|
| |
| Sun Java System Directory Proxy Server 5 2004Q2 管理指南 | |
第 1 章
概論 Directory Proxy Server本章為您介紹 Directory Proxy Server。本章包含下列各節:
簡介Directory Proxy Server 是電子商務解決方案中,任何重要任務目錄服務的基本元件。Directory Proxy Server 是 LDAP 應用程式層通訊協定閘道,利用應用程式層負載平衡及防故障備用模式的功能,可提供強化的目錄存取控制、結構相容性以及高可用性。
以功能來說,Directory Proxy Server 是在 LDAP 用戶端及 LDAP 目錄伺服器之間的「LDAP 存取路由器」。系統會根據 Directory Proxy Server 組態中定義的規則,將 LDAP 用戶端的要求篩選並導向至 LDAP 伺服器。也會根據 Directory Proxy Server 組態中定義的規則,篩選目錄伺服器傳來的結果,然後回傳給用戶端。此程序對 LDAP 用戶端而言完全透明,他們連線到 Directory Proxy Server 的方式與連線到任何 LDAP 目錄伺服器一樣。
Directory Proxy Server 是獨一無二的產品,為外部網路與內部網路目錄基礎架構提供高可用性、安全性以及用戶端相容性功能,包括:
Directory Proxy Server 可以和新的與現有的 LDAP 目錄基礎架構共存,並可互補所長,而且能與已部署在企業外部網路與內部網路的啟用目錄應用程式完全整合。它可以用來部署客戶目錄基礎建設中的現有投資。Directory Proxy Server 能和任何 LDAP 符合的目錄伺服器進行內部操作。Directory Proxy Server 能與啟用及支援 LDAP 的目錄合用,不管是原生 LDAP 目錄、啟用 LDAP 的 X.500 目錄、或啟用 LDAP 的關聯資料庫。
Directory Proxy Server 實作 LDAPv3 網際網路規格,也支援較舊及功能較少的 LDAPv2 規格,以便與使用 LDAPv2 且已部署的啟用目錄用戶端應用程式相容。Directory Proxy Server 在 UNIX 平台上執行時,是一個獨立的系統伺服器程序。本伺服器具有多個執行緒,故可處理上千個 LDAP 用戶端要求,並同時將存取控制規則及通訊協定篩選規則套用到每個要求上。
Directory Proxy Server 可以幫助組織保護他們私人的目錄資訊,避免未經授權的存取,同時,也可使這些組織能夠安全地的公佈他們的公共資訊。Directory Proxy Server 可用來設定 LDAP 目錄上,複雜的存取控制原則;例如,控制誰可以在目錄資訊樹狀目錄 (DIT) 的不同部分上,執行不同類型的作業。Directory Proxy Server 也可以用來設定駁回某些作業,這些作業通常由網頁大量下載者或機器人執行,以收集資訊。
Directory Proxy Server 與網頁代理伺服器不同,是以反向代理伺服器的模式操作。本產品不會將連線從防火牆後的用戶端,轉送到網際網路上任意的伺服器,也不會快取搜尋結果。主要是因為對資料套用存取控制規則的問題。目前只有在維護存取控制措施的 LDAP 目錄伺服器中才會這樣做。Directory Proxy Server 不知道目錄伺服器存取控制。
Directory Proxy Server 功能組Directory Proxy Server 功能組提供特別的功能:高可用性、負載平衡、防故障備用模式、類似防火牆的安全性以及主從架構相容性。
高可用性
Directory Proxy Server 在一組複製的 LDAP 目錄伺服器之間,提供自動負載平衡及防故障備用模式與容錯回復功能,用來支援高可用性目錄部署作業。對於外部網路和內部網路環境來說,常常需要確定關鍵任務的啟用目錄用戶端和應用程式能全天候存取目錄資料。Directory Proxy Server 會維護所知範圍內所有目錄伺服器的連線狀態資訊,也能在一組已設定的目錄伺服器上,以動態方式執行 LDAP 操作的比例負載平衡。如果一個以上的目錄伺服器故障,負載就會按比例重新分配到剩下的伺服器。目錄伺服器重新上線時,負載就會以動態方式按比例重新配置。
例如,假設將目錄伺服器 A 設定成接收 40 百分比的 LDAP 用戶端負載、伺服器 B 是 20 百分比、伺服器 C 是 20 百分比、伺服器 D 是 20 百分比。如果目錄伺服器 B 失敗,Directory Proxy Server 會辨識出伺服器 A 的負載設定成伺服器 C 及 D 的二倍,然後會從伺服器 B 重新分配 20 百分比的負載,使伺服器 A 現在接收 50 百分比、伺服器 C 是 25 百分比、伺服器 D 是 25 百分比。伺服器 B 恢復時,Directory Proxy Server 會自動偵測出來,然後回復到四個伺服器原始設定的負載百分比。
網路層 IP 負載平衡裝置無法存取 LDAP 通訊協定層。然而,Directory Proxy Server 會將負載平衡與存取控制、查詢篩選以及查詢導向功能整合,並可自行決定應用程式層存取控制及 LDAP 導向。
負載平衡
您必須利用定義及管理內容物件中所述的負載平衡特性,在 Directory Proxy Server 中設定負載平衡。Directory Proxy Server 能通訊的每個後端目錄伺服器,都設定成接收某個百分比的總用戶端負載。接著 Directory Proxy Server 會自動將用戶端查詢分配給不同的後端伺服器,以符合組態中定義的負載準則。如果伺服器故障,Directory Proxy Server 就會在可用的伺服器之間,根據各個負載百分比,按照比例分配各個伺服器的負載百分比。如果所有的後端 LDAP 伺服器都故障,Directory Proxy Server 就會開始拒絕用戶端的查詢。
Directory Proxy Server 是根據工作階段處理負載平衡。這表示選擇將用戶端查詢導向到特定伺服器的決策功能,會對每個用戶端工作階段套用一次,尤其是在用戶端工作階段開始時。所有該工作階段後續的用戶端查詢,都會導向到工作階段開始時所選擇的伺服器。
Directory Proxy Server 可負載平衡的後端 LDAP 伺服器數量,需視幾個因素而定,例如執行 Directory Proxy Server 的主機大小、可用的網路頻寬、Directory Proxy Server 接收到的各個查詢、用戶端工作階段的長度以及 Directory Proxy Server 的組態。一般來說,如果大部分的工作階段存活時間都很短,而且查詢都需要大量運算,則 Directory Proxy Server 能支援的伺服器就會比較少。需要大量運算的查詢必須檢查整個訊息,例如使用屬性重新命名內容中所說明的屬性重新命名功能時。
Directory Proxy Server 使用監視程序來檢查後端伺服器的健康狀況,包括只能以 SSL 通訊的伺服器。如果使用負載平衡,本功能就會自動啟用。Directory Proxy Server 每 10 秒就會對其後端目錄伺服器執行匿名搜尋作業,搜尋 Root DSE。如果其中一個故障或未回應,Directory Proxy Server 就會將其從可以使用的負載平衡伺服器組中移除。伺服器又可以使用時,就會將其再加入這個組裡面。
防故障備用模式
Directory Proxy Server 會在連線嘗試收到連線拒絕的錯誤或逾時時,偵測到伺服器何時故障。由於這二個情形都是在工作階段的初始階段發生,而且當時沒有為該工作階段處理任何作業,所以如果有可以透明使用的伺服器,Directory Proxy Server 就會防故障備用模式至另一個伺服器。如果是連線嘗試逾時,用戶端取得回應的時間就可能延遲過久。如果突然失去 Directory Proxy Server 及後端伺服器之間的連線,Directory Proxy Server 就會對所有待執行的作業將 LDAP_BUSY 錯誤傳回給受到影響的用戶端。然後 Directory Proxy Server 會將該用戶端連線防故障備用模式至另一個目錄伺服器。
為了避免 Directory Proxy Server 變成目錄部署的單一失效點,我們建議您至少使用二個 Directory Proxy Server,並在前面添加 IP 設備。
安全
Directory Proxy Server 提供彈性的外部目錄存取控制機制,強化目錄伺服器提供的基本存取控制措施。存取控制機制允許不同的使用者及使用者群體,與特定的存取群組產生關聯,並對此存取群組套用系統管理員定義的安全限制及查詢篩選條件。系統管理員可根據 LDAP 驗證資訊、IP 位址、網域名稱、及其他標準,控制存取項目的作業。
Directory Proxy Server 提供的重要安全功能,是保護 LDAP 用戶端與 LDAP 目錄伺服器之間建立的連結數量。您可以設定讓 Directory Proxy Server 監視許多特定測量項目,以使 LDAP 目錄伺服器不會受到連線攻擊:同時用戶端操作數量、用戶端在每個連線中能要求的操作數量以及特定用戶端群組的連線數量。也能讓無法使用的用戶端逾時。
您可設定讓 Directory Proxy Server 的指定測量項目不能超過特定臨界值限制。Directory Proxy Server 會監控這些測量項目,並確定不能超過臨界值。Directory Proxy Server 會保留幾個測量項目,例如特定主機開啟的連線數量、在特定工作階段上執行的操作數量等等,以限制可能發生的大量下載目錄及阻絕服務的攻擊。建立系統組態實例將詳細描述這些參數組態。
您也可以禁止特定類型的篩選條件,例如 (cn=A*) 或 (cn>A),以便允許 Directory Proxy Server 限制大量下載的行為。建立及管理群組中有更多如何設定篩選條件進行篩選的詳細資料。
Directory Proxy Server 允許已驗證的用戶端變更目錄服務的存取控制措施。如此一來,就算已驗證的用戶端在安全網路之外,也允許他們存取更多的目錄資訊。
Directory Proxy Server 支援 Secure Socket Layer (SSL) 傳輸通訊協定,提供資料防護功能。例如,您可設定Directory Proxy Server,讓從受到保護網路外部存取您目錄服務的所有用戶端,都必須建立 SSL 工作階段。在 Directory Proxy Server 中設定 SSL 的詳細資料,請參閱設定安全。
這些功能可協助防範「阻絕服務」的攻擊與「洪水攻擊」,這些攻擊方式目前在業界中極為常見。如果 Directory Proxy Server 偵測到已到達臨界值,就會開始拒絕對目錄伺服器的連線,並防範目錄伺服器受到攻擊且失效。
主從架構相容性
Directory Proxy Server 根據 LDAP Distinguished Names (DN) 及群組存取權限,決定查詢導向的方式,包括根據驗證憑證識別行動使用者。Directory Proxy Server 會自動跟隨 LDAP 轉介 (可能會由目錄伺服器傳回),以支援極為分散且可擴充的目錄服務。自動跟隨轉介是大規模目錄部署形式的重要優點,讓您在必須以實體方式在一組目錄伺服器之間分散目錄資訊時,分散的目錄在使用者看來卻像是一個邏輯目錄。Directory Proxy Server 提供一個功能,可以用邏輯的方式聯合分散的目錄,以支援這類部署,進而支援可擴充的分散目錄服務。
Directory Proxy Server 支援任何符合 LDAPv2 或 LDAPv3 的用戶端應用程式。並支援結構重寫的功能,以使不一定符合目錄伺服器結構、且本身結構固定的用戶端應用程式能配合。例如,Microsoft Outlook 電子郵件用戶端有固定的結構,規定目錄伺服器要實作 Microsoft 定義的屬性,可能不符合企業本身較寬鬆的結構要求。結構重寫的能力允許目錄系統管理員實作寬鬆目的的企業結構,然後將該結構的特定元素,以動態方式對應到功能較少的用戶端應用程式所要求的屬性類型組。Directory Proxy Server 則不預設結構,接受龐大標準所定義的任何屬性類型及物件類別,以及業界臨時制定的結構定義,包括 RFC1274、X.520、X.521、LIPS、PKIX、 inetOrgPerson 及 DEN。