转载:基于LDAP协议的网络监控系统架构

导读:
   摘要 LDAP协议在网络资源定位、新型网络服务、访问控制与认证信息的查询、网络安全等领域的应用越来越广泛,本文简要介绍了LDAP协议的特性,并提出了一个基于LDAP协议的网络监控系统架构。
   关键词 LDAP 目录服务 网络监控
   1. 引言
  LDAP(Lightweight Directory Protocol,轻量目录访问协议)是一个成功的目录服务协议族。随着LDAP的成功,许多新型技术为了实现信息的存储、管理和查询而使用了目录服务技术,例如在网络资源定位、新型网络服务、访问控制与认证信息的查询 [4]、网络安全、商务网的通用数据库服务和安全服务等方面,都可以使用目录服务技术来实现一个通用、完善、应用简单和易于扩展的系统。本文介绍了LDAP协议,并提出了一个基于LDAP协议的网络监控系统架构。
   2 LDAP 协议
  2.1 目录服务
  目录服务(Directory Service)是以更好的管理资源为目的的技术,它通过命名、描述和指定一个企业范围内的用户和资源来简化通信与管理,使用户可以用简单的方法就可以查找到所需的资源或其他用户信息,可以帮助管理人员收集和控制散布在企业计算机网络中的信息。利用目录服务,客户计算机可以通过信息资源的名字快速查询和定位资源,而不必关心资源的具体位置,实现对信息资源的透明访问 [3]。X.500和LDAP是两个影响较大的目录服务协议。
  2.2 X.500与LDAP
  X.500目录访问协议是LDAP的前身,由国际电信联盟ITU和国际标准化组织ISO合作制定。作为一个完整的目录服务协议,X.500定义了综合目录服务,包括信息模型、名字空间、功能模型、访问控制、目录复制、和目录协议。但是,X.500是严格按照OSI七层模型制定的,不支持TCP/IP, TCP/IP协议的流行使得X.500的应用受到了极大的限制。
  LDAP是在X.500标准的基础上产生的,最初只是一种访问X.500的方法,但现在的LDAP已经可以实现一个独立的目录服务。在继承X.500标准的同时,LDAP对X.500的某些特性进行了适当的简化和取舍,从而比X.500更简单、精练和易于应用,更重要的是LDAP支持TCP/IP协议。这些特点使得LDAP经受住了实践的检验,成为了最流行的目录服务协议。
  2.3 LDAP的主要特性
  LDAP的信息模型是建立在“条目”(entries)的基础上的。一个条目是一个属性的集合,并且具有一个全局唯一的DN(Distinguished Name)。该DN被用来唯一的引用该条目。每一个条目的属性具有一个类型和一个或多个值。类型通常是易于记忆的名称,如“CN”表示通用名称(common name),“mail”表示电子邮件地址等。条目的值的语法取决于属性类型。比如,cn属性可能取值为一个人的名字(例如“张三”),一个mail属性可能取值为“zhangsan@asite.com”,一个jpegphoto属性可能包含一张JPEG图象。
  目录条目以一个分层的树状结构加以保存。传统上,该结构是按照地理或者组织结构来构建的——条目代表国家,出现在树的顶部,下面是代表省(州)或者地理组织的条目,再下面可以是代表组织、个人甚至是打印机、文档等的条目。图1显示了一个使用传统命名的LDAP目录树的例子:
  
  
  图1 LDAP目录树(传统命名方式)
  该树也可以根据Internet域名来安排。这种命名方式正变得越来越普遍,因为这样就可以使用域名系统来定位条目。图2显示了一个基于域名的命名方式的LDAP目录树的示例。
  
  
  图2 LDAP目录树(基于Internet的命名)
  可以通过DN来引用一个条目。该DN使用如下方式构造:首先得到条目自己的名称(相对DN,RDN),然后连接上其祖先条目的名称。比如,图2的基于Internet的命名方式中的Barbara Jensen的条目,具有一个RDN:uid=babs。和一个DN:uid=babs,ou=People,dc=example,dc=com。
  LDAP定义了增加、删除、改变一个条目以及查询和更新目录的操作,但LDAP特别针对查询(“读”)进行了优化,所以LDAP特别适用于频繁读而较少写的应用。LDAP搜索操作允许搜索目录的一部分,查找匹配由某个搜索过滤器指明的规则的条目。然后就可以从匹配规则的每一个条目中获取信息。
  LDAP提供了一种机制,让客户端进行认证,或者向目录服务器验证它的身份,这样就可以为服务器上的信息提供丰富的存取控制手段。LDAP同时还支持机密性、完整性和安全性服务。
  LDAP目录基于客户/服务器方式实现。一个或多个LDAP服务器包含了组成目录信息树(DIT)的数据。客户连接到服务器并提交查询,服务器返回查询结果或者一个指向其他信息的指针(通常是另外一个LDAP服务器)。无论客户首先连接到哪一个LDAP服务器,他总能看到相同的目录视图。向不同的LDAP服务器提交相同的名字也将引用相同的条目。
  2.4 LDAP的主要应用范围
  LDAP主要应用于以下类型的应用:
  l 信息安全类:数字证书管理、授权管理、访问控制、单点登录系统;
  l 科学计算类:DEC(Distributed Computing Environment,分布式计算环境)、UDDI(Universal Description,Discovery and Integration,统一描述、发现和集成协议);
  l 网络资源管理类:MAIL系统、DNS系统、网络用户管理等;
  l 电子政务资源管理类:内部网络组织信息服务、电子政务目录体系、人口基础库、法人基础库。
   3 .基于 LDAP 的网络监控系统
  3.1系统描述
  网络监控系统最常用的架构是C/S架构 [2]——被监控端驻留在被监控的主机上,按照规则控制用户对系统资源的访问,并且接收监控端命令,完成响应指令反馈结果,逻辑上相当于Server。监控端作为控制台统一协调、检测、管理、维护所有监控端。在这种架构中,监控端与被监控端直接进行通信——被监控端从监控端获取访问控制规则,并响应监控端的请求返回主机的相关信息。随着防火墙技术的普遍应用,这种通信经常会被防火墙所屏蔽 [1],从而对监控系统的可靠性形成制约。在较大规模的部署中,监控端的性能也直接影响了系统效率。鉴于此,本文提出了基于LDAP的监控系统架构,以期减少监控端与被监控端的直接通信,提高系统的可靠性和有效性。
  3.2 系统架构
  系统由监控端、被监控端以及LDAP服务器组成。LDAP服务器保存了管理员定义的访问控制规则和各被监控主机的必要信息。被监控端为驻留功能模块,其功能为从LDAP服务器获取访问控制规则并依据规则对该主机进行全面监控,包括屏幕监视、桌面控制、禁用程序、禁用设备、警示信息等,并能自动隐藏和恢复监控进程,更新保存在服务器上的主机信息,只有在必要时才会与监控端直接通信(由监控端发起,被监控端逻辑上相当于Server)。监控端主要功能为系统管理,即制定和修改访问控制规则,查看被监控主机信息,这些都通过与LDAP服务器的通信完成,当有必要时才与被监控端直接通信(例如需要远程查看某个被监控主机的桌面),网络监控功能也在监控端实现。监控端、被监控端、LDAP服务器组成一个完整的封闭系统,系统架构如图3所示,各模块在网络上的部署情况如图4所示。
  
  
  图3 基于LDAP的网络监控系统架构
  
  
  图4 基于LDAP的网络监控系统部署图
   3.3 系统评价
  这一架构是对C/S架构的改进,LDAP的特性决定了它特别适用于存储授权管理、访问控制、网络用户管理等信息,在系统部署规模较大时,LDAP的高性能对提升系统效率作用巨大。同时,这一改进使得监控端与被监控端的直接通信减少到了最低限度,系统的大部分通信是在LDAP服务器与监控端和被监控端之间进行的,只要把LDAP服务器部署在受信主机上,那么不论监控端部署在哪里,系统的内部通信都不会受到影响,从而在提高系统可靠性的同时又不会影响监控端部署的灵活性。
   4. 结束语
  本文在对LDAP作了简要介绍后提出了一个基于LDAP的网络监控系统新架构。目前主流的操作系统都可以提供目录服务,但又各有不同,在这种情况下,作为跨平台的标准目录服务协议,LDAP的应用必将越来越广泛。
   参考文献
  [1]史忠植著. 高级计算机网络. 北京:电子工业出版社,2002
  [2]万加富、张文斐、张占松编著. 网络监控系统原理与应用. 北京: 机械工业出版社 2003
  [3]徐建波、李仁发、蒋云霞. 基于LDAP的目录服务分析与实践. 湘潭矿业学院学报. 2002年第1期
  [4]张慧宇、袁卫忠、黄皓、谢立. LDAP研究及其在CA中的应用. 计算机应用研究. 2002年第10期

本文转自
http://www.jsjlw.cn/(igtcdyrzsppnyj550t0dht55)/n930c12.aspx
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值