GBase 8d目录服务系统介绍

1.1  GBase 8d 构架

GBase 8d是南大通用目录服务产品线的核心产品， GBase 8d系统构架如下：

图 1-1 GBase 8d系统构架

GBase 8d目录服务系统主要由六个部分组成：

u LDAP-Server：目录服务器软件。用来存储目录信息，并响应LDAP的访问请求。

u Slurpd-Server:镜像复制服务器软件。实现主目录服务器信息到从目录服务器中信息的复制。

u Admin-Server：目录服务器管理程序，使目录管理员可以很容易地对目录服务器进行配置、维护和管理。

u Admin-Console：目录服务器管理程序客户端软件，允许目录管理员对目录服务器进行远程配置、维护和管理。

u LDAP-Client：访问目录服务器的通用客户端，用户使用图形用户界面访问目录服务器中的信息。

u LDAP SDK:基于LDAP V3协议的访问LDAP Server的应用开发接口。

1.2  GBase 8d的技术指标

u 最大数据容量：  单个GBase 8d Server可管理亿级条目

u 最大并发连接数：1024受限于操作系统,64位系统突破1024限制

u 查询性能： 百万级条目下，50线程精确查询的平均速度可达到5ms（毫秒）以内，50线程混合查询的平均速度在100ms以内

u 引用： 宽度超过50，深度超过12级

u 复制： 从目录服务器的宽度超过100，深度超过7级；子树复制的最小粒度为条目；定时复制的最小间隔时间为分钟；支持双向复制

u 平台兼容性： 支持Windows平台，包括Windows2000、Windows 2003、Windows 2008、Windows 2012、Windows XP；支持Linux平台，包括 RedHat Linux、CentOS Linux、SUSE Linux、中标普华Linux、中标麒麟Linux、银河麒麟Linux、统信UOS、EulerOS等以及UNIX平台的AIX 、Solaris、HP-UX

1.3  GBase 8d支持的标准

GBase 8d目录服务产品支持轻型目录服务访问协议第三版 (LDAP v3)，LDAP V3是Internet上目录访问的IETF (Internet Engineering Task Force)标准。

GBase 8d支持的核心LDAPv3技术规范如下:

RFC 2251:  轻型目录服务访问协议 (v3)

RFC 2252:  LDAP(v3): 属性语法定义

RFC 2253:  LDAP(v3): 分辨名的UTF-8字符串表示

RFC 2254:  LDAP查询过滤器的字符串表示

RFC 2255:  LDAP URL格式

RFC 2256:  在LDAP v3中使用的X.500(96)用户Schema汇总

RFC 2829:  LDAP的认证方法

RFC 2830:  LDAP (v3): 传输层安全（TLS）扩展

IETF定义了LDAP v3是可扩展的,以上核心技术规范的扩展标准对于产品提供商是可选的，GBase 8d实现了以下LDAP v3相关标准:

RFC 2247:  在LDAP/X.500中使用域名

RFC 2696:  简单分页结果控制

RFC 2713:  在LDAP目录中代表Java(tm)对象的Schema

RFC 2714:  在LDAP目录中代表Corba(tm)对象的Schema

RFC 2798:  inetOrgPerson LDAP对象类的定义

RFC 2849:  LDAP数据交换格式 (LDIF)–技术规范

RFC 3062： LDAP密码修改扩展操作

RFC 3866:  LDAP语言标签及范围

RFC 4533:  LDAP内容同步操作

总之，GBase 8d是一个标准开放的产品. 支持符合PKI及PMI X.509 v3协议的证书和证书撤销列表的存储与发布，特别是支持符合RFC2459（Certificate and CRL Profile）、RFC2587（LDAPv2 Schema）及RFC3280（Certificate and Certificate Revocation List (CRL) Profile）等标准的证书和证书撤销列表（CRL）的存储与发布。当有新的LDAP标准推出,GBase 8d将追踪新的标准，实现对它们的支持。

1.4  GBase 8d的特性

1. 标准化

u 遵循轻型目录访问协议LDAP v2 和v3，从而保持应用的标准性和独立性；

u 在其它的目录服务产品之上开发的目录服务应用产品，也可以在LDAP V3标准的接口一致性下，无缝地切换成GBase 8d目录服务器；

u 跨平台运行。可以在Windows 2000/2003/2008/2012、Linux、Solaris、AIX、HP-UX操作系统上运行。并支持多个国产硬件和系统平台。

2. 高性能

u 单服务器管理容量：可达亿级条目；

u 精确查询:500万条目，单线程<1ms （毫秒）,50线程<5ms （毫秒）(目录基准测试工具DirectoryMark的测试结果)；

u 模糊查询：500万条目，单线程<50ms （毫秒），50线程<500ms （毫秒）(目录基准测试工具DirectoryMark的测试结果)  ；

u 吞吐量：1000万条目：50线程，精确查询>50000次/秒，模糊查询>100次/秒 (目录基准测试工具DirectoryMark的测试结果)；

u 引用：宽度>50，深度超过>12级；

u 复制：从目录服务器的宽度>100，深度>7级；子树复制的最小粒度为条目；

u 全库统计条目及子树统计条目，响应时间<1秒；

u 最大连接数：1024受限于操作系统,64位系统突破1024限制；

u 可配置的高速缓存，可根据系统负载及数据容量进行调整，最大限度加快查询速度；

u 为经常使用的属性建立索引，提高系统性能。

3. 可用性

u 支持7x24小时的可用性；

u 支持LDIF格式的导入/导出；

u 后端事务支持，保障了数据的稳定性和一致性，避免了坏数据的发生；

u 支持RFC规范定义的分页标准（RFC2696），用户可以分页异步读取数据，而无须一次获取全部。

4. 安全性：

u 支持匿名、用户名/简单密码、用户名/摘要密码等多种身份认证方式；

u 支持基于策略语句的访问控制；

u 对访问目标的定义可基于条目位置基于条目过滤条件；访问粒度可精确到属性；

u 对于主体的授权，可基于主体的位置特征、主体的属性特征进行策略授权；

u 支持SSL和TLS实现的安全通道，实现信息传递的私密性保护，满足高安全性的需要。

5. 可扩展性：

u 支持全库统计条目及子树统计条目；

u 支持Schema的扩展，可实现用户自定义Schema文件的载入，用户自定义对象类和属性的加入；

u 支持用户对索引项的扩展，自定义索引项的索引类型；

u 可依据不同的条目量级，调整性能参数指标；

u 采用多线程机制，可完全利用多核系统的性能优势；

u 支持LDAP扩展操作，根据用户的需要定制；

u 提供LDAP API。LDAP API与Netscape LDAP SDK for JAVA v4.1兼容；

u 支持使用JAVA命名和目录接口(JNDI)开发的目录应用；

u 支持LDAP的引用（referral）功能，使用此功能，可以对在地理上分布在不同地点的目录服务器信息，在逻辑上按照统一的整体来访问。

6. 可维护性：

u 提供图形化的管理界面，辅助管理员对目录服务器进行配置管理；管理员可同时管理多个目录服务器；

u 提供图形化的客户端，辅助管理员对目录服务器进行数据管理；

u 提供LDIF的导入导出工具，实现目录服务系统之间的标准数据交换格式；

u 提供备份/恢复工具，帮助管理员实现数据灾难恢复。

7. 本地化：

专门对国内市场的应用进行了优化，实现了对中文的特别支持，使用中文作为DN, 而且支持UTF-8和GB两套汉字编码体系。