论文部分内容阅读
教学站点采用的最常用实现平台有三种:(1)WEB服务器为Apache,开发技术PHP,数据库为MySQL;(2)WEB服务器为IIS,开发技术ASP,数据库为SQL Server;(3)WEB服务器为Tomcat,开发技术JSP,数据库为Oracle或SQL Server。这三种方式都支持目录服务,其中第二种实现方式中的WEB服务器IIS可以和活动目录(Active Directory)绑定,而其它两种都支持LDAP目录服务。本文以第一种为例来说明授权访问站点的实现。
一、三层结构的服务体系
三层结构是在分布式技术成熟之后建立起来的,它的基本思想是将用户界面同企业逻辑分离。这三个层次由下至上分别是核心数据层、公共业务服务层和应用系统表现层。整个网络教学系统是基于三层结构的服务体系,不同的教学应用部署在不同的应用服务上,核心数据存储在相应的数据库中,所有的应用共享用户数据信息。
1.核心数据存储层。核心数据存储层使用数据库、目录服务等技术提供集中的用户信息、信息查询和日志信息的存储,这些核心数据可以进行集中的管理,并可以被不同的应用系统访问。核心数据的集中化为将来教学及其它智能应用提供了很好的基础。
2.公共业务服务层。公共业务服务层使用组件技术封装了众多典型的目录数据的业务逻辑功能,如用户管理、权限控制、信息管理、账号管理等。这些业务功能不依赖或隶属于某一个特定的应用系统,而是通过组件服务的方式为上层应用系统提供共享的和一致的服务能力,并可承担不同应用系统间的协作任务。同时,组件技术对功能的封装和使用标准化的接口为搭建具体的应用系统提供了快速构造能力。
3.应用系统表现层。应用系统表现层在上述两层的基础上通过定制开发的方式得到。与底层基础设施不同的是,应用系统层将更多的注意力放在具体的业务需求实现上,通过公共业务服务层访问企业级的整合资源,在保证服务内容和服务质量一致的前提下为用户提供不同形式的使用方法。
由于企业逻辑与用户界面相分离,独立出应用服务器,在很大程度上解决了两层结构所面临的问题。具体说三层结构具有如下的优越性:(1)用户界面的改变同企业逻辑的改变互相隔离,互不影响,便于系统的修改和维护,大大增强了系统的灵活性。这对软件开发者以及用户都是好处。(2)系统可以把关键性的企业逻辑放在应用服务器上进行集中管理,而不需要放在每台客户机上。对企业敏感数据的访问也可通过应用服务器来进行,而不是由客户机直接进行存取。这就增强了系统的安全性。(3)客户机可共享应用服务器提供的数据和功能等技术资源,有利于提高系统的性能和开发效率。(4)三层结构实际上也是目前Web应用采用的体系结构,它允许把全部的企业逻辑和业务处理放在应用服务器上,支持纯粹的瘦客户机,因此采用三层结构的系统可以较为方便、自然地向Web应用等方向拓展。
二、个性化门户网站及其认证授权体系架构
门户网站主要特征是提供个性化服务,是一个具有个人风格的目的站点。校园网的门户网站是为与学校有关的各类人群,如学生、老师、管理人员、家长、校友、高中生等,提供定制信息、综合服务和访问内部/外部资源便利性的网站。从用户的角度来看,门户就是一个“网页”,是用户每天开始网上历程的首页,上面有一些该用户所关心的和希望得到的信息。比如,一个学生进入门户后可以看到学校或所在院系的通知、新邮件、现在正在学习的课程内容和成绩;教员进入门户网站后,不仅可以得到所教班级学生的名单、学生成绩单,还可以抵达其研究所追踪的网站、所喜爱的数据库,进入与其他教员的聊天室;管理人员进入门户后,可以查看院系部门的财务信息,统计数据,设立每月日程安排,等等。此外,每个人还可以根据自己的爱好,订阅一些公共信息,如天气预报、体育新闻。校园门户网站是建立在管理现代化和电子商务基础之上的,基于各类管理信息系统,如学籍管理系统、学习管理系统、资源管理系统、财务系统、人事管理系统、招生系统等等,将这些系统统一在一个安全、标准的框架之下。
校园门户网站无缝地连接了整个学校各类管理信息系统,实现了各个系统之间数据的实时更新和交流,同时以简单易用的web界面,为用户提供个性化的信息服务和支持。门户网站网站的实现模式如图1。
图1:门户网站网站的实现模式
门户网站的核心是一组应用服务器(Application Server),现在主流应用服务器主要有甲骨文的Oracle Internet Application Server. IBM的WebSphere、BEA的WebLogic以及SilverStream的SilverStream Application Server, Sybase的Enterprise Application Server、Sun的iPlanet Application Server等。应用服务器是独立的进程,对业务进行处理,并进行事务管理,将其中的所有数据操作转给第三层,也就是数据处理层的数据库服务器。在一定的情况下,也可以转给后面的其他系统。一般,对这些应用服务器要建立一个单一登录(Single Sign in)系统(Oracle的应用服务器就带有该系统)来完成用户的认证,这是所有用户的入口。而目录服务器(LDAP Server)中的用户信息可以作为其认证的依据,从而使用户的信息集中在目录服务器中管理,并为门户网站以外的应用提供服务。
门户网站首先要确定用户的身份和访问权限才能提供安全的个性化服务。个性化门户网站的认证授权体系实现如下:(1)在目录服务中存储用户的基本信息,包括用户的账号、密码、身份 (学生、教师等)及其它需要的信息,并根据权限不同将这些用户条目加入到不同的组中。(2)在访问控制服务器器中配置外挂LDAP数据库,定义访问控制器中的组,并将这些组赋予相应的网络访问权限,然后将目录服务器中的组映射到这些组,从而目录服务器中用户的组具有了安全控制器中对应组的网络访问权限。(3)用户登录以后,如为合法用户则进入门户网站,根据其身份提供个性化服务。
三、认证服务器配置
认证服务器可以通过命令行来管理也可以通过WEB方式来管理,它自带了一个WEBServer端口为2002,在浏览器的地址栏中输入http x/127.0.0.1:2002即可,也可远程管理,但需要输入管理员的用户名和密码。Cisco Secure ACS配置主要分为以下几个部分:(1)User Setup(用户设置)。可以查询、添加和修改用户信息,但这些数据都是Cisco Secure ACS本地数据库中的用户数据,外部数据库中的用户数据不能在此查看。统一电子身份的实现的核心是用户的集中管理,这里不用添加任何用户信息。但目录服务器中的用户如通过认证其信息将会自动加到该数据库中,这样会大大提高认证的速度。(2)Group Setup(组设置)。Cisco Secure ACS中包括Default Group一共有500个组,对这些组可以设置不同的访问控制信息,从而实现不同组中用户的分开的权限管理。点击Edit Settings按钮可以编辑访问策略(Access Restrictions,从而根据实际需要制定相应的访问控制规则。(3)Network Configuritaon(网络配置);(4)System Configuration(系统配置);(5)Interface Configuration(界面设置);(6)Administrator Control(管理员控制);(7)External User Databases(外部数据库);(8)Reports and Activity(报告与行为)。
这里主要叙述与目录服务有关的配置,在External User Databases(外部数据库)中有三个功能选项:(1)未知用户策略(Unknown User Policy)。Cisco Secure ACS把不能在本地数据库中找到的用户称为未知用户,默认设置是这些用户不能通过认证,这里选第二项,到外挂数据库中检查,并选择配置好的目录服务器。(2)数据组映射(Database Group Mappings)。操作顺序为,Databse Group Mapping按钮—WHUTLDAP链接—Add mapping。在列表框中选择在目录服务器中已定义好的数据组条目,可以选择多项,其排列的顺序表示查找的先后顺序,然后在“Cisco Secure group”项中选择一个映射组,则这些目录服务器中的条目的安全访问控制策略与这个组相同。(3)数据库配置(Database Configuration)。操作顺序为,Database Configuration按钮—Generic LDAP—Create New Configuration按钮。需要的参数如表1。
参考文献
[1] 秦戈亮.基于Internet技术的多媒体网络教学平台组建[J].科技信息,2006,(6).
[2] 郑英基.于Web的网络教学系统平台设计[J].内江科技,2007,(3).
[3] 刘梅彦.基于J2EE平台的网络辅助教学系统的设计与实现[J].计算机工程与科学,2007,(1).
一、三层结构的服务体系
三层结构是在分布式技术成熟之后建立起来的,它的基本思想是将用户界面同企业逻辑分离。这三个层次由下至上分别是核心数据层、公共业务服务层和应用系统表现层。整个网络教学系统是基于三层结构的服务体系,不同的教学应用部署在不同的应用服务上,核心数据存储在相应的数据库中,所有的应用共享用户数据信息。
1.核心数据存储层。核心数据存储层使用数据库、目录服务等技术提供集中的用户信息、信息查询和日志信息的存储,这些核心数据可以进行集中的管理,并可以被不同的应用系统访问。核心数据的集中化为将来教学及其它智能应用提供了很好的基础。
2.公共业务服务层。公共业务服务层使用组件技术封装了众多典型的目录数据的业务逻辑功能,如用户管理、权限控制、信息管理、账号管理等。这些业务功能不依赖或隶属于某一个特定的应用系统,而是通过组件服务的方式为上层应用系统提供共享的和一致的服务能力,并可承担不同应用系统间的协作任务。同时,组件技术对功能的封装和使用标准化的接口为搭建具体的应用系统提供了快速构造能力。
3.应用系统表现层。应用系统表现层在上述两层的基础上通过定制开发的方式得到。与底层基础设施不同的是,应用系统层将更多的注意力放在具体的业务需求实现上,通过公共业务服务层访问企业级的整合资源,在保证服务内容和服务质量一致的前提下为用户提供不同形式的使用方法。
由于企业逻辑与用户界面相分离,独立出应用服务器,在很大程度上解决了两层结构所面临的问题。具体说三层结构具有如下的优越性:(1)用户界面的改变同企业逻辑的改变互相隔离,互不影响,便于系统的修改和维护,大大增强了系统的灵活性。这对软件开发者以及用户都是好处。(2)系统可以把关键性的企业逻辑放在应用服务器上进行集中管理,而不需要放在每台客户机上。对企业敏感数据的访问也可通过应用服务器来进行,而不是由客户机直接进行存取。这就增强了系统的安全性。(3)客户机可共享应用服务器提供的数据和功能等技术资源,有利于提高系统的性能和开发效率。(4)三层结构实际上也是目前Web应用采用的体系结构,它允许把全部的企业逻辑和业务处理放在应用服务器上,支持纯粹的瘦客户机,因此采用三层结构的系统可以较为方便、自然地向Web应用等方向拓展。
二、个性化门户网站及其认证授权体系架构
门户网站主要特征是提供个性化服务,是一个具有个人风格的目的站点。校园网的门户网站是为与学校有关的各类人群,如学生、老师、管理人员、家长、校友、高中生等,提供定制信息、综合服务和访问内部/外部资源便利性的网站。从用户的角度来看,门户就是一个“网页”,是用户每天开始网上历程的首页,上面有一些该用户所关心的和希望得到的信息。比如,一个学生进入门户后可以看到学校或所在院系的通知、新邮件、现在正在学习的课程内容和成绩;教员进入门户网站后,不仅可以得到所教班级学生的名单、学生成绩单,还可以抵达其研究所追踪的网站、所喜爱的数据库,进入与其他教员的聊天室;管理人员进入门户后,可以查看院系部门的财务信息,统计数据,设立每月日程安排,等等。此外,每个人还可以根据自己的爱好,订阅一些公共信息,如天气预报、体育新闻。校园门户网站是建立在管理现代化和电子商务基础之上的,基于各类管理信息系统,如学籍管理系统、学习管理系统、资源管理系统、财务系统、人事管理系统、招生系统等等,将这些系统统一在一个安全、标准的框架之下。
校园门户网站无缝地连接了整个学校各类管理信息系统,实现了各个系统之间数据的实时更新和交流,同时以简单易用的web界面,为用户提供个性化的信息服务和支持。门户网站网站的实现模式如图1。
图1:门户网站网站的实现模式
门户网站的核心是一组应用服务器(Application Server),现在主流应用服务器主要有甲骨文的Oracle Internet Application Server. IBM的WebSphere、BEA的WebLogic以及SilverStream的SilverStream Application Server, Sybase的Enterprise Application Server、Sun的iPlanet Application Server等。应用服务器是独立的进程,对业务进行处理,并进行事务管理,将其中的所有数据操作转给第三层,也就是数据处理层的数据库服务器。在一定的情况下,也可以转给后面的其他系统。一般,对这些应用服务器要建立一个单一登录(Single Sign in)系统(Oracle的应用服务器就带有该系统)来完成用户的认证,这是所有用户的入口。而目录服务器(LDAP Server)中的用户信息可以作为其认证的依据,从而使用户的信息集中在目录服务器中管理,并为门户网站以外的应用提供服务。
门户网站首先要确定用户的身份和访问权限才能提供安全的个性化服务。个性化门户网站的认证授权体系实现如下:(1)在目录服务中存储用户的基本信息,包括用户的账号、密码、身份 (学生、教师等)及其它需要的信息,并根据权限不同将这些用户条目加入到不同的组中。(2)在访问控制服务器器中配置外挂LDAP数据库,定义访问控制器中的组,并将这些组赋予相应的网络访问权限,然后将目录服务器中的组映射到这些组,从而目录服务器中用户的组具有了安全控制器中对应组的网络访问权限。(3)用户登录以后,如为合法用户则进入门户网站,根据其身份提供个性化服务。
三、认证服务器配置
认证服务器可以通过命令行来管理也可以通过WEB方式来管理,它自带了一个WEBServer端口为2002,在浏览器的地址栏中输入http x/127.0.0.1:2002即可,也可远程管理,但需要输入管理员的用户名和密码。Cisco Secure ACS配置主要分为以下几个部分:(1)User Setup(用户设置)。可以查询、添加和修改用户信息,但这些数据都是Cisco Secure ACS本地数据库中的用户数据,外部数据库中的用户数据不能在此查看。统一电子身份的实现的核心是用户的集中管理,这里不用添加任何用户信息。但目录服务器中的用户如通过认证其信息将会自动加到该数据库中,这样会大大提高认证的速度。(2)Group Setup(组设置)。Cisco Secure ACS中包括Default Group一共有500个组,对这些组可以设置不同的访问控制信息,从而实现不同组中用户的分开的权限管理。点击Edit Settings按钮可以编辑访问策略(Access Restrictions,从而根据实际需要制定相应的访问控制规则。(3)Network Configuritaon(网络配置);(4)System Configuration(系统配置);(5)Interface Configuration(界面设置);(6)Administrator Control(管理员控制);(7)External User Databases(外部数据库);(8)Reports and Activity(报告与行为)。
这里主要叙述与目录服务有关的配置,在External User Databases(外部数据库)中有三个功能选项:(1)未知用户策略(Unknown User Policy)。Cisco Secure ACS把不能在本地数据库中找到的用户称为未知用户,默认设置是这些用户不能通过认证,这里选第二项,到外挂数据库中检查,并选择配置好的目录服务器。(2)数据组映射(Database Group Mappings)。操作顺序为,Databse Group Mapping按钮—WHUTLDAP链接—Add mapping。在列表框中选择在目录服务器中已定义好的数据组条目,可以选择多项,其排列的顺序表示查找的先后顺序,然后在“Cisco Secure group”项中选择一个映射组,则这些目录服务器中的条目的安全访问控制策略与这个组相同。(3)数据库配置(Database Configuration)。操作顺序为,Database Configuration按钮—Generic LDAP—Create New Configuration按钮。需要的参数如表1。
参考文献
[1] 秦戈亮.基于Internet技术的多媒体网络教学平台组建[J].科技信息,2006,(6).
[2] 郑英基.于Web的网络教学系统平台设计[J].内江科技,2007,(3).
[3] 刘梅彦.基于J2EE平台的网络辅助教学系统的设计与实现[J].计算机工程与科学,2007,(1).