3 Розподілена служба каталогів
Служба каталогів повинна відобразити велику кількість системних об'єктів (користувачів, організацій, груп, комп'ютерів, принтерів, файлів, процесів, сервісів) на множину зрозумілих користувачеві імен. Ця проблема складна навіть для гомогенних мереж, оскільки персонал і устаткування переміщається, змінює свої імена, місцезнаходження і так далі У гетерогенних глобальних мережах служба каталогів стає набагато складнішою, із-за необхідності синхронізації різних баз даних каталогів. Більш того, при появі в мережі розподілених застосувань служба каталогів повинна почати відстежування всіх таких об'єктів і всіх їх компонентів.
Хороша служба каталогів робить використання розподіленого оточення прозорим для користувача. Користувачам не потрібно знати розташування віддаленого принтера, файлу або застосування.
OSF| визначає двохярусну архітектуру для служби каталогів для цілей адресації міжосередкової і глобальної взаємодії. Осередок|чарунка| (cell|) - це фундаментальна організаційна одиниця для систем в DCE| OSF|. Осередки|чарунки| можуть мати соціальні, політичні або організаційні межі|кордони|. Осередки|чарунки| складаються з комп'ютерів, які повинні часто взаємодіяти один з|із| одним, - це можуть бути, наприклад, робочі групи, відділи, або відділення|відокремлення| компаній. У загальному|спільному| випадку комп'ютери в осередку|чарунці| географічно близькі. Розмір осередків|чарунок| змінюється від 2 до 1000 комп'ютерів, хоча OSF| вважає|лічить| найбільш прийнятним|допустимим| діапазон від десятків до сотень комп'ютерів.
Деякі виробники і користувачі агітують за реалізацію X.500 як загальної|спільної| служби каталогів на всіх рівнях. Але|та| OSF| вважає|гадає|, що використання X.500 на рівні робочої групи (тобто|цебто| осередку|чарунки|) було б дуже|занадто| громіздким із-за вимог до програмного забезпечення по продуктивності - особливо, коли гнучкіші засоби служби каталогів рівня осередку|чарунки| вже існують на ринку.
4 Розподілена служба безпеки
Є дві великі групи функцій служби безпеки: ідентифікація і авторизація. Ідентифікація перевіряє ідентичність об'єкту (наприклад, користувача або сервісу). Авторизація (або управління доступом) призначає привілеї об'єкту, такі як доступ до файлу.
Авторизація - це тільки частина рішення. У розподіленому мережевому середовищі обов'язково повинна працювати глобальна служба ідентифікації, оскільки робочій станції не можна довірити функції ідентифікації себе або свого користувача. Служба ідентифікації є механізмом передачі третій стороні функцій перевірки ідентичності користувача.
Служба безпеки OSF| DCE| базується на системі ідентифікації Kerberos|, розробленої в 80-і роки і розширеній за рахунок додавання|добавляти| елементів безпеки. Kerberos| використовує шифрування, засноване на особистих|особових| ключах|джерелах|, для забезпечення трьох рівнів захисту. Самий нижній рівень вимагає, щоб|аби| користувач ідентифікувався тільки|лише| при встановленні початкового з'єднання|сполучення|, припускаючи|передбачати|, що подальша|дальша| послідовність мережевих|мережних| повідомлень виходитиме від ідентифікованого користувача. Наступний|такий| рівень вимагає ідентифікацію для кожного мережевого|мережного| повідомлення. На останньому рівні всі повідомлення не тільки|не лише| ідентифікуються, але і шифруються.
Система безпеки не повинна сильно ускладнювати життя кінцевого користувача в мережі, тобто він не повинен запам'ятовувати десятки паролів і код.
Корисним мережевим|мережним| засобом для цілей безпеки є|з'являється| служба прав доступу або, іншими словами, авторизація. Служба авторизації OSF| базується на POSIX-сумісих| списках прав доступу - ACL|.
Тоді як система Kerberos| заснована на особистих|особових| ключах|джерелах|, в даний час|нині| широкого поширення набули методи, засновані на публічних|прилюдних| ключах|джерелах| (наприклад, метод RSA|). OSF| збирається зробити DCE-додатки переносимими з|із| Kerberos| в RSA|.