早在2019年的一次技术会议上,北京林业大学网络中心的张老师就对同行们交流的CARSI产生了浓厚的兴趣。但因为种种原因,当时学校未能立即部署。 伴随新冠疫情蔓延,学校师生因居家防疫而不能返校,虽然学校已经有VPN系统可以解决部分问题,但师生在访问图书馆购买的数据库电子资源时遇到了不小的问题。电子资源数据量庞大,并发访问的要求高,对学校VPN系统造成了压力,影响了师生在线访问科研和教学资源的使...
早在2019年的一次技术会议上,北京林业大学网络中心的张老师就对同行们交流的CARSI产生了浓厚的兴趣。但因为种种原因,当时学校未能立即部署。
伴随新冠疫情蔓延,学校师生因居家防疫而不能返校,虽然学校已经有VPN系统可以解决部分问题,但师生在访问图书馆购买的数据库电子资源时遇到了不小的问题。电子资源数据量庞大,并发访问的要求高,对学校VPN系统造成了压力,影响了师生在线访问科研和教学资源的使用体验。这让张老师再一次想起了CARSI,并向学校提出申请,最终学校决定立即对接CARSI,解决师生困难。
CARSI使用很简单
“北京林业大学学生身份认证系统和CARSI对接完成后,图书馆第一时间联系开通了知网(CNKI)访问,马上解决了学校师生校外使用中文电子资源的需求。”张老师说,CARSI无需下载安装客户端,不熟悉信息技术的老师也能顺利操作,任何使用者仅需要在资源站点的登录界面输入学校统一身份账号密码即可完成。这给老师和同学们在校外登录和资源查阅增加了便利,很快就受到北林师生的青睐。
系统上线后好评如潮。学校师生对CARSI接入方式非常满意,认为CARSI的统一认证方式使得师生可以更加灵活和高效地从校外获取全球范围的教育科研资源。很多老师反馈,希望学校通过CARSI系统后期可以接入更多资源,供师生学习使用。
CARSI部署有技巧
“个人感觉部署不难,”张老师说,北京林业大学部署CARSI IdP时,选择了官方提供的ova镜像安装,可以节省安装基础包以及配置环境的时间,并且步骤简化了很多。依据自己的实际操作经验,张老师建议在安装CARSI的Idp客户端时需要部署者同时熟悉Linux、Apache、Tomcat、java、ldap等,才能更快地解决问题、完成部署。另外,部分内容需要一次完成,避免出错回退。他的经验是:“最好提前做好备份,如果怕出错可以先在虚拟机里完成部署,利用好虚拟机的快照功能,等部署完成确认无错后导出配置文件导入正式服务器测试。”
对于用户部署CARSI过程中的技术需求,张老师建议CARSI提供官方手册。“可以在一开始就区分知识块,增加一些特殊情况下的QA内容。”张老师说,通过提高官方安装包的自动化部署能力,也是帮助高校顺利完成CARSI部署的有效方式之一,特别是针对部分高校不熟悉操作流程和技术要领的老师可以提供必要的帮助。
提醒注意的三个问题
张老师分享了北林CARSI安装过程中遇到的一些问题和他们的解决方案,希望能够帮助更多高校顺利完成部署。
第一,Apache 的SSL证书问题。北林并未采购证书,但是出于安全性考虑,最终选择Let's Encrypt的免费证书而没有做自签名证书。
第二,ldap认证部分。这也是本次部署工作张老师遇到的最大问题。由于学校ldap认证系统策略设计是没有权限校验的,与CARSI的Idp认证模式略有冲突,导致部署中一直报错。“一开始并没有发现问题出在这里,只是发现tomcat启动服务失败。官方镜像并没有安装调试命令,安装命令调试后发现tomcat启动时存在端口冲突,修改配置文件后,tomcat依然存在启动失败的报错,遂转去Idp目录下查看Idp的启动日志,发现报错点来自ldap服务器连接失败。在Idp服务器安装ldap连接工具调试发现服务器连接正常,确定是连接属性配置问题。”通过多次调试,张老师最终确认是idp.authn.LDAP.bindDN和idp.authn.LDAP.bindDNCredential两个属性配置问题,根源就是认证策略。于是他们首先尝试修改idp.authn.LDAP.authenticator更换模式,但是依然无效,确认此部分内容是必填并且必须正确。张老师通过微信,求助于CARSI技术圈的冯老师,他提供了一个非常好的思路,用普通用户代表管理员完成了这部分配置,成功解决了这个问题。
第三,配置属性释放时,需要修改的文件非常多,一步错步步错,这部分通过多次查日志调试解决。
CARSI服务的部署上线,为北京林业大学师生能够在家教学科研提供了有效的资源支持,老师和同学们对这一服务非常认可。张老师告诉记者,近来,很多老师给网络中心反馈信息,感谢CARSI服务解决了自己居家办公科研的实际需求,希望CARSI继续壮大,提供更丰富的资源和服务。