HÀ NỘI - 2010
BỘ KHOA HỌC VÀ CÔNG NGHỆ VIỆN ỨNG DỤNG CÔNG NGHỆ



BÁO CÁO TỔNG HỢP
KẾT QUẢ KHOA HỌC CÔNG NGHỆ ĐỀ TÀI
Nghiên cứu giải pháp đồng bộ dữ liệu ngược áp dụng cho việc quản
trị cây thư mục bằng OpenLdap


Cơ quan chủ trì đề tài:
Trung tâm hợp tác công nghệ Việt - Hàn
Chủ nhiệm đề tài:
ThS. Nguyễn Quang Hải









9375
HÀ NỘI - 2010
BỘ KHOA HỌC VÀ CÔNG NGHỆ VIỆN ỨNG DỤNG CÔNG NGHỆ



BÁO CÁO TỔNG HỢP

KẾT QUẢ KHOA HỌC CÔNG NGHỆ ĐỀ TÀI
Nghiên cứu giải pháp đồng bộ dữ liệu ngược áp dụng cho việc quản
trị cây thư mục bằng OpenLdap


Chủ nhiệm đề tài





ThS. Nguyễn Quang Hải

Cơ quan chủ trì đề tài:
Trung tâm hợp tác công nghệ Việt - Hàn






Bộ Khoa học và Công nghệ





iii
MỤC LỤC
MỤC LỤC iii

CÁC HÌNH VẼ v
GIỚI THIỆU 1
PHẦN 1. MỞ ĐẦU 3
Sự hình thành đề tài 3
Các vấn đề phát sinh 3
Mục tiêu, đối tượng, tính cấp thiết, phạm vi nghiên cứu, ý nghĩa khoa học và
thực tiễn 4

Mục tiêu của đề tài 4
Đối tượng 4
Tính cấp thiết 4
Phạm vi nghiên cứu 4
Ý nghĩa khoa học và thực tiễn 4
Tình hình nghiên cứu, phân tích, đánh giá các công trình đã có trong và
ngoài nước 4

PHẦN 2. NỘI DUNG THỰC HIỆN 6
Chương 1. TỔNG QUAN VỀ LDAP 6
Giới thiệu về LDAP 6
Ứng dụng LDAP trong thực tế 9
Tổ chức phần mềm OpenLDAP 9
Chương 2. CÁC GIẢI PHÁP ĐỒNG BỘ ĐÃ CÓ TRONG OPENLDAP 2.4
12

Giới thiệu 12
Slurpd và mô hình đồng bộ Master/Slave 12
SyncRep và mô hình đồng bộ Consumer/Provider 13
Chương 3: NHU CẦU ĐỒNG BỘ PHI ĐỐI XỨNG 20
Nhu cầu thực tế 20
Xây dựng khái niệm đồng bộ phi đối xứng 22

Phân loại dữ liệu có trong thực tế hoạt động 23
Phân quyền trên vùng dữ liệu 24
Quản lý quyền cập nhật 24
Nhận xét 25
Các yêu cầu về chính sách đồng bộ dữ liệu 27
iv
Thiết lập kết nối, phát hiện và xử lý xung đột có thể xảy ra trong đồng bộ
phi đối xứng 27

An ninh trong đồng bộ phi đối xứng 30
Chương 4: TÍCH HỢP GIẢI PHÁP ĐỒNG BỘ PHI ĐỐI XỨNG VÀO
TRONG OpenLDAP 2.4 32

Lựa chọn hướng tiếp cận 32
Giải pháp 1: cơ chế quản lý đa cấp theo nhánh 33
Giải pháp 2: cơ chế multi-master syncrepl 34
Giải pháp 3: ứng dụng mdbsync 35
Thiết kế và thử nghiệm mdbsync 37
PHẦN 3. CÁC KẾT QUẢ ĐẠT ĐƯỢC 38
PHẦN 4. KẾT LUẬN VÀ KIẾN NGHỊ 40
Kết luận 40
Kiến nghị 40
Quản lý nhân sự và quyển hạn đăng nhập 40
Quản lý học sinh trên diện rộng 41
PHẦN 5. TÀI LIỆU THAM KHẢO 42

v
CÁC HÌNH VẼ
Hình 1. Quan hệ giữa LDAP và X.500 6
Hình 2. Ví dụ về Cây Thông tin Thư mục 8

Hình 3. Nhiều ứng dụng cùng sử dụng chung các thuộc tính của một thực thể.8
Hình 4. Ví dụ về kết nối LDAP với các dịch vụ trong DataCenter 9
Hình 5. Mô hình tổ chức của LDAP Server 9
Hình 6. Cơ chế hoạt động của slurpd 13
Hình 7: Hoạt động của Syncrepl trong chế độ kéo - “refreshOnly” 16
Hình 8: Hoạt động của Syncrepl trong chế độ đẩy - “refreshAndPersist” 17
Hình 9: Delta-Syncrepl 19
Hình 10: Tổ chức cây thông tin phân cấp 20
Hình 11: Tổ chức cập nhật thông tin trong mô hình phân cấp 21
Hình 12: Ví dụ về phân vùng dữ liệu 26
Hình 13: Phân quyền quản lý đa cấp 33
Hình 14: Multi-master Syncrepl 34
Hình 15: Mô hình hoạt động của MDBSync 36
Hình 16: MDBSync trong mô hình đa cấp 37


i
VIỆN ỨNG DỤNG CÔNG NGHỆ
TT HỢP TÁC CÔNG NGHỆ
VIỆT-HÀN
__________________
CỘNG HOÀ XÃ HỘI CHỦ NGHĨA VIỆT NAM
Độc lập - Tự do - Hạnh phúc

Hà nội, ngày tháng năm 2010


BÁO CÁO THỐNG KÊ
KẾT QUẢ THỰC HIỆN ĐỀ TÀI


I. THÔNG TIN CHUNG
1. Tên đề tài/dự án:
“Nghiên cứu giải pháp đồng bộ dữ liệu ngược áp dụng cho việc quản trị
cây thư mục bằng OpenLdap”.
Thuộc lĩnh vực: công nghệ thông tin
2. Chủ nhiệm đề tài/dự án:
Họ và tên: NGUYỄN QUANG HẢI
Ngày, tháng, năm sinh: 07-5-1967 Nam/ Nữ: Nam
Học hàm, học vị: Thạc sĩ kỹ thuật
Chức danh khoa học: nghiên cứu viên Chức vụ. Phó giám đốc
Điện thoại: Tổ
chức: (04)3933 1763 Nhà riêng: (04) 38523
731
Mobile: 091352 4144
Fax: (04) 3933 1040 E-mail:

Tên tổ chức đang công tác: Trung tâm Hợp tác Công nghệ Việt -
Hàn
Địa chỉ tổ chức: 25 Lê Thánh Tông, Hoàn Kiếm, Hà Nội, Việt Nam
Địa chỉ nhà riêng: 278 tổ 81A, Kim Liên, Đống Đa, Hà Nội, Việt
nam
3. Tổ chức chủ trì đề tài/dự án:
Tên tổ chức chủ trì đề tài: Trung tâm Hợp tác Công nghệ Việt -
Hàn.
Điện thoại: (04) 3933 1039 Fax: (04) 3933 1040
E-mail:
ii
Website:
Địa chỉ: 25 Lê Thánh Tông, Hoàn Kiếm, Hà Nội, Việt Nam
Họ và tên thủ trưởng tổ chức: Trần Hồng Sơn

Số tài khoản: 301.01.004.1
Ngân hàng: KBNN Quận Hoàn Kiếm Hà Nội
Tên cơ quan chủ quản đề tài: Viện Ứng dụng Công nghệ
Điện thoại: (04) 3933 3389 Fax: (04) 3933 0267
E-mail:
Website:
Địa chỉ: 25 Lê Thánh Tông, Hoàn Kiếm, Hà Nội
Họ và tên thủ trưởng tổ chức: Trần Xuân Hồng
Tên cơ quan chủ quản đề tài: Bộ Khoa học và Công ngh
ệ

II. TÌNH HÌNH THỰC HIỆN
1. Thời gian thực hiện đề tài/dự án:
- Theo Hợp đồng đã ký kết số 12/HĐ/ĐT ngày 12/8/2009: từ tháng 7
năm 2009 đến tháng 6 năm 2010.
- Thực tế thực hiện: từ từ tháng 7 năm 2009 đến tháng 6 năm 2012
- Được gia hạn (nếu có):
- CV số 08/CNVH, ngày 28/3/2012 giải trình về việc chậm tiến độ đề tài.

2. Kinh phí và sử dụng kinh phí:
a) Tổng số kinh phí thực hiện: 290 tr.đ, trong đó:
+ Kính phí hỗ tr
ợ từ SNKH: 290 tr.đ.
+ Kinh phí từ các nguồn khác: 0 tr.đ.
+ Tỷ lệ và kinh phí thu hồi đối với dự án (nếu có): 0%

b) Tình hình cấp và sử dụng kinh phí từ nguồn SNKH:

Theo kế hoạch Thực tế đạt được
Số

TT
Thời gian Kinh phí Thời gian Kinh phí
Ghi chú
(Số đề nghị
iii
(Tháng, năm) (Tr.đ) (Tháng, năm) (Tr.đ)
quyết toán)
1 7/2009-6/
2010
290triệu
trong đó
tiết kiệm
7.3triệu
7/2009-12/
2010
290triệu Theo tiến độ
chậm 06 tháng
số tiền giải
ngân chậm
48,9triệu đồng
c) Kết quả sử dụng kinh phí theo các khoản chi:
Đối với đề tài:
Đơn vị tính: Triệu đồng
Theo kế hoạch Thực tế đạt được
Số
TT
Nội dung
các khoản chi
Tổng SNKH Nguồn
khác

Tổng SNKH Nguồn
khác
1 Trả công lao động
(khoa học, phổ
thông)
222tr 222tr 222tr 222tr
2 Nguyên, vật liệu,
năng lượng
32tr 32tr 32tr 32tr
3 Thiết bị, máy móc

4 Xây dựng, sửa
chữa nhỏ

5 Chi khác
36tr 36tr 36tr 36tr

Tổng cộng 290tr 290tr 290tr 290tr
- Lý do thay đổi (nếu có):

Đối với dự án:
Đơn vị tính: Triệu đồng
Theo kế hoạch Thực tế đạt được
Số
TT
Nội dung
các khoản chi
Tổng SNKH Nguồn
khác
Tổng SNKH Nguồn

khác
iv
1 Thiết bị, máy móc
mua mới

2 Nhà xưởng xây
dựng mới, cải tạo

3 Kinh phí hỗ trợ
công nghệ

4 Chi phí lao động
5 Nguyên vật liệu,
năng lượng

6 Thuê thiết bị, nhà
xưởng

7 Khác

Tổng cộng
- Lý do thay đổi (nếu có):

3. Các văn bản hành chính trong quá trình thực hiện đề tài/dự án:
Số
TT
Số, thời gian ban
hành văn bản
Tên văn bản Ghi chú
1 22/7/2009 Biên bản hợp hội đồng xét

duyệt thuyết minh đề tài

2 số 12/HĐ/ĐT
ngày 12/8/2009
Hợp đồng thực hiện đề tài
3 ngày 15/11/2010 Báo cáo định kỳ
4 số 248/QĐ-ƯDCN
ngày 23/12/2010
Quyết định “về việc thành
lập HĐ KHCN và tổ chuyên
gia đánh giá nghiệm thu cấp
cơ sở đề tài cấp bộ

5 ngày 27/12/2010 Biên bản nghiệm thu cấp cơ sở

v
4. Tổ chức phối hợp thực hiện đề tài, dự án:

5. Cá nhân tham gia thực hiện đề tài, dự án:
(Người tham gia thực hiện đề tài thuộc tổ chức chủ trì và cơ quan phối hợp, không
quá 10 người kể cả chủ nhiệm)
Số
TT
Tên cá nhân
đăng ký theo
Thuyết minh
Tên cá nhân
đã tham gia
thực hiện
Nội dung

tham gia
chính
Sản phẩm
chủ yếu đạt
được
Ghi
chú*
1 Nguyễn Quang
Hải
Nguyễn Quang
Hải
Tổng hợp, thiết
kế, viết báo cáo
tổng thuật,
Báo cáo tổng
hợp

2 Ngô Tố Nhiên Ngô Tố Nhiên Dự án phần
mềm
Module phần
mềm

3 Trần Hải Âu Trần Hải Âu Biên dịch, tổng
hợp tài liệu kỹ
thuật
Tài liệu
hướng dẫn kỹ
thuật

4 Trần Mạnh Hiền Trần Mạnh Hiền Dự án phần

mềm, coding
Module phần
mềm

5 Lương Duy Hiếu Lương Duy
Hiếu
Dự án phần
mềm, coding
Module phần
mềm

6 Bùi Ngọc Tú Bùi Ngọc Tú Biên dịch tài
liệu, thử chương
trình
Biên dịch và
thử nghiệm
phần mềm


6. Tình hình hợp tác quốc tế:

7. Tình hình tổ chức hội thảo, hội nghị:

8. Tóm tắt các nội dung, công việc chủ yếu:
(Nêu tại mục 15 của thuyết minh, không bao gồm: Hội thảo khoa học, điều tra
khảo sát trong nước và nước ngoài)
Thời gian
(Bắt đầu, kết thúc
- tháng … năm)
Số

TT
Các nội dung, công việc
chủ yếu
(Các mốc đánh giá chủ yếu)
Theo kế Thực tế
Người,
cơ quan
thực hiện
vi
hoạch đạt được
Nội dung 1

1 Nghiên cứu mô hình hoạt động
của cây thông tin thư mục (DIT).
Nghiên cứu tài liệu về X.500,
LDAP và các chuẩn tương ứng.
Đánh giá khả năng ứng dựng cây
thông tin thư mục trong mô hình
quản lý cây thông tin DIT phân
cấp.
Đề xuất một mô hình ứng dụng
cây thư mục trong vấn đề quản lý
thông tin cấu hình và hoạt động
của một hệ thống phân cấp cụ thể
với nền tảng là OpenLDAP 2.4.
07/2009
đế
n
12/2009


07/2009
đến
12/2009

Nhóm đề tài
2 Đánh giá ưu điểm và hạn chế của
cơ chế đồng bộ dạng Master/Slave
và Provider/Consumer trong việc
đồng bộ dữ liệu phân cấp. Đề xuất
các tiêu chí cấn thiết cho việc
đồng bộ dữ liệu ngược cho ứng
dụng OpenLDAP 2.4.
07/2009
đến
12/2009

07/2009
đến
12/2009

Nhóm đề tài
Nội dung 2


3 Phân tích các khả năng xung đột
trong quá trình đồng bộ và cập
nhật ngược cây thông tin đa cấp.
Nghiên cứu các giải pháp giải
quyết xung đột, quản lý quyền
truy cập trong mô hình đồng bộ dữ

liệu ngược.
Xây dựng “giải pháp khả thi” cho
mô hình tổ chức và đồng bộ dữ
ngược cho cây thông tin đa cấp
được quản lý bởi OpenLDAP 2.4
07/2009
đến
12/2009

07/2009
đến
12/2009

Nhóm đề tài
Nội dung 3


4 Xây dựng, triển khai mô hình ứng
dụng OpenLDAP 2.4 trong việc
quản trị cây thông tin thư mục
phân cấp.
Xây dựng triển khai module quản
trị ACL cho hệ thống đồng bộ
ngược của OpenLDAP
Xây dựng module chiết xuất thay
10/2009
đến
02/2010

10/2009

đến
03/2010

Nhóm đề tài
vii
đổi về cấu trúc cây thông tin và
xác lập cơ chế đồng bộ cho máy
chủ cục bộ.
Xây dựng module chiết xuất thay
đổi về dữ liệu và xác lập cơ chế
đồng bộ cho máy chủ cục bộ.
5 Xây dựng và thử nghiệm module
gửi và đồng bộ cấu trúc cây thông
tin (bao gồm kết nối, xác thực, lưu
nhật ký sửa đổi, ) giữa các máy
chủ không đồng cấp
Xây dựng và thử nghiệm module
gửi và đồng bộ dữ liệu (bao gồm
kết nối, xác thực, lưu nhật ký sửa
đổi, ) giữa các máy chủ không
đồng cấp
Xây dựng và thử nghiệm module
quản trị hệ thố
ng và cảnh báo tình
trạng không toàn vẹn dữ liệu trong
quá trình vận hành.
Tích hợp, thử nghiệm và đánh giá
tổng thể các module phần mềm
trên OpenLDAP. Căn chỉnh lỗi và
hoàn thiện hệ thống.

12/2009
đến
04/2010

02/2010
đến
06/2010

Nhóm đề tài
Nội dung 4


6 Biên soạn tài liệu hướng dẫn.
Đóng gói sản phẩm.
04/2010
đến
06/2010

06/2010
đến
11/2010

Nhóm đề tài


III. SẢN PHẨM KH&CN CỦA ĐỀ TÀI, DỰ ÁN
1. Sản phẩm KH&CN đã tạo ra:
b) Sản phẩm Dạng II: phần mềm máy tính và báo cáo phân tích
Yêu cầu khoa học
cần đạt


Số
TT
Tên sản phẩm

Theo kế hoạch Thực tế
đạt được
Ghi chú

1
“Giải pháp khả thi” cho
mô hình tổ chức và đồng
Báo cáo thiết kế
khả thi phần mềm
Báo cáo TKKT
và hướng dẫn

viii
bộ dữ ngược cho cây
thông tin đa cấp được
quản lý bởi OpenLDAP
2.4
ứng dụng, trong
đó phải nêu rõ
các đầu vào, đầu
ra, các tác nhân,
các quan hệ và
luồng thông tin
cần xử lý
sử dụng bộ

phần mềm
MDBSync
2
Các module phần mềm
phục vụ chức năng đồng
bộ ngược trong mô hình
cây thông tin phân cấp.
Các module phải
được tích hợp và
hoạt động ổn định
trên nền Linux và
OpenLDAP 2.4.
Phần mềm (bao
gồm mã nguồn và
mã biên dịch)
được đóng gói
trong đĩa CD kèm
hướng dẫn cài
đặt.
Các module và
hướng dẫn sử
dụng được
đóng gói trong
đĩa CD (chạy
trên nền Linux
+ Ldap 2.4)


e) Thống kê danh mục sản phẩm KHCN đã được ứng dụng vào thực tế
Số

TT
Tên kết quả
đã được ứng dụng
Thời gian
Địa điểm
(Ghi rõ tên, địa
chỉ nơi ứng
dụng)
Kết quả
sơ bộ
1
2

2. Đánh giá về hiệu quả do đề tài, dự án mang lại:
a) Hiệu quả về khoa học và công nghệ:
(Nêu rõ danh mục công nghệ và mức độ nắm vững, làm chủ, so sánh với trình
độ công nghệ so với khu vực và thế giới…)


b) Hiệu quả về kinh tế xã hội:
(Nêu rõ hiệu quả làm lợi tính bằng tiền dự kiến do đề tài, dự án tạo ra so với
các sản phẩm cùng loại trên thị trường…)
ix

3. Tình hình thực hiện chế độ báo cáo, kiểm tra của đề tài, dự án:
Số
TT
Nội dung
Thời gian
thực hiện

Ghi chú
(Tóm tắt kết quả, kết luận
chính, người chủ trì…)
I Báo cáo định kỳ
Lần 1 04/12/2009
Lần 2 15/11/2010
II Kiểm tra định kỳ
Lần 1 04/12/2009 Theo tiến độ đã đề ra
Lần 2 15/11/2010 Đủ điều kiện bảo vệ cấp
cơ sở
III Nghiệm thu cơ sở 27/12/2010 Đủ điều kiện để bảo vệ
đề tài ở cấp cao hơn



Chủ nhiệm đề tài
(Họ tên, chữ ký)



Nguyễn Quang Hải
Thủ trưởng tổ chức chủ trì
(Họ tên, chữ ký và đóng dấu)



Trần Hồng Sơn




Báo cáo tổng hợp 2010 1
GIỚI THIỆU
Đề tài khoa học “Nghiên cứu giải pháp đồng bộ dữ liệu ngược áp dụng cho
việc quản trị cây thư mục bằng OpenLdap” được triển khai tại Trung tâm hợp
tác công nghệ Việt - Hàn, thuộc Viện Ứng dụng Công nghệ. Mục tiêu của đề
tài là: “nghiên cứu giải pháp đồng bộ ngược áp dụng cho hệ quản trị cây thư
mục OpenLdap phiên bản 2.4”. Cụ thể, chúng ta cần phải xây dựng một cơ
chế
hỗ trợ việc cập nhật cây thông tin LDAP từ nhiều nguồn theo mô hình phân cấp
và cơ chế này phải tương thích hoàn toàn với hoạt động nền tảng của hệ phần
mềm OpenLDAP 2.4. Để hoàn thành mục tiêu trên, nhóm nghiên cứu đã tiến
hành phân tích cơ chế hoạt động của LDAP, mô hình ứng dụng trong
OpenLDAP; Nhóm đặc biệt quan tâm đến các cơ chế trao đổi thông tin, đồng
bộ dữ liệu, tạo bản sao
đã có trong OpenLDAP 2.4. Sau khi phân tích, đánh giá,
cuối cùng nhóm đã tiến hành xây dựng phương án khả thi, phát triển ứng dụng
MDBSYNC cho giải pháp đồng bộ ngược và thử nghiệm trong thực tế.
Với tiêu chí tận dụng tối đa các tính năng có sẵn của phần mềm gốc
(OpenLDAP), nhóm đã lựa chọn cách tiếp cận xây dựng chương trình hỗ trợ
đồng bộ MdbSync dưới dạng module độc lập, kết nối với ph
ần mềm gốc qua
giao thức chuẩn; Các tác vụ xử lý như đồng bộ, tạo bản sao, quản lý quyền truy
cập, được xử lý dựa trên tính năng sẵn có của phần mềm gốc. Cách tiếp cận
này cho phép phần mềm hỗ trợ được xây dựng khá độc lập với phần mềm gốc,
do đó đẩy nhanh được tiến độ phát triển. Kết thúc quá trình phát triển phần
mềm, nhóm nghiên c
ứu cũng đã tiến hành thử nghiệm các mô hình đồng bộ
trong phạm vi phòng thí nghiệm. Các thao tác kiểm tra này đã được tích hợp lại
trong các gói scripts để việc thử nghiệm có thể thực hiện được nhiều lần một
cách dễ dàng hơn.

Báo cáo của đề tài được tổ chức theo trình tự sau đây
Phần 1: Mở đầu, giới thiệu về xuất xứ và các nội dung khoa học cần đạt được
liên quan đến đền tài
Phần 2: Nội dung khoa học đã thực hiện, gồm các chương sau đây:
Chương 1. Tổng quan về LDAP và khả năng ứng dụng LDAP trong
thực tế. Nhu cầu phát triển mô hình đồng bộ ngược cho cây thư mục
LDAP.
Chương 2. Giới thiệu về các giải pháp đồng bộ trong OpenLDAP 2.4.
Chương 3. Nhu cầu thực tế và các vấn đề liên quan đến mô hình đồng bộ
dữ liệu ngược.
Ch
ương 4: Các hướng tiếp cận để tìm kiếm giải pháp đồng bộ ngược và
lựa chọn cách thức xây dựng ứng dụng mbdsync;
Phần 3: Các kết qua đạt được
Phần 4: Kết luận và kiến nghị
Phần 5. Tài liệu tham khảo
Báo cáo tổng hợp 2010 2
Các báo cáo hỗ trợ của đề tài bao gồm:
• Tài liệu thiết kế kỹ thuật phần mềm MDBSYNC và các scripts thử
nghiệm đã được tự động hóa.
• Hướng dẫn cài đặt và sử dụng OpenLDAP (phiên bản 2.4)
• Các phụ lục của đề tài
• Đĩa cài đặt phần mềm.

Báo cáo tổng hợp 2010 3
PHẦN 1. MỞ ĐẦU
Sự hình thành đề tài
Trong thời gian qua chúng tôi đã có điều kiện nghiên cứu các vấn đề liên quan
đến việc ứng dụng công nghệ thông tin vào lĩnh vực quản lý hành chính nhà
nước. Một trong những vấn đề liên quan đến hạ tầng rất được quan tâm là việc

xây dựng một hệ thống ổn định, có tính mở để có thể hỗ trợ thành công cơ chế
đăng nhập một lần (Single Sign-On) cho nhiều nền tảng khác nhau. Quá trình
tìm kiếm đ
ó đã đưa chúng tôi tiếp cận với mô hình quản lý dữ liệu phân cấp
hình cây dựa trên nền LDAP, cụ thể hơn là OpenLDAP trên Linux và Active
Directory trên các hệ điều hành Microsoft Windows. Qua tìm hiểu, chúng tôi
nhận thấy LDAP có nhiều tính năng rất phù hợp với mô hình quản lý đăng
nhập mở và tương thích với nhiều nền tảng khác nhau:
• LDAP là giao thức chuẩn được thu gọn từ X.500 và đã được phát triển
trên nhiều nền tảng khác nhau như Linux, BSD, SunOS, và Microsoft
Windows (với nhiều tên gọi khác nhau).
• Việc truy vấn và khai thác dữ liệu trên LDAP rất đơn giản và thuận tiện
vì mọi ứng dụng đều có thể kết nối với LDAP thông qua các hàm gọi
API chuẩn và thông tin có thể xây dựng dựa trên các giản đồ cơ bản đã
có sẵn; các giản đồ đặc thù có thể dễ dàng được phát triển và công bố để
sử dụng trên mọi nền tảng.
•
Tổ chức dữ liệu trong LDAP có tính mở; Giữa LDAP với mô hình dữ
liệu XML có sự tương đồng lớn nên việc xuất và nhập dữ liệu với hệ
thống CSDL khác rất thuận tiện.
Trong thực tế chúng tôi đã tiến hành triển khai thử nghiện ứng dụng
OpenLDAP trong việc quản lý nguồn nhân lực của các đơn vị cấp huyện, thị,
sở, ban, ngành trực thuộc bộ máy quả
n lý hành chính của một tỉnh và thấy ứng
dụng LDAP hoàn toàn có thể đáp ứng được các nhu cầu thực tế trong phạm vi
mạng cục bộ.
Các vấn đề phát sinh
Cùng với sự phát triển của công nghệ thông tin, các hệ thống mạng tin học dần
được triển khai liên thông trên diện rộng từ cấp trung ương đến tỉnh/thành và
xuống đến cấp huyện/thị. Đi kèm với việc mở rộng này các ứng dụng tác

nghiệp cũng được triển khai theo xu hướng hình thành một hệ thống mạng phân
cấp đa lớp nhưng vẫn phải đảm bảo đượ
c tính thống nhất về quyền hạn của
từng cá nhân tham gia hệ thống. Với vai trò là phần mềm gốc chịu toàn bộ
trách nhiệm quản lý tài khoản và quyền hạn đăng nhập, OpenLDAP cùng cần
Báo cáo tổng hợp 2010 4
được triển khai với một cơ chế đồng bộ và quản lý đồng bộ một cách phù hợp
và hiệu quả để có thể đáp ứng được nhu cầu đó. Yêu cầu này đã làm nảy sinh
bài toán đồng bộ dữ liệu phi đối xứng giữa các cấp quản lý.
Mục tiêu, đối tượng, tính cấp thiết, phạm vi nghiên cứu, ý
nghĩa khoa học và thực tiễn
Mục tiêu của đề tài
Mục tiêu của đề tài là nghiên cứu và xây dựng giải pháp đồng bộ ngược áp
dụng cho hệ quản trị cây thư mục OpenLdap phiên bản 2.4 qua đó giúp việc
quản trị và đồng bộ dữ liệu trong cây thư mục trên diện rộng được dễ dàng và
thuận tiện.
Đối tượng
Đối tượng của đề tài là các vấn đề liên quan đến việc bảo đảm sự đồng nhất và
toàn vẹn dữ liệu của cây thư mục trên phạm vi mạng diện rộng đa cấp trên nền
OpenLDAP 2.4
Tính cấp thiết
Việc xây dựng và phát triển cơ chế đồng bộ ngược cho OpenLDAP 2.4 là rất
cần thiết trong việc xây dựng các hệ thống nền tảng hỗ trợ quản lý thông tin
xác thực và quyền truy cập đồng nhất trên diện rộng.
Phạm vi nghiên cứu
Nội dung cơ bản bao gồm việc tiến hành nghiên cứu cơ chế hoạt động bên
trong của OpenLDAP; nghiên cứu cơ chế đồng bộ từ nhiều nguồn để đưa ra
hướng giải quyết thỏa đáng cho việc đồng bộ phi đối xứng; cuối cùng là tiến
hành lập trình và tích hợp các module cần thiết với phần mềm gốc
Ý nghĩa khoa học và thực tiễn

Việc xây dựng thành công cơ chế đồng bộ ngược giúp cho hệ phần mềm
OpenLDAP được hoàn thiện hơn. Chúng ta cũng có thể triển khai ứng dụng
OpenLDAP trong môi trường phân cấp phi đối xứng dễ dàng hơn.
Tình hình nghiên cứu, phân tích, đánh giá các công trình đã có trong và
ngoài nước
Ở nước ngoài việc nghiên cứu về các hệ thống quản trị cây thông tin thư mục
(Directory Information Tree) đã được triển khai và áp dụng từ nhiều năm nay.
Ứng dụng đầu tiên được phát triển dựa trên nền X.500. Phiên bản thu gọn của
X.500 là LDAP được phát triển dưới cả dạng thương phẩm cũng như nguồn
mở. LDAP hiện nay được ứng dụng rất rộng rãi, và chúng ta có thể gặp ngay
Báo cáo tổng hợp 2010 5
trong các hệ điều hành của Microsoft Windows với tên gọi « Directory Service
– Dịch vụ thư mục ». Các sản phẩm LDAP độc lập có thể kể đến OpenLDAP,
Sun LDAP,
Trong nước chúng ta mới chỉ gặp nhiều các ứng dụng CSDL quan hệ. Các ứng
dụng liên quan đến hệ thống quản trị cây thông tin thư mục (DIT) chưa được
tìm hiểu và triển khai nhiều. Các ứng dụng liên quan đến LDAP vẫn chỉ gặp
trong quy mô vừa và nhỏ, và tri
ển khai tập trong phạm vi mạng cục bộ. Các cây
thông tin theo mô hình đa cấp phân tán hầu như chưa phát triển.
Báo cáo tổng hợp 2010 6
PHẦN 2. NỘI DUNG THỰC HIỆN
Chương 1. TỔNG QUAN VỀ LDAP
Giới thiệu về LDAP
Lightweight Directory Access Protocol, hay LDAP, là một giao thức ứng dụng
để truy vấn và sửa đổi dịch vụ thư mục chạy trên nền TCP/IP. Khởi nguồn của
LDAP được xây dựng dựa trên nền X.500, nhưng đã được loại bỏ các chức
năng ít được sử dụng và chỉ giữ lại các chức năng cần thiết.

Hình 1. Quan hệ giữa LDAP và X.500


Hiện nay LDAP đang được phát triển ở phiên bản 3, và được mô tả trong một
tập hợp các RFC của Internet Engineering Task Force (IETF), bắt đầu từ RFC
4510.
• LDAP: Technical Specification Road Map [RFC4510]
• LDAP: The Protocol [RFC4511]
• LDAP: Directory Information Models [RFC4512]
• LDAP: Authentication Methods and Security Mechanisms [RFC4513]
• LDAP: String Representation of Distinguished Names [RFC4514]
• LDAP: String Representation of Search Filters [RFC4515]
• LDAP: Uniform Resource Locator [RFC4516]
• LDAP: Syntaxes and Matching Rules [RFC4517]
Báo cáo tổng hợp 2010 7
• LDAP: Internationalized String Preparation [RFC4518]
• LDAP: Schema for User Applications [RFC4519]
• LDAP: Content Synchronization Operation [RFC4533]
LDAP hoạt động theo mô hình Client/Server. Một client bắt đầu phiên LDAP
bằng cách kết nối với LDAP server, qua cổng mặc định TCP/389. Client sau đó
gửi các yêu cầu thao tác đến server, và server gửi trả lại các phúc đáp. Các yêu
cầu mà client có thể gửi:
• Start TLS - sử dụng trong phần mở rộng của LDAPv3 Transport Layer
Security (TLS) đối với các kết nối an toàn.
• Bind - xác thực và chỉ định phiên bản giao thức LDAP
• Search - tìm kiế
m và/hoặc lây thực thể của thư mục
• Compare - so sánh nếu thực thể có tên chứa giá trị thuộc tính đã cho
• Add a new entry - thêm thực thể
• Delete an entry - xóa thực thể
• Modify an entry - sửa đổi thực thể
• Modify Distinguished Name (DN) - chuyển hoặc đổi tên thực thể

• Abandon - hủy yêu cầu trước đó
• Extended Operation - thao tác chung được sử dụng để định nghĩa các
hành động khác
• Unbind - đ
óng kết nối
LDAP tổ chức thông tin theo dạng hình cây. Mỗi cây bao giờ cũng có một gốc
(root) và các nhánh. Trong các nhánh có các thực thể (entry) và mỗi thực thể lại
chứa một hoặc nhiều thuộc tính (attribute)

Báo cáo tổng hợp 2010 8

Hình 2. Ví dụ về Cây Thông tin Thư mục

LDAP được thiết kế tối ưu cho các thao tra cứu, tìm kiếm, xét duyệt và các
hoạt động “đọc” khác. Ngoài ra do có cấu trúc khá mềm dẻo, LDAP được sử
dụng rất phổ biến trong các ứng dụng quản lý thông tin cá nhân, xác thực và
cấp phép cho người dùng (authentication và authorisation), quản lý quyền truy
nhập, Các ứng dụng có thể kể đến bao gồm: address books, web catalogs,
whois, dict, operating system / network information services, Domain Name
System. Ngoài ra do có thể cùng chia sẻ dữ liệu trên một thực th
ể nên LDAP
cũng rất thích hợp với các ứng dụng “Single Sign On”.

Hình 3. Nhiều ứng dụng cùng sử dụng chung các thuộc tính của một thực thể
Báo cáo tổng hợp 2010 9
Ứng dụng LDAP trong thực tế
Trong thực tế, LDAP được xây dựng như là một dịch vụ hạ tầng cho các dịch
vụ và ứng dụng khác. Chúng ta có thể kết hợp LDAP với giao diện WEB để
cung cấp các dịch vụ tra cứu như danh bạ điện tử. LDAP cũng được sử dụng
cho mục đích xác thực trong MAIL, FTP, SSH, CA, RADIUS và các ứng

dụng làm việc nhóm như Domino. Sau đây là một ví dụ về mô hình triển khai
và tích hợp LDAP với các dị
ch vụ khác trong vùng an toàn của một
DataCenter:

Hình 4. Ví dụ về kết nối LDAP với các dịch vụ trong DataCenter
Khi triển khai hệ thống LDAP trong phạm vi một mạng cục bộ, chúng ta
thường cài đặt các LDAP server dưới dạng phân tải. Điều này cho phép phân
tải dịch vụ LDAP trên nhiều máy chủ khác nhau và vẫn đảm bảo an toàn dữ
liệu.
Tổ chức phần mềm OpenLDAP
Một phần mềm quản trị LDAP mã mở được sử dụng trong thực tế là
OpenLDAP. OpenLDAP server sử dụng các hệ quản trị cơ sở dữ liệu có sẵn để
lưu dữ liệu như Berkeley DB, LDIF, SQL, Perl/Shell,

Hình 5. Mô hình tổ chức của LDAP Server

OpenLDAP là một bộ phần mềm có nhiều tính năng và nó được tổ chức dưới
dạng các module:
Báo cáo tổng hợp 2010 10
• slapd - stand-alone LDAP daemon (server)
• slurpd - stand-alone LDAP update replication daemon
• Các module hỗ trợ bao gồm backends và các overlays
• các thư viện ứng dụng giao thức LDAP, và
• các công cụ, tiện ích, và các ví dụ về Clients.
Slapd: stand-alone LDAP daemon (server)
Tiến trình chính slapd là một tiến trình độc lập dùng để giao tiếp với LDAP
Client, tải các Backends, các Overlays, Các tính năng được tích hợp sẵn
trong slapd bao gồm:
• Đọc cấu hình từ tệp hoặc từ thư mục. Tải các backends, các overlays và

mở các tiến trình khi được yêu c
ầu
• Nghe các yêu cầu kết nối từ LDAP Client qua cổng TCP/IP
• Quản lý đăng nhập và xác thực
• Quản lý quyền truy cập ACL
•
Slapd có thể chạy như một tiến trình độc lập. Theo mặc định slapd nghe trên
cổng TCP/389 và TCP/636. Từ phiên bản 2.3, ta có thể lưu cấu hình hoạt động
cho slapd từ một trong hai dạng:
• Kiểu cũ dạng tệp, với tệp mặc định thườ
ng là /etc/openldap/slapd.conf
(cấu hình tĩnh) như ở các phiên bản trước đó.
• Dạng mới, cấu hình động, thường lưu trong thư mục
/etc/openldap/slapd.d. Việc cấu hình động cho phép slapd chấp nhận các
theo tác cấu hình mà không đòi hỏi khởi động lại máy chủ.
Slurpd: stand-alone LDAP update replication daemon
Tiến trình hỗ trợ tạo bản sao slurpd cũng là một tiến trình độc lập. Slurpd có thể
được khởi động thông qua slapd hoặc được người dùng chạy trự
c tiếp từ dòng
lệnh. Từ phiên bản 2.4, slurpd đã bị thay thế bằng syncprov.
Báo cáo tổng hợp 2010 11
Các “backend”
Backends là các module thuộc OpenLDAP được sử dụng để làm giao diện giữa
LDAP với một dạng CSDL nào đó; ví dụ để kết nối với một CSDL thực như
BDB, HDB, SQL, ; hoặc với một dạng CSDL ảo như LDIF, Perl, Shell,
LDAP, META, ; Chúng ta cũng có thể sử dụng backend Monitor để theo dõi
trạng thái hoạt động của bản thân OpenLDAP.
Các “Overlay”
Overlays là các module dùng để tăng cường hoặc mở rộng tính năng cho slapd.
Chúng có thể do bên thứ ba cung cấp. Ví dụ chúng ta có “overlay” Access

Logging, Audit Logging
để hỗ trợ việc lưu lại các thao tác truy cập, sửa đổi. Có
các Overlays liên quan đến việc quản trị dữ liệu bên trong của LDAP như
Constrains, Value Sorting, Dynamic Groups.