银行统一门户解决方案

合集下载

银行信息门户方案

一、银行信息化建设概况当银行竞争越来越趋向于同质化时，银行业的竞争机制就越来越趋向于市场化。

市场化的一个基本特征就是网络最大化，并以最友好的界面面对终端消费者，提供优质服务和新业务。

目前没有网络，银行就根本无法生存，借助网络的银行商务信息门户是帮助银行更好地解决压力的最佳手段。

门户主要为银行自身的客户服务，为客户增添一条新型的银行信息服务渠道，向客户提供尽可能多的、准确的、丰富的银行信息，帮助客户了解银行基本状况，熟悉银行金融产品和服务。

商务门户提供的信息可不局限于银行自身，而是提供由合作伙伴、会员共同参与的活动，门户已不仅仅是传统服务的延伸和补充渠道，而是银行直接经营的全新网络渠道，服务对象也不再局限于传统意义上的银行客户，而是向尽可能多的网络用户提供增值服务，也就是向商务门户的方向发展。

实现“具有网络直营和坐庄能力”的“一站式可运营”的新一代互联网信息与商务标准，使银行的门户成为实现网上信息、业务服务、交易市场的一体化平台，最终整体推进全行的网上金融服务事业。

而实现这些的有效途径，就是建立起一个完善的银行信息门户平台。

二、方案概述我们根据银行的业务特点并总结银行管理难点，推出银行信息门户解决方案，（农行某某分行案例）包括如下模块：1.银行信息门户系统银行信息门户提炼出互联网上金融信息、新闻、报告的精华部分，使平台能够提供最广泛、最全面、最实用、最有效、包罗万象的金融信息，迅速吸引网站客户的增长，这将为其金融门户的建设奠定基础。

2.银行在线业务平台系统银行门户商务应用：a)网上结算型业务，包括：网上缴费，如个人纳税；网上信贷，如车、房、留学、消费等；b)网上分销型业务，包括：网上保险，如个人医疗保险；网上发卡，如城市教育发卡、社保发卡；网上炒汇等；c)网上宣传型业务，包括：网上金融信息：如路透、深市、沪市、摩根指数；网上业务咨询：如申贷程序；d)网上通讯型业务，包括：网上订阅，如个人消费咨询；电邮、短信息、传真、如个性化信息订阅，余额通知；网上商务社区：如代理商客户需求。

智慧银行解决方案(页)PPT

• 网点工作流程优化
• 业务处理效率的提高,减少客户等待时间 • 技术创新 • 客户统一视图和综合服务能力支持（CRM集成）
• 视频和交互技术应用
• 远程顾问 • 虚拟柜员 • 员工绩效
• 在线培训
• 企业沟通和协作平台 • 考核和激励 • 风险合规
• 全流程操作风险管理
• 数字视频监控
10
解决方案—智慧网点-数码媒体管理系统
• 数码媒体管理系统更灵活、便于更新加速新产品宣传和上市
展示形式多样化
直观、可交互 • 传统的印刷品传统的产品上市流程消耗大量的资源、时间和资金。耗时长，不统一，印刷材料昂贵，与员工培训的协调性差。客户兴趣度比较低
11
解决方案—智慧网点-无线创新及应用
网点无线部署客户服务和互动门户特色专享服务移动性使员工能够在任何工作地点访问客户信息，并进行业务的移动处理良好的客户体验
无人值守网点,智能管理全功能: 咨询,签约,开户,帐户查询,交易,等. 高收益: -90% 建设费 -20% 客户获取费
用户自助,全功能。全功能:咨询,签约,开户,帐户查询,交易,等. 便于操作，体验丰富。适合部署于合作伙伴场地。
语音
远程专家新自助终端
安全
7
解决方案—IPTV
应用解决方案
金融智能园区
创新网点
智助网点
远程专家
虚拟柜员
云计算应用
……
接口/企业服务总线
新一代银行信息架构企业私有云平台基础服务及方案架构数据中心/灾难恢复架构统一通讯及协作架构无边界网络网络及信息安全架构
架构

农商银行统一数据分析平台建设方案

全方位的数据展示，便捷准确的进行决策制定
数据
分
面向业务
报表变更无需重复手动加工，快速响应决策需求
析
平
台
面向科信
提供报表维护工具，减轻开发量，提高响应速度
统一数据分析平台——特点
面向维护
面向查询
面向数据
领导全面直观决策，业务人员高效清晰查询，
信息人员轻松简单维护
统
一
提供支撑科信和业务人员的报表及BI工具和平台
展示与应用的解决方案——移动端
展示与应用的解决方案——数据决策系统
用户可以简单实现报表管理用户管理机构管理权限管理从而进行各种主题分析
展示与应用的解决方案——技术要点（项目开发时注意事项）
1：需求引导：很多需求属于临时性需求，口径复杂多变，不需要当做固定报表进行开发； 2：需求确认：开发时，不能闷着头开发，做出一个模块就和业务部门进行确认，避免重复投入； 3：数据梳理：部分数据量超过千万，不要直接通过工具直连，最后利用FineBI进行cube抽取，再通过cube加快响应速度； 4：前端呈现：报表不能只是呈现数据，尤其涉及到领导驾驶舱，要妥善利用各种图表元素进行呈现，同时避免过于花哨，反而影响决策； 5：权限控制：涉及到数据一定涉及到权限控制，总行、支行、部门、职位能够看到的数据要提前梳理好，避免数据泄露； 6：安全控制：移动端涉及到外网，需要注意非法入侵的控制，包括信道截取、伪造合法用户等手段。
通过? 数据质量问题报告
结束
数据质量问题跟踪单
问题分析脚本
问题分析日志
数据质量问题跟踪单
协同工单/工作联系单
数据质量问题跟踪单
问题检验报告

宁盾统一身份认证与终端准入解决方案

一、项目背景1.概述统一身份认证并不是什么新概念，它在企业信息化建设过程中一直被提及，是企业不断发展的必然结果。

粗浅来说，统一身份认证是在企业多应用系统并存的环境下，减少用户在各个独立的应用系统中登录次数的技术。

但因各业务系统建设时间各不相同，再加上系统架构等技术实现问题，很难简单地做统一规划。

在企业高速发展阶段，考虑到耗资不小的系统集成和管理、数据改造、用户培训等方面的成本，企业往往选择暂时搁置统一身份认证问题，而是沿袭传统的系统建设模式，即各业务系统独立用户认证模块，并使用独立的认证机制在各自的数据库中进行用户认证，即便这种系统建设模式有很多弊端。

在企业发展进入稳定期后，各业务系统独立分散的局面所带来的弊端逐渐突出，用户身份分散隔离，用户账号管理不方便、用户资料不统一等等不一而足，造成企业身份管理成本和管控风险的几何倍增加、员工登录各业务系统操作繁琐。

为了能使用这些应用服务，同一用户必须申请多套账号和密码，这不仅登录麻烦而且容易出现账号密码丢失、泄露等安全问题。

且随着互联网发展，安全边界日益扩大，员工、外包、合作伙伴、供应商混杂，账号安全风险日益增加，业务系统身份安全要求越来越高。

而对于管理员来说，需要不断来维护所有系统中分散着的账号。

这意味着每当有新入职或岗位调动，就必须在对应的每个应用中分别创建/修改账号，分配用户权限，而企业应用系统还会增加，所带来的身份管理工作还会不断增加。

应用越多则账号创建和维护的成本就越高。

企业寻求能解决以上多应用系统并行、多账号源共存所带来的操作不便、账号安全、管理困难等一系列问题的有效方案。

统一身份认证和单点登录作为目前主流的业务整合解决方案，被企业正式提上了日程。

2.关键点统一身份管理将分散在各业务系统中的用户和权限资源进行统一、集中的管理，用户的统一认证和单点登录改变原本孤立化的身份认证及授权管理，方便管理员进行运维管理工作，简化用户访问内部各系统的过程，使得用户只需要通过一次身份认证过程就可以访问具有相应权限的所有资源。

企业统一门户Portal平台方案说明

企业统一门户Portal平台方案快速集成多应用的轻量级企业门户平台目录1 Portal产品背景 (4)1.1 企业面临的挑战 (4)1.2 Portal应运而生 (5)2 Portal产品概述 (6)3 Portal产品客户价值 (8)4 Portal产品特点与优势 (10)4.1 高性能 (10)4.2 高扩展 (10)4.3 易集成 (11)4.4 安全可靠 (11)5 Portal产品组成及功能概述 (13)5.1 单点登录集成 (13)5.2 内容管理平台 (14)5.3 内容集成 (14)5.4 Widget交互 (15)5.5 多层次权限控制 (16)5.6 个性化 (16)5.7 菜单集成组件 (16)6 Portal产品环境配置 (17)6.1 支持的操作系统 (17)6.2 支持的JavaEE服务器 (17)6.3 支持的数据库 (17)6.4 支持的浏览器 (17)6.5 支持的JDK版本 (18)7 典型案例 (19)7.1 德邦物流OA系统改造和IT系统整合案例 (19)7.1.1 德邦物流简介 (19)7.1.2 背景与问题 (19)7.1.3 使用产品与方案 (20)7.1.4 实施效果 (22)7.2 交通银行信用卡中心案例 (23)7.2.1 交通银行信用卡中心简介 (23)7.2.2 背景与问题 (23)7.2.3 使用产品与方案 (24)7.2.4 实施效果 (25)1Portal产品背景1.1企业面临的挑战在过去的几十年中，大部分企业走过了职能级IT建设过程，在企业内部实施了人事、财务、行政、ERP、CRM、SCM等能够独立运行的“孤立”系统。

随着市场全球化竞争加剧和互联网的发展，企业业务呈现多元化发展，也逐步兼并重组走向集团化的道路。

企业由以产品为核心，向以市场为导向和以客户为中心的方向发展。

这些“孤立”的系统已不能满足企业管理者对企业协同、资源优化、扁平化管理、以及快速决策等的管理要求。

企业统一门户Portal平台方案

企业统一门户Portal平台方案1 Portal产品背景1.1 企业面临的挑战企业在数字化转型的过程中，面临着诸多挑战。

其中一个重要的挑战是如何快速集成多个应用，以提高工作效率和员工满意度。

传统的应用集成方案存在着诸多限制，如复杂、耗时、成本高等问题，因此需要一种轻量级的企业门户平台来解决这一挑战。

1.2 Portal应运而生Portal平台应运而生，它是一种轻量级的企业门户平台，可以快速集成多个应用，提高工作效率和员工满意度。

Portal平台可以将企业内部的各种应用整合到一个界面上，让员工可以在一个地方访问所有的应用，从而提高工作效率和员工满意度。

2 Portal产品概述Portal平台是一种轻量级的企业门户平台，可以快速集成多个应用，提高工作效率和员工满意度。

Portal平台具有以下特点：高度可定制化：可以根据企业的需求进行定制化开发，满足企业的特定需求。

易于集成：可以快速集成多个应用，提高工作效率和员工满意度。

易于使用：可以让员工在一个界面上访问所有的应用，提高工作效率和员工满意度。

3 Portal产品客户价值Portal平台可以提供以下客户价值：提高工作效率：员工可以在一个界面上访问所有的应用，提高工作效率。

提高员工满意度：员工可以更方便地使用各种应用，提高员工满意度。

降低成本：可以快速集成多个应用，降低应用集成的成本。

4 Portal产品特点与优势4.1 高性能Portal平台具有高性能的特点，可以快速响应用户的请求，提高用户的体验。

4.2 易于集成Portal平台可以快速集成多个应用，提高工作效率和员工满意度。

4.3 易于使用Portal平台可以让员工在一个界面上访问所有的应用，提高工作效率和员工满意度。

4.4 高度可定制化Portal平台可以根据企业的需求进行定制化开发，满足企业的特定需求。

高扩展、易集成、安全可靠是这个产品的三大特点。

Portal产品由以下几个组成部分构成，并拥有各自不同的功能：5.1 单点登录集成5.2 内容管理平台5.3 内容集成该产品具有高扩展性，易于集成，安全可靠。

银行IT系统专题方案

银行IT系统方案（1）：整体解决方案描述：银行信息系统建设旳二个层面是相辅相成旳，“业务解决系统”面向客户服务，旨在以丰富旳银行金融产品、综合旳服务和销售渠道以及灵活旳业务解决流程提供即时旳、满足市场需求旳银行服务。

“经营管理系统”是以业务系统运营过程中产生旳数据为基本，以银行经营管理旳各个重要因素为对象建立面向银行管理旳各个分析主题，以数据基本建立数据模型向银行提供基于数据基本旳、量化旳决策根据；一、银行系统背景自从上世纪八十年代中期以来，中国旳各国有银行、股份制商业银行等金融机构经过20近年发展和管理制度变迁，各金融机构构造发生了深刻变化，金融机构旳竞争性市场机制和市场体系初步形成，产权多元化旳趋势非常明显。

在加入WTO后境外金融机构旳冲击，以及随着2003年开始旳一行三会（人民银行、银监会、证监会、保监会）旳架构设立，《人民银行法》、《商业银行法》、《监管法》旳颁布，中国旳金融体系正在迅速向国际原则靠拢。

所以无论从市场指标、市场集中率还是进入壁垒来衡量，都已经从国有银行高度垄断旳市场构造转变为多元主体共同竞争旳市场构造。

同步，这种市场竞争旳加深以及各金融机构服务能力旳比拼，对中国金融电子化、信息化建设旳影响将是非常深远旳！特别是，从2006年开始在各金融机构实施1104工程开始，标志着管理会计和风险管控在金融机构正式进入实施阶段。

此外，从2007年开始旳新会计准则旳推广，对金融机构旳会计核算、财务报告以及信息披露将有深远旳影响，也必将进一步推动银行IT架构及金融信息系统旳迅速发展和与国际惯例接轨。

面对中国金融市场旳竞争格局加剧，银行旳信息化建设愈发成为银行发展旳核心要素。

结合目前国内外系统建设旳经验，按照将来国内金融市场旳发展趋势，集团以为，商业银行旳电子信息系统建设应当在“二个层面”上考虑“统一规划，分步实施”，即商业银行电子信息系统建设旳整体解决方案涉及二类相对独立旳构成部分，一类是“业务解决系统”，一类是“经营管理系统”。

财政管理一体化-统一门户管理系统建设方案

统一门户管理系统建设方案目录1 统一门户管理 (3)1.1 功能描述 (3)1.2 统一门户架构 (3)1.3 功能需求与初步设计 (4)1.3.1 统一用户及权限管理 (4)1.3.2 统一单点登录管理 (4)1.3.3 统一待办事项管理 (5)1.3.4 集中部署配置管理 (5)1.3.5 衔接业务模块的接口服务 (5)1.4 统一门户与CA的服务 (7)1.4.1 CA系统组成 (7)1.4.2 统一门户与CA的服务需求 (8)1.5 统一门户对项目相关业务的支持和准备 (8)1统一门户管理1.1功能描述随着财政办公信息化水平不断提高，业务系统也越来越多，一个用户可能要使用多个系统，办公过程中需要在不同系统之间切换，而且每个系统都有自己的用户名和密码，这样势必给工作带来不便。

基于平台的统一门户管理，要对纳入一体化系统的各业务子系统的账户和权限实行统一分配、分级管理；实现单点登录，系统内的每个操作人员，采用统一的登录方式和界面进入各业务子系统，并且实现统一的业务事务提醒功能，门户要有CA认证接口，能够方便与财政部统一研发的CA系统进行衔接。

1.2统一门户架构通过门户实现单点登录和待办事项提醒，用户只需要一次登录门户，就可以访问自己拥有权限操作的业务模块，从而解决用户之前使用多个模块需要在不同模块之间切换时多次登陆，而且每个模块都有自己的用户名和密码，从而给工作带来操作不便的问题。

统一门户管理总体架构如下：省、设区市、县、乡各级财政及预算单位等用户图 1.2-1：门户管理总体构架1.3功能需求与初步设计1.3.1统一用户及权限管理统一用户及权限管理的建设是应用整合中的基础，可以说决定了应用整合建设的成败，是应用整合建设关键的一步。

目前业务系统建设不是统一的技术平台，用户管理、系统登录等自成体系，每套系统都有独立的用户管理，带来了系统使用和管理的复杂度和成本增加。

统一用户管理作为用户的认证、用户信息统一修改、用户密码修改的入口，包含用户、应用分配、同步等管理。

1、下载文档前请自行甄别文档内容的完整性，平台不提供额外的编辑、内容补充、找答案等附加服务。
2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
3、如文档侵犯您的权益，请联系客服反馈,我们会尽快为您处理(人工客服工作时间：9:00-18:30)。

银行统一门户解决方案2016年12月修订历史记录目录一、概述 (4)二、用户分类模型 (4)2.1基于部门岗位树的角色模型 (4)2.2 级别分层树模型 (5)三、用户信息存储管理 (6)3.1 用户信息存储分类 (6)3.2 LDAP目录服务定义 (7)3.3、LDAP目录的结构 (8)3.4、LDAP目录的存储内容 (10)四、用户身份认证 (11)4.1、认证类型 (11)4.2、用户身份密码验证 (12)4.3、与CA认证接口 (14)4.4、用户登录控制 (15)五、分布式用户目录管理 (16)5.1、分布式目录服务体系 (16)5.2、目录复制 (17)六、统一用户信息的方式分类 (17)七、用户信息同步 (18)八、用户生命周期管理 (20)8.1、新建用户 (20)8.2、密码修改 (21)8.3、删除用户 (21)一、概述目录管理是为了方便用户访问组织机构内所有的授权资源和服务，简化用户管理，基于LDAP或基于数据库，对组织机构内中所有应用实行统一的用户信息的存储、认证和管理。

统一用户目录管理要遵循以下两个基本原则：★统一性原则：实现对目前已知用户类型进行统一管理；对包括分支机构在内的整个组织机构内的所有用户进行用户目录复制和统一管理；对门户的用户体系和各应用系统各自独立的用户体系进行统一管理；对新进员工/用户到员工/用户离开进行整个生命周期的管理。

★可扩充性原则：能够适应对将来扩充子系统的用户进行管理。

二、用户分类模型2.1基于部门岗位树的角色模型基于部门岗位树的角色模型是组织机构内最常见的模型，提供了用户目录管理、目录复制、权限控制的多种属性。

角色管理是用户权限管理的重要基础。

基于部门岗位树的角色模型如下所示：在部门岗位角色树状模型中，用户职位称为岗位，或称用户角色，包含岗位角色的组织机构称为部门，大部门可以包含小部门。

其最重要的特点是：★用户隶属于岗位/角色(可以隶属于多个岗位/角色)；★岗位/角色具有时间范围；★部门包含下属部门及岗位/角色中的所有用户。

用户信息以组织/部门/ 岗位角色以树状的层次结构来组织和管理，有以下好处：★同实际组织机构体系相一致；★同LDAP目录对数据的组织方式保持一致，便于利用LDAP 目录服务的强大进行用户目录的管理；★有利于将某个地域/分支机构或某个部门/下属单位的用户信息定制推送到单独的用户目录服务器上，提高相关应用对用户信息的访问效率；★有利于根据目录树的结构给予不同的员工/用户组不同的权限。

2.2 级别分层树模型级别分层树模型如下图所示，是对部门岗位角色树状层次模型的补充。

在级别分层树模型中，不同层次的节点具有上下级或涵盖关系。

相同层次的节点相互独立，之间没有上下级或涵盖关系。

其最重要的特点是：★用户只能属于一个级别；★在同一层次节点下可以有多个级别；★可用大于、小于或等于，以上、以下等词汇来指定多个或一个层次的级别。

利用级别分层树模型，可辅助实现更为灵活的用户授权控制。

三、用户信息存储管理3.1 用户信息存储分类统一的用户信息存储可基于：◎数据库方式：支持将统一的用户信息存储于各大主流数据库中，如Oracle、DB2、SQL Server、Sybase、MySQL 等；◎LDAP目录方式：支持将统一的用户信息存储于LDAP 目录中，如Domino、LDAP、Sun One Directory Server、OpenLDAP、MS Active Directory、Novell、NDS、Netscape Directory Server 等。

此外，可以基于LDAP 目录或数据库方式，新建一个用户信息目录库，供门户和应用系统使用；也支持可以使用现存应用系统的已有用户数据库，作为门户和其他应用统一的用户信息存储管理库，如可以考虑基于现存的OA 办公自动化系统、或者HR人事系统、或者一卡通系统等现有系统的RDBMS 用户数据库或LDAP 用户目录进行用户信息管理和身份验证。

鉴于基于LDAP目录服务存储和管理用户的身份认证等信息，可更有效更灵活地管理用户及资源，我们推荐采用LDAP目录服务作为各组织机构信息化建设统一用户管理的基础平台。

下面主要阐述LDAP 目录服务的相关内容。

3.2L DAP目录服务定义LDAP协议：轻量级目录访问协议(LDAP) ，英文全称是Lightweight Directory Access Protocol，是一个用于访问存储在信息目录中的信息的Internet协议，是目录服务在TCP/IP 上的实现（RFC 1777 V2 版和RFC 2251 V3 版）。

它是对X500 的目录协议的移植，但是简化了实现方法，所以称为轻量级的目录服务。

LDAP 协议是跨平台的和标准的协议；实际上，LDAP 作为一种Internet 标准，得到了业界的广泛认可。

LDAP 的核心规范在RFC 中进行了定义，LDAP 协议集规定了区别名(DN)的命名方法、存取控制方法、搜索格式、复制方法、URL 格式、开发接口等，描述了客户端应该如何访问存储在服务器上的数据，但没有定义应该如何存储数据。

通过使用LDAP，可以在信息目录的正确位置读取（或存储）数据。

目录服务：所谓目录服务是在分布式计算机环境中，定位和标识用户以及可用的各网络元素和网络资源，并提供搜索功能和权限管理功能的服务机制。

各组织机构为了实现各个分立的“信息孤岛”走向连通和融合，一方面业务系统需要将自身的职能和业务协作要求公布出去；另一方面，也希望能够检索并获取其他业务系统的信息和公共的信息资源。

这些需求采用目录服务都能够得到满足。

目录服务是其对象具有属性及名称的命名服务，是命名服务的自然扩展。

目录服务与命名服务的关键区别在于，目录服务允许属性（比如用户的电子邮件地址）与对象相关联。

目录服务的核心是一个树状结构的信息目录，由一系列具有属性和名称的目录入口对象(Entry)组成，将网络中的数据资源、数据处理资源和用户信息按有次序的结构进行组织，并且专门针对海量查询的使用情况进行了优化，极大地提高了数据读取和查询性能。

目录服务不仅可以提供分布式计算网络的视图，以逻辑的观念来管理网络，而且它能实现以人为本的网络管理方式。

它可以记载网络的所有文件以及所有在网络上运行的资源，以及使用者帐号、身份口令、密码、卷、文档，应用程序以至于域名服务器DHCP、IP 地址以及认证的公钥等。

此外，目录软件还保存和管理对包括人员、业务过程和供内部使用的资源等有关组织机构详细信息的访问。

目录服务树中的一个目录对象可以通过它的名字检索，或者通过使用一组搜索标准（表示目录对象的名字和属性）检索。

在分布式计算环境中，各单位对其他单位有用的信息可以在目录服务注册、解除注册和查询。

在整个组织机构范围内部署和实现LDAP，可以让运行在几乎所有计算机平台上的所有的应用程序从LDAP 目录中获取信息。

3.3、LDAP目录的结构LDAP目录以树状的层次结构来组织和存储数据，目录由目录入口对象(Entry)组成，目录入口对象(Entry)相当于关系数据库中表的记录，可直接成为LDAP目录记录，是具有区别名DN（Distinguished Name ）的属性（Attribute ）集合，DN相当于关系数据库表中的关键字（PrimaryKey ）；属性由属性类型（Type）和多个值（Values ）组成，相当于关系数据库中的域（Field）由域名和数据类型组成，只是为了方便检索和灵活性的需要，LDAP 中的Type 可以有多个Value，而不是关系数据库中为降低数据的冗余性要求实现的各个域必须是不相关的。

这样，有以下好处：一般按照地理位置和组织关系进行组织数据，同现实世界相一致，非常的直观；有利于根据目录树的结构给予不同的员工/用户组不同的权限；属性类型可以多个属性值，LDAP目录就有很大的灵活性，不必为加入一些新的数据就重新创建表和索引；LDAP把数据存放在文件中，可以使用基于索引的文件数据库，大大方便了检索，提高了检索效率；有利于将某个地域/分支机构或某个部门/下属单位的用户信息定制推送到单独的用户目录服务器上，提高相关应用对用户信息的访问效率；把LDAP存储和复制功能结合起来，可以定制目录树的结构以降低对WAN 带宽的要求。

LDAP目录记录的标识名(Distinguished Name，简称DN)是用来读取单个记录，以及回溯到树的顶部。

基准DN：LDAP目录树的最顶部就是根，也就是所谓的“基准DN”。

基准DN 通常使用下面的格式，如：o= (用组织机构的域名/Internet 地址作为基准DN，这种格式很直观，这也是现在最常用的格式)。

在目录树中怎么组织数据：LDAP 目录树的最顶部就是根。

在根目录下，因为历史上(X.500)的原因，大多数LDAP 目录用OU 从逻辑上把数据分开来。

OU 表示“Organization Unit”，在X.500 协议中是用来表示单位内部的机构部门。

现在LDAP 还保留ou=这样的命名规则，但是扩展了分类的范围，可以分类为：ou=people, ou=groups, ou=devices，等等。

更低一级的OU 有时用来做更细的归类。

例如：LDAP 目录树(不包括单独的记录)可能会是这样的：o=ou=employeesou=officeou=hrou=financeou=salesou=rdou=groupsou=customersou=chinaou=asiaou=europeou=roomsou=assets-mgmt单独的LDAP 记录：DN 是LDAP 记录项的名字。

在LDAP 目录中的所有记录项都有一个唯一的“Distinguished Name”，也就是DN。

每一个LDAP 记录项的DN 是由两个部分组成的：相对DN（RDN ）和记录在LDAP目录中的位置。

RDN 是DN 中与目录树的结构无关的部分。

在LDAP 目录中存储的记录项都要有一个名字，这个名字通常存在cn （Common Name）这个属性里。

在LDAP中存储的对象都用它们的cn 值作为RDN 的基础。

完整的DN，比如，为一个员工“张三”设置一个DN：cn=zhang san, ou=employees, o= （基于姓名）uid=szhang, ou=employees, o= （基于登录名，推荐）推荐采用基于登录名的方式设置DN，因为基于姓名这种格式有一个很明显的缺点---如果名字改变了，LDAP 的记录就要从一个DN 转移到另一个DN，但是，我们应该尽可能地避免改变一个记录项的DN；而大多数单位都会给每一个员工唯一的登录名，因此用这个办法可以很好地保存员工的信息，而不用担心以后还会有一个叫“张三”的加入，或者“张三”改变了名字，也用不着改变LDAP 记录项的DN。