3590
.pdfсистемы не подходит в первую очередь вследствие низкой производительности и низкой надежности такого решения. Кроме снятия ограничений по производительности и надежности желательно, чтобы структура базы данных позволяла производить логическое группирование ресурсов и пользователей по структурным подразделениям предприятия и назначать для каждой такой группы своего администратора.
Проблемы сохранения производительности и надежности при увеличении масштаба сети обычно решаются за счет распределенных баз данных справочной информации. Разделение данных между несколькими серверами снижает нагрузку на каждый сервер, а надежность при этом достигается за счет нескольких реплик частей базы данных.
Существуют два популярных стандарта для служб ката-
логов.
1.Стандарт Х.500, разработанный ITU-T. Этот стандарт определяет функции, организацию справочной службы и протокол доступа к ней. Разработанный в первую очередь для использования вместе с почтовой службой Х.400 стандарт Х.500 позволяет эффективно организовать хранение любой справочной информации и служит хорошей основой для универсальной службы каталогов сети.
2.Стандарт LDAP (Light-weight Directory Access Protocol), разработанный сообществом Интернета. Этот стандарт определяет упрощенный протокол доступа к службе каталогов, так как службы, построенные на основе стандарта Х.500, оказались чересчур громоздкими. Протокол LDAP получил широкое распространение и стал стандартом де-факто в качестве протокола доступа клиентов к ресурсам справочной службы.
Существует несколько реализаций служб каталогов, например, служба NDS компании Novell, реализованная и в ОС Windows. Компания Microsoft разработала службу каталогов Active Directory. Обе эти службы поддерживают протокол доступа LDAP и могут работать в очень крупных сетях благодаря своей распределенности.
121
2.4.2. Служба каталогов NDS
Служба NDS (NetWare Directory Services) – это гло-
бальная справочная служба, опирающаяся на распределенную объектно-ориентированную базу данных ресурсов. ОС NetWare (а также другие клиенты NDS, работающие на других платформах) использует информацию NDS для обеспечения доступа к сетевым ресурсам. База данных разделена на разделы, распределенные на нескольких серверах (рис. 2.6).
Реплика – это копия информации раздела NDS. Можно создавать реплики каждого раздела и хранить их на разных серверах.
Рис. 2.6. Разделы базы данных NDS
Прозрачность заключается в том, что NDS автоматически создает связи между программными и аппаратными компонентами, которые обеспечивают пользователю доступ к сетевым ресурсам.
Глобальность NDS заключается в том, что после входа вы получаете доступ к ресурсам всей сети. Вместо входа в отдельный сервер пользователь NDS входит в сеть, после чего он
122
получает доступ к разрешенным для него ресурсам сети. Информация, предоставляемая во время логического входа, используется для идентификации пользователя.
Объектно-ориентированный подход
В NDS информация о сетевых ресурсах организована с помощью объектов. Каждый объект представляет собой ресурс, такой как принтер, том, пользователь или сервер.
Объекты организованы в иерархическую структуру, соответствующую структуре организации и отражающую реальные информационные потоки и потребности разделения ресурсов. Одни объекты представляют физические сущности, например, объект-пользователь представляет пользователя, а объект-принтер представляет принтер. Другие объекты представляют логические понятия, такие как группы или очереди к принтерам. Объекты, например, отдел предприятия, помогают организовывать и упорядочивать другие объекты.
Дерево каталогов
NDS использует для хранения информации логическую структуру, называемую деревом каталогов (Directory Tree, DT). Эта иерархическая структура имеет корневой элемент (root) и ветви (рис. 2.7). Дерево каталогов содержит объекты двух типов: объекты-контейнеры и объекты-листья.
Объекты-контейнеры содержат или включают другие объекты. Они используются для логического упорядочивания и организации других объектов дерева.
NDS содержит объекты-контейнеры трех типов, которые можно использовать для организации дерева объектов:
страна (необязательный объект), организация, отдел или подразделение.
123
Корень |
|
|
|
|
|
Организация |
|
|
Филиал организации |
Отдел организации |
|
—Пользователь |
— Том |
|
—Принтер |
— Сервер |
|
—Том |
— Группа |
|
Рис. 2.7. Типичная структура дерева каталогов NDS
Объекты-листья не содержат других объектов, они используются для представления конечных сетевых ресурсов, таких как компьютеры, тома, принтеры, пользователи и группы пользователей. В NDS определены типы объектов-листьев:
организатор - идентифицирует руководящих лиц фирмы (руководитель группы или вице-президент);
сервер;
сервер печати;
очередь печати;
карта каталогов на томе;
псевдоним - идентифицирует местонахождение объекта в дереве (любой объект можно расположить в нескольких местах дерева посредством назначения ему псевдонимов).
Служба NDS предназначена для управления такими сетевыми ресурсами, как серверы и тома NetWare, но она не обеспечивает управление файловой системой. Файлы и каталоги не являются объектами службы NDS. Одним из атрибутов объекта-тома является расположение физического тома, который содержит файлы и каталоги. Таким образом, объект-том представляет собой связь между NDS и файловой системой.
Служба NDS предоставляет средства для поиска объектов в ее базе данных сетевых ресурсов. NDS также поддерживает синхронизацию часов между всеми серверами сети для обеспечения правильного порядка событий в сети.
124
Имена и контексты
Именование объектов службы NDS организовано по тем же принципам, что и в файловых системах с иерархической организацией каталогов (принципы построения составных имен используются также в стандартах X.500, LDAP).
Объект-лист имеет краткое имя, называемое Common Name (CN). Аналогом полного имени файловой системы является «различимое имя» – Distinguished Name. Различимое имя представляет собой конкатенацию всех имен объектов, расположенных на пути этого объекта к корню дерева. Составляющие различимого имени отделяются друг от друга точкой. В отличие от полных имен файлов крайней левой составляющей различимого имени является краткое имя объекта, а крайней правой составляющей – имя корневого объекта. Например, следующая запись представляет собой различимое имя объек- та-пользователя с сетевым именем NickS, работающего в отделе фирмы BestFirm в России:
NickS.NetProgrammers.BestFirm.RU
Возможен и другой вариант записи различимого имени с указанием типов объектов:
CN=NickS.Ou=NetProgrammers.O=BestFirm.C=RU
2.4.3. Средства защиты объектов в NDS
Служба NDS определяет права доступа одних сетевых объектов к другим. Различаются права доступа к объекту в целом и права доступа к его атрибутам.
По отношению к объектам существует следующий набор прав:
Browse – просмотр;
Add – добавление;
Delete – удаление;
Rename – переименование;
Supervisor – реализует всеперечисленныевышеправа.
125
По отношению к атрибутам объектов используются такие права:
Compare – сравнение значения атрибута;
Read – чтение значения атрибута;
Write – запись нового значения атрибута;
Self – присвоение себя в качестве значения атрибута другого объекта, например, если объект-группа разрешает право Self для объекта User, то последний может сделать себя членом этой группы;
Supervisor – все права по доступу к атрибутам.
Скаждым объектом связан список управления доступом (ACL), в котором определяются права доступа к данному объекту со стороны других объектов.
Права доступа наследуются в дереве объектов сверху вниз, поэтому права объекта-контейнера наследуются входящими в него объектами. Некоторые наследуемые права можно заблокировать.
Раздел представляет собой поддерево общего дерева сети. Для определения раздела необходимо выбрать объектконтейнер в общем дереве, который будет корневым объектом данного раздела. Объекты, находящиеся в других разделах, также доступны всем клиентам сети.
Реплика - существуют три типа реплик: главная реплика, вторичная реплика и реплика только для чтения. При изменении информации в какой-либо реплике автоматически запускается процесс обновления всех остальных реплик. Этот процесс называется процессом синхронизации службы каталогов.
126
2.4.4.Служба каталогов Active Directory
Всредних и больших организациях для упрощения управления сетью создают систему централизованного управления. Для этого параметры учетных записей хранят централизованно (службы каталогов), а на всех системах производят регистрацию общих групп пользователей. Технологии Active Directory (активный каталог, служба каталогов) обеспечивают централизованное управление пользователями и сетью, однократную регистрацию пользователей и доступ к ресурсам сети, удобство и легкость администрирования.
Всетях Windows в качестве централизованного хранилища используется Active Directory (AD). Для Linux-систем обычно применяется проект OpenLDAP. Поскольку оба этих каталога используют открытые стандарты, то возможны решения, когда Linux-клиенты проходят проверку на серверах домена Windows, а Windows-системы — в домене, контроллерами которого являются серверы Linux.
Служба каталогов Windows имеет в своей структуре такие единицы, как: лес, дерево, домен, организационное под-
разделение (Organization Unit, OU), сайты.
Централизованное управление здесь реализуется путем создания доменов Windows.В доменах Windows каждый компьютер «теряет» свою автономность, он начинает управляться не только локальным администратором, но и администратором домена.
Администратор может получить доступ к объектам службы каталогов с использованием сценариев на Visual Basic,
ит. п. Поскольку служба каталогов поддерживает протокол LDAP, ставший стандартом для доступа к подобным службам, то для управления структурой домена удобно применять утилиты, реализующие подключение по этому протоколу.
Домены являются основными элементами логической структуры Active Directory. В каждом из доменов реализуется централизованная справочная служба. Будучи связаны логиче-
127
ски, службы доменов образуют распределенную справочную службу сети.
Справочная служба построена по архитектуре клиентсервер. Клиентские компоненты, устанавливаемые на всех компьютерах сети, передают запросы к серверам справочной службы, которые в Active Directory называются контроллерами домена (Domain Controllers, DC). В каждом домене должен присутствовать хотя бы один контроллер домена. Он поддерживает доменную базу данных, то есть БД о пользователях и ресурсах того домена, в котором установлен этот контроллер. Контроллер домена также занимается аутентификацией пользователей при их регистрации в сети.
Наряду с поиском объектов на основе глобального каталога решается еще одна важнейшая задача справочной службы — глобальная аутентификация пользователей. Слово «глобальная» в данном случае означает, что пользователь при определенных условиях может выполнять логический вход в сеть с любого компьютера любого домена сети. Такая принципиальная возможность появляется благодаря тому, что в глобальном каталоге хранится информация об универсальных группах пользователей, в которые могут включаться члены разных доменов. А это значит, что для процедуры аутентификации пользователя, входящего в одну из таких групп, достаточно обращения к ближайшему контроллеру локального домена, который хранит копию глобального каталога.
Active Directory позволяет также выполнять глобальную авторизацию', при обращении к какому-либо ресурсу, расположенному в удаленном домене, приложению или пользователю не требуется взаимодействовать для проверки правомочности доступа с контроллером этого домена, достаточно обратиться к ближайшему серверу глобального каталога, в котором, помимо атрибутов о местонахождении каждого из объектов сети, могут храниться атрибуты, описывающие, какой вид доступа к этим объектам разрёшен.
Возможность глобальной аутентификации и авториза-
128
ции пользователей снижает трафик и нагрузку на сеть.
2.5. Межсетевое взаимодействие
Только небольшое количество сетей обладает однородностью программного и аппаратного обеспечения. Широко распространены неоднородные сети, состоящие из разнотипных ЭВМ, операционных систем и приложений.
Одной из причин неоднородности служит эволюционный характер развития любой большой сети. В сети появляется коммуникационное оборудование разных технологий и разных производителей. Отсюда следует важное требование, предъявляемое к современным сетевым ОС, – способность к интеграции с другими ОС.
2.5.1. Основные подходы к организации межсетевого взаимодействия
В контексте межсетевого взаимодействия под термином
«сеть» понимается совокупность компьютеров, общающихся друг с другом с помощью единого стека протоколов. В одно-
родной сети все компьютеры используют один и тот же стек протоколов. Проблема возникает тогда, когда требуется организовать взаимодействие компьютеров, принадлежащих разным сетям в указанном выше смысле, то есть организовать взаимодействие компьютеров, на которых поддерживаются отличающиеся стеки коммуникационных протоколов.
Проблема межсетевого взаимодействия может иметь разные внешние проявления, но суть ее одна - несовпадение используемых коммуникационных протоколов. Например, в сети имеется только одна сетевая ОС, однако транспортная подсистема неоднородна из-за того, что сеть включает в себя фрагменты Ethernet, объединенные кольцом FDDI. Или сеть построена на основе только технологии Ethernet, но в ней установлено несколько разных сетевых ОС.
Задачи устранения неоднородности зависят от того, к
129
какому уровню модели OSI они относятся.
Задача объединения транспортных подсистем, отвечающих только за передачу сообщений, обычно называется в зарубежной литературе internetworking — образование интерсетей. Обычным подходом для ее решения является использование единого сетевого протокола, такого, например, как IP
или IPX.
Другая задача, называемая interoperability, возникает при объединении сетей, использующих разные протоколы более высоких уровней — прикладного и представительного. Будем называть это задачей согласования сетевых служб, так как протоколы прикладного и представительного уровней реализуются именно этими сетевыми компонентами.
Самыми общими подходами к согласованию протоколов являются: трансляция, мультиплексирование, инкапсуляция (туннелирование).
2.5.2. Трансляция
Трансляция обеспечивает согласование стеков протоколов путем преобразования сообщений, поступающих от одной сети в формат сообщений другой сети. Транслирующий элемент, в качестве которого могут выступать, например, программный или аппаратный шлюз, мост, коммутатор или маршрутизатор, размещается между взаимодействующими сетями и выполняет трансляцию протоколов верхних уровней.
Трансляция протоколов включает отображение инструкций одного протокола в инструкции другого, что представляет собой сложную процедуру.
На рис. 2.8 показан шлюз, размещенный на компьютере 2, который согласовывает протоколы клиентского компьютера 1 в сети А с протоколами компьютера 3 в сети В.
130