【導讀】建設校園網(wǎng)絡工可以有效地利用計算機硬件資源。我們稱校園網(wǎng)絡工程而不。稱計算機網(wǎng)絡，是因為簡單的計算機網(wǎng)絡只是局部的某一單位組網(wǎng)，涉及面較少，程項目，為此，必須統(tǒng)籌安排，建立相應的校園網(wǎng)絡領導管理機制。程實施方案，起到總指揮部的作用。其次是技術和建設實施負責部門，比如可以。組網(wǎng)時總的原則應當堅持先進性、開放性和標準化，盡量。絡資源和管理運行上有良好的分層設計。貴州大學著重進行了校園網(wǎng)的接入，并與電化教室相結合，配合。vlan可以對內網(wǎng)進行控制和管理，即可以tel到內網(wǎng)的交換機和路由器上，旨在將原有網(wǎng)絡建設成為一個可擴展性和易管理。建設校園網(wǎng)網(wǎng)絡工程是學校發(fā)展的必然產(chǎn)物。校園網(wǎng)是為學校師生提供教。突出系統(tǒng)功能的完善，實現(xiàn)辦公現(xiàn)代化、信息資源化、傳輸網(wǎng)絡化和決策科學化。并且保證工程施工質量，嚴格按照設計施工。工中遇到問題能夠及時有效地得到解決。務于一體的寬帶多媒體網(wǎng)絡，以及綜合科研信息傳輸和處理需要的綜合數(shù)字網(wǎng)，

　　

【正文】 變化提供有力保障，最終為用戶提供靈活、多樣 、及時、準確的信息發(fā)布及人性化的信息服務。 （ 6）個性化定制。 門戶集成學校各種信息資源，授權用戶通過統(tǒng)一的入口成功登錄后，門戶服務器會根據(jù)用戶的資源列表為其展現(xiàn)一套集成化和個性化的運作環(huán)境。面對大量信息的信息，用戶或許會感到無所適從，門戶必須為用戶提供個性化定制服務，用戶根據(jù)自己的需求和愛好定制自己的想看到的內容。 統(tǒng)一身份認證平臺 在基于目錄服務的統(tǒng)一資源管理的基礎上，設立校園門戶系統(tǒng)的統(tǒng)一身份認證中心。用戶在訪問門戶或其他應用系統(tǒng)（包括受保護的網(wǎng)站）時，將首先被指向認證中心認證。 認證中心可以 實現(xiàn)多種方式或多種層次的認證，包括： ● 用存儲在 LDAP 目錄服務器中用戶 ID 和口令進行認證； ● 用存儲在 LDAP 目錄服務器中的用戶電子證書進行認證； ● 用校園一卡通，利用卡認證系統(tǒng)，門戶系統(tǒng)將其認證功能代理給此系統(tǒng)。 現(xiàn)有系統(tǒng)和新建系統(tǒng)將根據(jù)需要將其認證指向認證中心的身份識別服務器，由其實現(xiàn)統(tǒng)一認證和授權，即集中鑒權功能。目前，建議門戶系統(tǒng)和其它應用系統(tǒng)的統(tǒng)一身份認證采用第一種方案：用存儲在 LDAP 目錄服務器中用戶 ID和口令進行認證。 將我校全體人員的個人、組織、工作組、角色、應用系等信息統(tǒng)一存 放在主校區(qū)的主目錄（ Master）服務器中。而分校的人員、組織、工作組、角色、應用系統(tǒng)等信息可以根據(jù)其規(guī)模選擇是否在分校建立從目錄（ Slave）服務器，并 13 從主目錄服務器中復制相應的信息，以實現(xiàn)維護、服務和負載的分布式部署。資料的維護，如開戶、銷戶、基本維護等工作可由主目錄服務器完成，也可由主目錄服務器授權多級的委托管理員（如部門管理員）代理完成。 認證中心的身份識別服務器上，將實現(xiàn)統(tǒng)一的用戶策略管理（ Policy）。按照全校的組織結構，統(tǒng)一策略管理采用“組織” 、“單位（ OU）” 、“人員” 、“工作組” 、“角色” 、“應用系統(tǒng)”等方式管理用戶信息和應用系統(tǒng)信息，從而形成一個層次結構。包括管理部署域名、組織、用戶（基本信息、帳號、口令、用戶證書）、角色、工作組、個性化定制（模版、布局、門戶組件）、系統(tǒng)資源配置、應用系統(tǒng)關聯(lián)等信息。主校區(qū)的策略管理系統(tǒng)將保存全校人員的策略信息，各分校保存各分校人員信息，主校區(qū)和分校區(qū)所保存的人員信息保持同步，實現(xiàn)人員信息的集中管理和分部存儲。 全校教職員工對內部的各種應用和信息，是否在其門戶桌面上可見，是否允許其訪問，是通過策略管理來實現(xiàn)的。策略管理是上述各個門戶功能（安全、個性化展示、定制等）的基礎。對內部的各種應用和信息的訪問控制，是通過用戶的安全級別實現(xiàn)；用戶的安全級別可以區(qū)分為不同的域、組、成員，每個成員可以擁有不同的安全屬性。策略管理模塊的功能包含： ● 管理用戶的安全信息 ● 管理用戶對應用資源的訪問策略和權限信息 ● 管理系統(tǒng)的資源配置信息 ● 提供多域管理能力，支持分布式的策略信息部署 ● 支持大容量，高性能的信息查詢 ● 具有用戶策略數(shù)據(jù)的備份和恢復機制 單點登錄 單點登錄（ SSO）是指一個用戶身份只需進行一次鑒權便可以訪問所有經(jīng)授權的資源，而不需 要多次認證。 SSO 機制能夠減少人為錯誤，同時提高整個系統(tǒng)的安全性。雖然 SSO 很有價值，但是它的實現(xiàn)并不容易，因為到目前為止還沒有一種用戶身份驗證的統(tǒng)一標準。 （ 1）對已有應用系統(tǒng)采用“偽”自動登錄功能 14 大部分現(xiàn)有或舊有系統(tǒng)對用戶的管理和認證基于專用或非標準的方式，這些應用也很難再改變，所以我們在不改動當前應用系統(tǒng)的前提下，采用一種“偽”Single Sign On 的方式，即實際是登錄二次，但由于門戶自動幫用戶實現(xiàn)了第二次登錄，所以對用戶來講，他們感覺到的是一次登錄，即對用戶完全透明。這種方式是對現(xiàn)有和舊有系 統(tǒng)最方便地實現(xiàn)單次登錄的方式，而且有著不改變當前系統(tǒng)的巨大優(yōu)勢。實現(xiàn)這樣的偽 SSO，可以采用用戶標志和密碼的集中存儲來實現(xiàn)。 目錄服務器為系統(tǒng)提供了一個集中存儲用戶所有應用密碼的場所?！敖y(tǒng)一登錄”的軟件可以利用它，在用戶點擊某一應用的 URL（包括 Web 和非 Web 的應用）時，根據(jù)用戶登錄時的用戶標志（目錄樹中用戶的唯一標志 uid 屬性），以及應用的 URL （ ssoappurl 屬性）可以從目錄服務器中迅速搜索出用戶訪問該應用所需要的用戶標志和口令（ ssouserid 和 ssopasswd 屬性），然后執(zhí)行后續(xù)的 自動登錄步驟。 （ 2）新建應用系統(tǒng)的 SSO 對于 WEB 應用，單點登錄的根本原則是，保持用戶的會話狀態(tài)（ Session），只要用戶經(jīng)過一次鑒權，各個應用應該“記住”此用戶已經(jīng)成功鑒權并在各個應用中傳播此消息?？梢圆捎脙煞N最常用的方式： cookie， URL Rewriting（可以將用戶的會話狀態(tài)擴展到 URL 的后面）。 cookie 是 HTTP 協(xié)議中的一個重要規(guī)定，可以使網(wǎng)站通過簡單的方式與發(fā)出請求的 browser 之間進行通信，彌補了HTTP 協(xié)議無狀態(tài)連接的不足，是一種簡便易行的方式。這種方式的缺點是只適用 于 Browser/Server（即使用 HTTP 協(xié)議）這種方式，對于其它不基于 Web 的方式，只能靠用戶的開發(fā)去實現(xiàn)。 根據(jù)上述原則，門戶系統(tǒng)和其它應用系統(tǒng)的單點登錄方案可以采用：某一個專用的認證代理進程，采用某種機制獲取并保存用戶的身份信息，在用戶與各個應用系統(tǒng)的交互過程中，代替用戶完成相應應用的認證過程。 有些情況下，可以使用專用的認證代理進程，該進程處于用戶和應用程序之間。當用戶被應用程序要求提供身份證明時，代理進程從用戶資料庫中得到用戶的身份信息，并送給應用程序負責完成認證過程，這個過程對于用戶是透明的 ，用戶沒有被要求輸入密碼。