập cay thông lintồngthệ [Tao lạp Account và [cập nhật thong tin thánh cáp dưới may cáo rên, Cáp nat DIT lu ci tau lên cáp trên Phan loa, lva chen Kt tin 8 ap gt ngược Bộ lọc thông tín Máy chủ cấp 1 Máy chủ cấp 2

Hình 11: Tổ chức cập nhật thông tin trong mô hình phân cấp Bước 1 Thiết lập cây thông tin và ACL đại máy chủ cấp 1):

«_ Khai báo và thiết lập cây thông tin tổng thể

«_ Tạo các phân nhánh và thiết lập ACL cho các đơn vị cấp dưới

Bước 2 Các đơn vị cấp 2 tải cấu trúc và cập nhật cây thông tin màn bản thân

được phép quản lý, bao gồm các cơng đoạn

© _ Nhận thông tin tử máy chủ cấp 1, tạo lập DIT cục bộ

© Thi lp thi khoản cục bộ, cập nhật các thông tin cần thiết (tên, địa chỉ,

>

© Lua chon ofc théng tin clin cfp nhat ngược lên cấp trên và gửi dữ liệu lên cấp trên để cập nhật

«_ Máy chủ cấp 1 qua bô lọc lựa chọn các thông tin cần thiết và cập nhật lại

vào cơ sở đữ liệu của mình

Trong mô hình hoạt động nêu trên, chúng ta nhận thấy các nhánh và các thực thể trong cây thông tín thư rnục bị tác động bởi nhiều tác nhân và trong nhiều giai đoạn khác nhau, trong khi nhu cầu bảo đảm sự đồng nhất và toàn vẹn đữ liêu là rất cần thiết

Khi triển khai hệ quản trị LDAP thông qua OpenLDAP phiên bản 2.4, nếu việc

quản trị LDAP được thực hiện trong phạm vi một rạng cục bộ, chúng ta có thể sử dụng các công nghệ đã tích hợp sẵn như Replica (đang Master/Slave) hoặc

Trang 36

SynoRepl (dang Provider/Consumer) d phan tai và đồng bộ dữ liệu, Tuy nhiên khi triển khai các mô hình trên một cách cứng nhắc trên phạm vi mạng điện rông trong mô hình phân cấp, chúng ta sẽ gặp các vẫn đề

© Cac may chi OpenLDAP chỉ có thể đóng một vai duy nhất trong một

thời điểm, đó là chỉ có thể hoặc là Chủ đMaster, Provider) , hoặc chỉ là

Bi déng Slave, Consumer),

© Các cập nhật trực tiếp từ LDAP Client chỉ có thể thực hiện trên Master hoặc Provider sau đó mới được đây xuống cho Slave/Consumer

©_ Việc cập nhật cây thông tin bừ nhiều nguồn theo mô hình phân cấp cần một cơ chế riêng nhưng vẫn phải đảm bảo sự tương thích hoàn toàn với

hoạt động nền tảng của hệ phần mềm OpenLDAP vẫn chưa được xây

dựng và tích hợp vào nhân OpenLDAP 2.4

Với thực tế như trên, chúng tôi mới đề xuất “Nghiên cứu và xây dựng giải pháp

đồng bộ ngược áp dung cho hệ quan trị cây thư mục OpenLdap phiên bản 2.4” Mục tiêu của đề tài là giải quyết được các vấn đề liên quan đến việc bảo đảm

sự đồng nhất và toàn ven dữ liêu của cây thư mục trên phạm vi mang diện rông

đã cấp

Xây dựng khái niệm đồng bộ phi đối xứng

Phần này giúp chúng ta hiểu về cơ chế đồng bộ phi đối xứng, qua đó có thể xây dựng được các yêu cầu cụ thể cho bài toán đồng bộ thực tế ở phần tiếp theo

'Vai trỏ của các máy chủ trong đẳng bộ phi đối xứng

Trong mô hình đồng bộ phi đối xứng, các máy chủ được chia thành các lớp

(xem hình 1: Tổ chức cây thông tin phân cấp), tại đó mỗi máy chủ LDAP chịu sự quản lý trực tiếp của một một máy chủ LDAP ở vùng trên và có thể quản lý

một hoặc nhiều đơn vị vùng cấp dưới Dữ liệu được trao đổi, đồng bộ giữa các cấp liền kề nhau và không có sự vượt cấp; vì vây có thể xem xét mô hình thu nhỏ của đồng bộ phi đối xứng ở hai máy chủ liễn cấp nhan là cấp 1 và cấp 2 (em hình 6: Tổ chức cập nhật thông tin trong mô hình phân cấp) Trong đồng, bộ dạng Master/Slave cũng như ProviđerConsumer, chúng ta nhận thấy có sự khác biệt rõ rằng giữa nhà cung cấp dữ liệu và người nhận dữ liệu Trong mô hình đồng bộ phi đối xứng, sự phân tách vai trò là không rõ ràng vì đữ liệu được tạo ra bừ cả hai hướng và việc tạo bản sao được thực hiện tại cả hai cấp, Việc chuyển vai giữa hai cấp là khá mong manh và có thể xảy ra bất kỳ lúc nào

Trang 37

Thuật ngữ Superior và Subordinator

Trong LDAP có hai cặp khái niệm thường được sử dụng trong mô hình tạo bản sao là chủđớ (master / slave) va “người cung cấp”người tiêu thụ” (provider/consumer) Một khái niệm khác cũng được sử dụng là “nhà xuất bản” (provider) va “ngudi tiêu ding’ (consumer) để thay cho cấp provider/consumer

ĐỂ phân biệt giữa các rnô hình đồng bộ, chúng tôi đề xuất sử dụng một cặp thuật ngữ để sử dụng trong cơ chế đồng bộ phi đối xứng là Superior và Subordinator, Một máy chủ có thể là superior của nhiều subordinator đồng thời có thể là subordinator của một superior khác

Phân loại dữ liệu có trong thực tế hoạt động

LDAP quản lý cây thư mục theo dạng hình cây, bao gồm cây thông tin (DIT) và các đầu mục (entries) Để thuận tiện cho việc xây dựng chính sách quản lý ACL cũng như việc trao đổi thông tin trong đồng bộ phi đối xứng, chúng ta chia vùng dữ liệu thành các phân vùng dữ liên như sau:

© Local data (dữ liệu cục bộ): vùng dữ liêu dùng riêng cho từng máy chủ, vùng dữ liệu này không được xung đột với cây thơng tin tổng thể

© Global data loai 1: ving dir liu tổng thể do máy chủ cấp 1 Guperior) quản lý và cập nhật, các máy chủ cấp 2 &ubordinator) có quyền truy vấn nhưng khơng có quyền sửa đổi

© Global data loại 2: vùng dữ liệu tổng thể do cả máy chủ cấp 1 và cấp 2

cùng quản lý và cập nhật

© Global data loai 3: viing dif ligu ting th8 do may chi cp 1 Guperior) quy định cho máy chủ cấp 2 (subordintor) quản lý và cập nhật, bản thân máy chủ cấp 1 có thể truy vấn nhưng không có quyền sửa đổi dữ liệu trong phân vùng này

Trong hình 13 (ví dụ về phân vùng đữ liệu) ta có hai máy chủ GOV server (superior) và HN server (subordinator); trong đó có:

© Hai viing dtr liu cục bộ (đe=loeal) thuộc hai máy chủ,

© Mét viing Global data loai 1 do GOV server quản lý HN server có thể

tham khảo và sao chép về bản thân HIN server néu cần thiết

Trang 38

® Miột vùng Global data loại 2 do GOV server quy định về tổ chức cây và

các đầu mục, nhưng chỉ tiết các dữ liệu bên trong của từng đầu mục ở vùng này lại đo cả hai server cùng cập nhật, sửa đổi

«Một vùng dữ liệu thuộc global data loại 3 do HN server quản lý và cập nhật Dữ liệu được tạo bản sao lên GOV server một cách tự đông,

Phân quyền trên vùng dữ liệu Quyén ctia Superior:

© Superior có quyền quy định và tao, sửa đổi các cây thông tin và các đầu muc thudc ving global data loại 1, 2

© Superior có quyền quy định (và tạo lần đầu) đối với đỉnh của cây thông

tin thuộc vùng dữ liêu global data loai 3

© Superior chỉ có quyền can thiệp vào các vùng dữ liệu cục bộ của máy chủ cục bộ

Quyền của Subordinator:

© Subordinator phải tuân thủ trong việc tạo các cây thông tin đã được quy định chung cho tồn hệ thếng

© Subordinator cé quyền tạo va quản lý các dữ liêu thuộc phân vùng cục bộ phục vụ công tác hoạt động cục bộ

© Supordinator cé quyền truy vấn nhưng không có quyền sửa đổi dữ liệu

thuộc ving global đata loại 1

* Supordinator có quyền truy vấn và quyền sửa đổi dữ liệu thuộc vùng global data loai 2, loai 3

Quản lý quyền cập nhật

Để quản lý quyền truy cập dữ liêu, chúng ta cần thiết lập chính sách quản lý truy cập (ACL) như sau:

Trang 39

© Ving local data: tray cập cục bộ 06 thé doc/ghi/sira/xéa; che truy cập từ bên ngoài bị ngăn cắm

© Vang global data loai 1: superior cé quyền đọo/gh/sửa/wóa, các subordinator có quyền đọc

© Vang global data loai 2: c& superior va subordinator déu có quyền

đoc/phi/sửa/xóa,,

© Ving global data loai 3: Riêng đổi với đỉnh của cây thông thuộc global data loai 3, superior có quyền đọc/ghi/sửa nhưng không có quyền xóa Đối với dữ liệu bên dưới nhánh cây này, superior có quyền đọc,

subordinator có quyền đọcfghi/sửa/xóa Nhận xét

Trong mô hình đồng bô phi đối xứng ở trên, chúng ta nhận thấy khả năng xung đột chỉ xây ra ở phân vùng đữ liệu Global đata loại 2, khi ở đó cả superior và subordinator có quyền cùng cập nhật và sửa đỗi dữ liệu Các dữ liệu thuộc local data và global data loai 1, loại 3 chỉ do một phía cập nhật nên không có sự ung đột Vì lý do trên, khi xây dựng giải pháp đồng bộ phi đối xứng, chúng ta cần tập chung giải quyết xung đột trên phân vùng global data loại 2 Một đặc điểm quan trọng cần lưu ý là vai trò của các tác nhân tham gia vào vùng dữ liệu global data loại 2 là “gần như” ngang hàng, tùy theo cách tổ chức quyền cập nhật đữ liệu

Trong phần sau chúng ta sẽ nêu ra các yêu cầu cần thiết cho việc đồng bộ dữ liêu trén ving “global data”

Ngày đăng: 06/10/2023, 10:27

TÀI LIỆU CÙNG NGƯỜI DÙNG

TÀI LIỆU LIÊN QUAN

w