4. Đối tƣợng phạm vi nghiên cứu
4.2.2. Lựa chọn hệ quản trị CSDL
Cơ sở dữ liệu cấu hình ảo hóa trên XEN phải dùng lại của các tài nguyên sẳn có của hệ thống. Do đó việc lựa chọn hệ quản trị CSDL là rất quan trọng. Dữ liệu dữ kiến tạo lập trong hệ thống là các dữ liệu dạng: dữ liệu cấu trúc, dữ liệu văn bản, dữ liệu đa phương tiện và dữ liệu bản đồ. Hiện nay có rất nhiều hệ quản trị CSDL thông dụng như SQL Server, Oracle, Interbase, Sysbase, Informix, MySQL, PostgreSQL… Tuy nhiên qua phân tích tài liệu kỹ thuật, phân tích hiện trạng thực tế, phương án lựa chọn hệ quản trị CSDL chính là SQL Server 2008 và PostgreSQL 9.
Máy chủ ảo hóa cài đặt SQL Server 2008:
- CSDL này có thể lưu trữ và xử lý được tất cả các dạng dữ liệu hiện có của đơn vị.
- Đây là hệ CSDL được sử dụng phổ biến, là sự lựa chọn tối ưu nhất cho các bài toán quản lý dữ liệu vừa và lớn.
- Hệ quản trị này phù hợp cho cả mô hình client/server lẫn mô hình web. - Khả năng quản trị dễ dàng hơn so với các hệ thống quản lý dữ liệu khác. - Bảo mật cao.
- Dễ dàng tích hợp với các hệ thống thông tin hiện có của đơn vị. - Khả năng nâng cấp phát triển dễ dàng.
- Tính ổn định cao.
- Khả năng tích hợp rất tốt. - Chi phí bản quyền vừa phải.
Máy chủ ảo hóa cài đặt PostgreSQL 9:
- Đây là hệ CSDL mã nguồn mở được sử dụng khá phổ biến, là sự lựa chọn tối ưu cho các bài toán quản lý dữ liệu vừa và lớn.
- CSDL thích hợp cho các hệ phần mềm mã nguồn mở cũng như các hệ phần mềm ứng dụng chạy trên nền .Net Framework, phù hợp với các hệ phần mềm đang khai thác sử dụng tại Nhà trường.
- Hỗ trợ được các dạng dữ liệu khác nhau.
- Hệ quản trị này phù hợp cho cả mô hình client/server lẫn mô hình web. - Khả năng quản trị dễ dàng.
- Bảo mật cao.
- Dễ dàng tích hợp với các hệ thống thông tin hiện có của đơn vị. - Khả năng nâng cấp phát triển dễ dàng.
- Tính ổn định cao.
a. Lựa chọn giải pháp xác thực và quản lý người dùng tập trung
Quản lý người dùng tập trung bằng việc xây dựng cơ sở dữ liệu người dùng sử dụng giao thức LDAP để xác thực. Thiết lập một máy chủ quản trị người dùng dựa trên công nghệ LDAP, máy chủ này còn gọi là LDAP server.
Phương pháp cấp phát tài khoản người dùng như sau: Mỗi cá nhân hoặc đơn vị trong Nhà trường sẽ được cấp 1 tài khoản truy cập. Tài khoản truy cập này sẽ được
sử dụng để đăng nhập vào các phần mềm. Việc quản lý người dùng tập trung như vậy tránh cho việc sử dụng nhiều tài khoản ở các hệ thống phần mềm khác nhau, giúp cho người sử dụng dễ dàng hơn khi đăng nhập vào nhiều phần mềm khác nhau được cài đặt tại đơn vị.
Việc quản lý người dùng được tổ chức theo mô hình 2 lớp: - Lớp người dùng tập trung như đã nói ở trên.
- Lớp người dùng cục bộ: Là CSDL người dùng chỉ liên quan đến từng phần mềm. Trong CSDL người dùng cục bộ, với mỗi tên đăng nhập sẽ có các quyền sử dụng chức năng phần mềm và quyền đối với từng bản ghi dữ liệu.
Theo cách thức tổ chức như vậy, phương pháp xác thực đăng nhập được thực hiện theo thuật toán sau đây:
1. Đầu tiên khi người sử dụng đăng nhập vào phần mềm, nó sẽ được xác thực trên máy chủ LDAP trước. Nếu tên truy cập và mật khẩu có trong CSDL người dùng trên máy chủ LDAP, nó sẽ trả về trạng thái OK. Khi đó, thông tin về người dùng này sẽ được cập nhật vào trong CSDL cục bộ của phần mềm. Tiếp theo, nó kiểm tra quyền sử dụng chức năng phần mềm trong CSDL cục bộ để cho phép hoặc không cho phép người dùng sử dụng những chức năng nhất định của phần mềm.
2. Trong trường hợp xác thực trên máy chủ LDAP không thành công, nó sẽ quay về xác thực trên CSDL người dùng cục bộ như bình thường.
3. Và nếu như việc xác thực trên CSDL người dùng cục bộ cũng không thành công thì người dùng sẽ không đăng nhập được vào phần mềm.
b. Lựa chọn giải pháp phân quyền mức ứng dụng và CSDL
CSDL của hệ thống triển khai tập trung nhưng các phần mềm thì phân tán và do đó việc cập nhật khai thác dữ liệu sẽ phân tán, cho nên việc quản lý sử dụng hệ thống dựa trên nguyên tắc phân cấp, phân quyền.
Đối với các hệ thông tin triển khai, cần quản lý người dùng ở 2 khía cạnh: khía cạnh ứng dụng và khía cạnh tài nguyên dữ liệu.
- Về mặt ứng dụng: Thiết kế các nhóm quyền sử dụng chức năng hệ thống tương ứng với mỗi loại/nhóm người dùng. Mỗi người dùng tham gia sử dụng khai thác hệ thống được gán quyền sử dụng tương ứng. Muốn sử dụng các chức năng của hệ thống, người sử dụng phải đăng nhập vào hệ thống và khi thực hiện một ứng dụng hay một chức năng nào đó của hệ thống thì quyền sử dụng của người đó sẽ được kiểm tra xem có được phép hay không.
- Về mặt tài nguyên dữ liệu: Vì hệ thống có rất nhiều dữ liệu nghiệp vụ khác nhau thuộc quyền quản lý và khai thác của các cá nhân đơn vị khác nhau, nên việc phân cấp phân quyền dữ liệu khá phức tạp. Do dữ liệu của hệ thống bao gồm dữ liệu lưu trong CSDL (dạng dữ liệu có cấu trúc, dữ liệu văn bản, dữ liệu đa phương tiện, dữ liệu bản đồ) và dữ liệu lưu dưới dạng file, nên biện pháp phân quyền phân cấp như sau:
+ Đối với CSDL được coi là một đối tượng tài nguyên, một Table trong CSDL cũng là một đối tượng tài nguyên, một bản ghi cũng là một đối tượng tài nguyên thậm chí đến từng trường trong bản ghi đó cũng có thể xem là một tài nguyên cần quản trị. Tùy theo tính chất của dữ liệu mà chúng ta can thiệp vào CSDL đến mức nào.
+ Đối với dữ liệu dạng file, sử dụng CSDL để mô tả và đường dẫn cụ thể đến các file đó, còn trực tiếp quản lý file lại là hệ điều hành. Hệ điều hành cho phép ai vào thư mục nào, cho phép ai nhìn thấy file nào, được sửa file nào… Do vậy khi xây dựng hệ thống quản lý, phân cấp phân quyền các tài nguyên ở dạng file cần phải kết hợp giữa cơ chế phân cấp, phân quyền của hệ thống với cơ chế phân cấp phân quyền của hệ điều hành máy chủ.
+ Toàn bộ dữ liệu của các hệ thống được lưu trữ tập trung tại Trung tâm mạng trên các máy chủ mạnh sẽ làm cho việc quản trị CSDL và kiểm soát CSDL trở nên dễ dàng hơn. Mặc dù vậy, để thuận tiện hơn trong việc quản lý, sẽ thực hiện phân cấp CSDL theo các đơn vị và các nhóm sử dụng. Các nhóm đơn vị và nhóm sử dụng sẽ được phân cấp quản lý cập nhật và khai thác vùng dữ liệu tương ứng với
các hệ thống thông tin hỗ trợ nghiệp vụ. Việc phân cấp, giao quyền vùng dữ liệu cho các đơn vị và các nhóm sử dụng sẽ được thực hiện thông qua các biện pháp kỹ thuật (gán quyền, phân vùng) và quy chế khai thác sử dụng.
+ Mỗi khi người dùng thực hiện một thao tác tác động lên dữ liệu thì hệ thống sẽ kiểm tra quyền sử dụng dữ liệu của người dùng xem có được phép hay không và nếu được phép thì ở mức độ nào (toàn quyền đối với dữ liệu, sửa ghi dữ liệu hay chỉ đọc dữ liệu).
Việc bảo mật mật khẩu và dữ liệu nhạy cảm được thực hiện mã hóa theo thuật toán mã hóa một chiều nhằm đảm bảo trao quyền thay đổi mật khẩu cho người dùng để chủ động bảo vệ quyền.
Ghi nhật ký sử dụng hệ thống để lưu lại các hoạt động sử dụng phần mềm cũng như các thao tác tác động vào cơ sở dữ liệu của người dùng. Việc ghi nhật ký sử dụng được thực hiện một cách tự động, ngoài ý muốn chủ quan của người dùng và khi có vấn đề xảy ra thì có thể truy vết người dùng.