一、目录与LDAP

　　结构化的数据在计算机中通过数据库来存储。从广义上，可把对数据库的访问请求分为两类，一类是数据分析，如“3-6岁间的小孩的身高平均数是多少”，关系型数据库凭借功能强大的SQL、索引、存储过程、事务等技术可以进行复杂的分析和报告，满足分析请求需要;还有一类是定位请求，如“职员ABC的邮件地址是什么”，目录(分层的数据库)适合处理这类请求，目录适合于读远多于写、数据为静态的情况，目录提供通过简单的访问协议(如LDAP)对大量的分布的数据进行检索的功能。

　　目录和FTP、DNS(一种特定的目录服务)等一样，也是客户端/服务器结构的网络服务。LDAP定义了目录客户端和目录服务器之间的访问接口协议，由一系列消息定义组成，LDAP目录是可以通过LDAP方式访问的信息，LDAP并没有定义目录服务本身，与信息存储的方式无关。LDAP最初是为提供简化客户端访问X.500目录的方式(基于OSI的DAP)设计，运行在TCP/IP之上的LDAP降低了对客户端的资源需求。X.500目录服务并不能直接理解LDAP消息，需要通过一个转换网关实现LDAP消息到DAP消息的转换，这个转换网关被称为LDAP服务器。最初的LDAP服务器同时支持LDAP和DAP，新的LDAP服务器则通常只支持LDAP的目录访问方式，演变为现在的LDAP目录服务。

　　LDAP协议当前的版本是V3，与V2 相比，LDAP V3在一些方面进行了扩充。V3提供了Referral指向功能，增加了对SASL(Simple Authentication Secure Layer)安全认证的支持，增加了对国际化的字符编码(UTF-8)的支持，以及可以动态的定义对象和操作并以标准的方式发布目录模式。

　　LDAP标准定义了四种模型来帮助用户建立和使用目录，它们是信息模型、命名模型、功能模型、安全模型。

　　信息模型定义了数据类型以及保存在目录中的信息的基本单元，目录信息的基本单元是条目(Entry)，它是一个对象的属性的集合。LDAP目录服务通过树型结构组织这些条目，每个条目具有的标示名DN(Distinguished Name)，LDAP条目的组织通常依据直观的物理位置和组织关系进行。对象的属性由类型和值组成，每个属性可以由多个值。目录模式(Directory Schemas)对必须或可以存放在条目中的属性类型进行了限制。

　　命名模型为目录中给每个条目提供一个的标示名DN，以便准确地索引条目，由两部分组成，相对DN(RDN)和体条目在目录树中的位置组成，如同文件系统中的相对路径和路径的关系;不同条目RDN可以相同，DN不能相同。

　　功能模型定义了LDAP可对目录进行的三类操作：查询操作、更新操作和身份验证和控制操作。查询操作分为搜索操作和比较操作，更新操作包括了添加、删除、修改、重命名、条目移位等。LDAPV3提供多种身份验证方式和对访问控制的支持，通过绑定(Bonding)实现，支持Kerberos，并提供安全验证(SASL)的功能。

　　安全模型的目的是提供一个不进行身份验证不能访问目录信息的框架;安全模型是基于LDAP是面向协议的，在连接的有效期内LDAP客户可对目录服务器进行身份验证。

　　虽然LDAP得到了多数IT厂商的支持，并得到了大量应用。LDAP也并不是灵丹妙药，LDAP协议缺乏一些关键的标准如复制、访问控制、还有目录模式(Schema)，因为厂商目录复制方式为私有，一个厂商的目录产品的不能自然地和其他厂商的产品信息同步。IETF的LDUP工作组正在将这些重要的特性标准化，但目前在目录的集成中需要采取办法克服上述缺陷。

　　二、目录集成

　　通常每个大型企业都有很多目录，几十个甚至数百个，管理这么多的目录很困难，为了保持数据准确，需要管理员花费大量时间重复更新目录条目，或者目录的数据一致性越来越差。通过目录集成解决这些管理难题是目前的思路。目录集成提供了一种新的管理方式，可以让管理员从一个目录管理多个目录，并且可以使用自动流程实现各个目录之间的数据同步。

　　短期来看，目录集成降低了人为参与的工作量。长远来看，通过集成的目录可以结合企业的应用系统创造出有价值的增值应用，如SSO，统一用户管理，工作流等，新建的应用系统也可以不建立专用的目录，而利用集成的目录数据。

　　目录集成往往是企业信息化项目中应用变革的基础，如实现统一用户管理，整合电子商务等。目录信息规划是集成的基础，包括现有目录结构整理，目标结构的建模，数据编码，信息连接规划。目录集成的方式多种多样，其根本是在孤立的目录(有时包括SQL数据库或文件)之间建立数据连接，这种连接结构可能是1对1，1个对多个，多个对多个，或者上述结构的结合;每个连接数据流向可能是单向的也可能是双向的。目录集成有时需要引入新的目录存放公共信息，有时是在现有的目录之间集成。为了使不同目录之间能够对话，有些目录集成场景中需要进行目录模式(Schema)的地调整，或者需要建立映射和转换规则。目录集成是一个长期的过程，需要阶段性的调整和长期的维护结合。

　　三、目录集成技术与元目录(Meta-directory)

　　目录集成存在不同层次上多种工具。最基本的，RFC2849描述了一种名为ldif(LDAP Data Interchange Format)的文本文件格式，可以用来在基于LDAP的目录服务器间进行目录信息的导入导出，或者描述应用到目录的变化，这种方式很简单，但往往人工操作，实时性不能保障，同时不能做信息转换。有的目录服务软件自带一些插件可以实现与特定目录之间信息的交互，如Domino目录可以通过一个名为ADSync的工具实现与AD目录信息的单项或双向同步，这种方式局限于特定的目录系统。更为复杂的一种集成方式，可以通过专门的目录集成软件实现目录间的连接定制，并在必要时建立一个中心目录，这种方式能比较全面覆盖各种目录集成需求，元目录(Meta-directory)是比较典型的一种实现。Gartner将元目录的解决方案分为三类：复制、虚目录和信息中介，每一类都有它的优点和缺点。

　　最常见基于复制技术元目录解决方案，从每一个独立目录服务器中复制属性到一个中心目录。这种实现方案的优点明显，能提供很好的性能，如很快完成复杂的检索，并可以利用已有的目录技术，也比较成熟;缺点是在整个目录体系中数据存在很多拷贝，也总是存在信息同步的时延。

　　虚目录方式的解决方案是建立可以访问不同目录的客户端,不需要建立中心目录。但是这种方式需要客户端较高的智能，把企业中的目录中的条目组织成一个独立的视图是很困难的，微软的ADSI(Active Directory Service Interface)是实现虚目录技术框架的一个实现。短期之内这种虚目录方式很难普及，因为企业多数没有很好地目录信息规划，不能通过一个独立的id定位所有的条目。

　　信息中介解决方案是建立一个本身不在本地存储数据的目录服务器，从不同的目录服务器中获取数据并通过标准的目录协议反馈给请求方;这种方式的优点是没有信息同步的时延，并且不需要保留数据拷贝，节约存储空间，缺点也很明显，因为数据分散在不同的目录服务器中，检索性能很低，服务可用性依赖于也依赖于分散的目录服务器。

　　当前，比较理想的是结合复制与信息中介两者优点的元目录实现方式，最可行的仍然是基于复制的元目录实现。在建立元目录时，应考虑的几个关键问题包括信息的传播延时，还有目录的扩展性，因为元目录会成为IT体系中核心的基础设施。

　　四、目录集成项目实施

　　目录集成是往往IT项目的一部分，由于其重要性和涉及的资源多，其本身也是复杂的系统工程，需要前期的大量的信息搜集等前期准备工作，在此基础上确立实施方案，完成测试后再进行正式的集成。

　　1、前期准备工作

　　(1)确定目录结构

　　根据应用需求，确定需要集成的目录服务，设计出整体的目录结构，可能是现有的目录中重组，或者建立新的元目录。目录结构可以为multi-master或者multi-slave结构。

　　(2)数据模式建立

　　一旦整体目录结构确定，目录树的结构，相关的属性和规则需要建立，有些时候可以采取由目录厂商提供的默认信息模式，有时候需要重新组织定义。

　　(3)通过目录内容对模式进行认证

　　检查每一个目录里面的数据内容，保障符合已建立的数据模式，检查数据的完整性，对不同系统之间数据的差异进行确认，确定主数据源。

　　(4)模式映射

　　需要集成的目录信息的模式建立之后，需要建立一个映射来确定不同目录间的信息是如何集成在一起的。这需要检查那些字段是强制的，需要映射的内容的转换规则。这些规则需要被应用到所有目录的内容上，包括截取，分拆，合并，替换等。

　　(5)意外处理

　　目录集成过程中会涉及很多数据内容问题，如id的不统一，这些意外情况不能由软件全部解决，需要人工参与，这些意外需要被确认和记录。

　　2、 测试集成

　　完成前期准备后，需要制定部署方案。并将目录模式以及数据转换规则进行测试，测试过程中很可能出现新的数据依赖，需要加入方案。

　　3、 正式集成

　　完成前期准备工作并完成测试后，可以将方案实施到正式环境，跟踪和评估是必要的。

　　4、文档

　　将目录集成过程文档化非常重要，文档应对描述集成过程，数据流，意外处理进行详细记录。

　　五、目录集成应用推广

　　目录集成在很多企业得到了实施，成功的目录集成为企业信息化的打下良好的基础，企业可以通过下面一些措施实施推进目录应用：

　　1、 建立一个符合IT长期战略的LDAP兼容的集成目录，目前通常是meta-directory。

　　2、 尽可能多的利用建立的目录来进行集中的目录管理及开展其它应用，如结合PKI搭建企业的信息安全基础。

　　3、 强化目录信息的效用，如取消纸质电话本。

　　4、 信息化过程中，如果不得不增加新的目录，只增加LDAP兼容的目录。

　　5、 减少新增的目录的数目，要求应用厂商或内部开发队伍开发遵循LDAP协议的应用系统。

　　6、制定一个符合业务要求的目录安全策略。

　　核心关注：拓步ERP系统平台是覆盖了众多的业务领域、行业应用，蕴涵了丰富的ERP管理思想，集成了ERP软件业务管理理念，功能涉及供应链、成本、制造、CRM、HR等众多业务领域的管理，全面涵盖了企业关注ERP管理系统的核心领域，是众多中小企业信息化建设优先选择的ERP管理软件信赖品牌。