Служба каталогов

 

Оглавление


Введение

. Понятие «службы каталогов» и ее основные характеристики

.1 Понятие «службы каталогов»

.2 Основные понятия

.3 Основные характеристики

.4 Основные функции

. История развития служб каталогов

. Реализация

.1 Служба каталогов Х.500 и LDAP

3.2 Служба каталогов Novell Directory Services (eDirectory)

3.3 Служба каталогов Active Directory

.4 Служба NIS и NIS

Заключение

Список использованных источников


Введение


Служба каталога (англ. <#"justify">1.

1. Понятие «службы каталогов» и ее основные характеристики


.1Понятие «службы каталогов»


Служба каталогов - это сетевой сервис, представляющий централизованные средства управления ресурсами автоматизированной системы. Под ресурсами подразумеваются все компоненты сетевой инфраструктуры, которые используются для выполнения функций АСУ: пользователи, файлы и каталоги, устройства, сетевые сервисы и т.д. (рис.1 <#"264" src="doc_zip1.jpg" /> <#"justify">Рис. 1. Служба каталогов


Потребность поддержки специальных служб каталогов компьютерных сетей обусловлена значительным ростом сетей, наличием в них многих серверов различного профиля, большого количества пользователей.

Как правило, служба каталогов состоит из базы данных, в которой размещены сведения о сетевых ресурсах и серверного ПО, представляющего механизмы доступа к этой базе. Как база данных сервиса каталогов, так и ее управляющая программа могут быть распределены на несколько серверов (рис. 2 <#"239" src="doc_zip2.jpg" /> <#"justify">Рис. 2. Распределенная служба каталогов


Служба каталогов (Directory Service) - это распределенная база данных с информацией о сетевых объектах, а также средства доступа к ней и поддержки.

Содержит параметры конфигурации не одного компьютера, а всех объектов сети. Наличие службы каталогов (СК) позволяет создавать только один вариант регистрационных параметров каждого сетевого объекта. Например, пользователь, зарегистрированный в СК, может работать с многосерийной-верною сетью на любой рабочей станции и всегда будет работать в привычном для себя среде. Без СК ему пришлось бы регистрироваться на каждом сервере в случае запуска каждого приложения. Аналогичные преимущества СК имеет для централизованного хранения информации о других объектах сети: файл-серверы, серверы печати и принтеры, модемные серверы и т.п.


1.2Основные понятия


Для понимания работы службы каталога необходимо усвоить несколько ключевых понятий.

Данные каталога хранятся в виде объектов или записей (от англ. entry),состоящих из специальных полей называемых атрибутами (attributes). Набор атрибутов, их синтаксис и правила заполнения определяются схемой каталога (scheme).

Данные в каталоге можно представить в виде древовидной структуры - DIT (Directory Information Tree). Это очень похоже на структуру, используемую многими файловыми системами.

Каждый объект в структуре каталога идентифицируется специальным атрибутом DN (Distinguished Name). По аналогии с файловой системой DN описывает путь, по которому можно найти объект в дереве каталога. Отличие в данном случае в том, что DN формируется не слева направо, как путь к файлу, а наоборот - справа налево.

Любой DN в дереве должен заканчиваться специальным DN, называемым суффиксом каталога(suffix) и являющимся корнем дерева.

Корневой объект (Root Entry) - это первый элемент дерева. DN корневого объекта полностью соответствует суффиксу.администратора каталога (Root Distinguished Name) - это специальный объект, описывающий администратора каталога. Обычно такой объект не имеет суффикса и к нему не применяются списки доступа (ACL).

База поиска (Base Distinguished Name) - объект каталога, начиная с которого производится поиск. Дело в том, что не всегда есть необходимость производить поиск по всему дереву каталога; ограничить область поиска можно указнием в запросе базы поиска. По умолчанию этот параметр соответствует суффиксу.


1.3Основные характеристики


Сетевые ресурсы сгруппированы в иерархическую структуру (дерево).

В корне дерева является логический объект, который объединяет все ресурсы дерева и сохраняет их общие свойства.

Ветви дерева логические объекты-контейнеры, служат для группировки объектов. Объект-контейнер содержит другие объекты, среди которых также могут быть контейнеры. Таким образом образуется дерево объектов. Употребляемыми типами контейнеров являются объекты-страны, организации, подразделения.

Листья дерева - это объекты, соответствующие сетевой ресурсам. Такими ресурсами могут быть серверы различных типов, рабочие станции, принтеры, пользователи, их должности, отдельные приложения и др.. Список возможных типов конечных объектов постоянно пополняется.

Группировка сетевых ресурсов в виде дерева позволило рассматривать логическую структуру сети отдельно от физического, хотя в отдельных случаях при построении дерева приходится учитывать и наследование прав доступа на низших уровнях иерархии.

Некоторые типы объектов являются принципалами безопасности (security principal). Таким объектам могут быть определены права доступа к другим объектам. Принципал безопасности может получить определенные права доступа к контейнеру (например, подразделения организации). В этом случае он получит эти же права на все объекты, вложенные в контейнер (принадлежат подразделения). Это очень удобно для администрирования, ведь за одну операцию можно назначить права доступа большом количестве объектов.

Чтобы ограничить такое наследование прав для некоторых объектов, то используют фильтры наследуемых прав (Inheritance Rights Filter (IRF)), которые блокируют наследования определенных прав.

Наличие иерархической базы данных с информацией о сетевых ресурсах. База данных о сетевых объекты спроектирована для сохранения иерархических структур данных. Она является объектной ассоциативной базой, записи которой - пары атрибут-значение. Каждый объект имеет набор атрибутов (свойств) с конкретными значениями.

База данных является распределенной и доступна из любого компьютера сети.

Отдельные части базы данных хранятся на разных серверах (сравните с DNS). Кроме того, для увеличения надежности и уменьшения продолжительности доступа отдельно хранят копии (реплики) частей базы. Для согласования информации, размещенной на разных серверах, разработаны сложные, однако эффективные механизмы. Такой подход позволяет создавать очень большие деревья для корпораций мирового масштаба. В частности, база eDirectory поддерживает более 1 млрд объектов.

Схема базы данных позволяет администратору расширять ее новыми типами элементов и новыми свойствами.

Аналогично других типов баз данных, базы служб каталогов имеют схему, которая определяет допустимые типы объектов и допустимые свойства. Современные СК позволяют добавлять новые типы объектов или новые свойства для существующих объектов. СК может содержать характеристики всех компонентов информационной системы предприятия (файловая система, бизнес-логика, коммутаторы, маршрутизаторы и другие активные устройства сети, пользовательские профили, информация для автоинтификации пользователей, информация отдельных приложений и др.).. Такая способность важна для приложений, работающих со службами каталогов.

Использование приложений, работающих со службами каталогов. Службы каталогов имеют открытый интерфейс, который позволяет обращаться к базе данных СК по информации, распознавать пользователей. С СК сотрудничает большое количество новых приложений, что позволяет упростить и удешевить их, передавая некоторые функции в СК. Такие приложения называют приложениями, которые доступны с СК (Directory Enabled Applications).

Введение СК позволяет создавать и использовать распределенную систему управления ресурсами сети, перераспределять нагрузку, оптимизировать предоставление услуг независимо от места расположения соответствующих серверов и реально приблизиться к созданию распределенных информационных систем.

Наличие служб поиска данных.

Как обычно, СК имеет отдельную службу поиска данных в базе данных. Эту службу часто называют белыми страницами. Такой справочник позволяет найти нужный ресурс при наличии неполной информации о нем.


1.4 Основные функции службы каталогов


·Управление пользователями и группами (создание/удаление, настройка прав доступа).

·Управление ресурсами (представление в общий доступ, установка ограничений, удаленное администрирование и т.п.).

·Разграничение прав доступа (как правило, на уровне пользователей, групп и отдельных ресурсов).

Среди дополнительных функций сервиса каталогов можно указать, например, такие:

·поиск ресурсов;

·распространение сетевых политик;

·интеграция с другими сервисами.


2.

2. История развития служб каталогов


Историческая справка

1984 год - компания Banyan <#"justify">3.РЕАЛИЗАЦИЯ


Развитие служб каталогов был значительно обусловлен потребностью решить проблемы устранения многократной регистрации клиента.

Сначала была отдельная сетевая ОС. Клиент, входя в сеть, зарегистрировался на определенном сервере. В этом случае проверялись его полномочия и права доступа. Итак, клиент был "прикреплен" к этому серверу. Например, в Novell Netware 3.11 информация каталога хранилась в базе данных bindery каждого сервера. Каждый сервер имел свою базу и для работы с другим сервером требуется повторная регистрация.

Такой же принцип действует в UNIX-системах и сегодня, то есть клиент регистрируется на каждом сервере отдельно. Администратор должен следить, чтобы пользователи имели одинаковые регистрационные параметры на всех серверах. Однако при работе с системой, имеющей большое количество серверов, перерегистрация неудобна.

Следующим шагом стал переход к доменным СК. В этом случае пользователь зарегистрировался один раз в определенном домене. Доменную систему использовали в ОС Windows NT. Ради совместимости с предыдущими версиями этой системе поддержано и в следующих версиях Windows наряду со службой каталогов Active Directory. Доменная система является промежуточной в переходе от посерверного решения к полноценным СК. В такой системе сетевые ресурсы (компьютеры, принтеры, пользователей) группируют по специальным логическими сущностями, которые называют доменами. Один домен может объект объединять много серверов и рабочих станций. В пределах одного домена регистрация пользователей происходит прозрачно. Информация о ресурсах хранится централизованно на предназначенных для этого серверах (контроллерах домена). Для уменьшения продолжительности доступа базы данных продублированы в первичных и вторичных контроллерах домена. Недостатки доменной структуры: недостаточная масштабируемость, невозможность группировки сетевых ресурсов в соответствии со спецификой организации бизнес-процессов, малое количество типов сетевых ресурсов, невозможность добавления новых типов данных и др.. Доменную архитектуру целесообразно использовать в небольших сетях с малым набором функций.

Иерархическая структура оказалась удобной по сравнению с доменной. После регистрации пользователь может работать со всеми ресурсами дерева. Первая полноценная служба каталогов (Netware Directory Service (NDS)) появилась в ОС Novell Netware 4.0. Позже разработан службы LDAP, MS Active Directory, NIS + и др..

Некоторые из имеющихся сегодня служб каталогов (MS Active Directory, NIS +) успешно работают в сетях только одной ОС. Другие (NDS, LDAP) имеют средства для работы в гетерогенных сетях. Всего проблему работы в гетерогенных сетях можно решить, максимально расширив популярный продукт СК (например, Novell бесплатно или за минимальную цену продает продукт NDS, интегрированный в UNIX или Windows NT), разработав продукты-посредники, которые обеспечивают взаимодействие различных СК (например, продукт VIA фирмы Zoomit), или используя единый протокол доступа к каталогам (такой как LDAP или Х.500). Рассмотрим самые популярные СК подробнее.


3.1Служба каталогов Х.500 и LDAP


Протокол LDAP (Lightweight Directory Access Protocol, упрощенный протокол доступа к каталогу) - бинарный клиент-серверный протокол прикладного уровня, предназначенный для доступа к распределенной службе каталогов через Интернет. Этот протокол может использоваться как в качестве шлюза к любым X.500-совместимым каталогам (рис. <#"274" src="doc_zip3.jpg" /> <#"justify">Рис. 3. LDAP в роли шлюза к каталогу X.500


<#"justify">Рис. 4. LDAP в качестве самостоятельного сервиса


LDAP (англ. <#"403" src="doc_zip5.jpg" />

Рис. 5. Логическая структура Active Directory


Active Directory («Активный каталог», AD) - LDAP <#"justify">В сети может быть несколько деревьев, которые образуют лес. В этом случае отношение доверия между ними налаживаются на уровне корневых доменов с использованием Cerberos.

В Windows NT 4 информация о пользователях домена хранилась в базе данных SAM, которая составляла часть системного реестра. Поэтому возможности масштабирования были ограничены возможностью масштабирования реестра. В AD функции SAM принимает DIT (Directory Information Tree). Для сохранения данных применяют процессор данных Jet, который действует в продукте Exchange Server. DIT сохраняется в файле ntds.dit. Этот файл копируют все серверы - контроллеры домена.

Одной из важных служб AD является общий информационный каталог Global Catalog. Этот каталог хранит информацию о существующих объектах БД AD и предоставляет возможность быстрого поиска нуж-ной информации. Данные в каталоге хранятся в виде отдельного файла-индекса, так что в случае обращения в каталог не нужно обращаться к контроллеру домена. В случае установки системы сервером Global Catalog становится первым контроллером домена.позволяет организовывать и группировать сетевые ресурсы внутри DNS-узла с использованием контейнера OU (подразделение) (см. рис. 23.4). Если назначить определенные права доступа к объектам OU, то эти права могут унаследовать все вложенные объекты.

Дерево создают и модифицируют с использованием ММС (модуль Active Directory Users and Computers).

В операционной системе Windows NT 4 были два типа групп: локальные и глобальные. Эти группы могли содержать только пользователей были предназначены исключительно для контроля доступа.

В AD сохранено эти типы групп, однако добавлено еще универсальные группы (Universal Group). Эти группы работают, если в сети не используют резервные контроллеры доменов (BDC), унаследованные от предыдущей системы NT4 (т.е. система работает только на Windows 2000). Универсальные группы могут состоять из глобальных групп и других универсальных групп произвольного домена леса. Кроме того, в группу AD можно вкладывать не только объекты-пользователи, но и объекты-компьютеры.

В AD изменен и механизм репликации. В NT 4 главная доступна для записи копия БД SAM домена сохраняется только на главном контроллере домена. В W2000 доступна для записи копия DIT содержится на каждом контроллере. Система отслеживает изменения, присваивая каждой такой смене номер USN (UpdateSequence Number) и временную метку. При репликации между контроллерами передается не вся база данных, а только информация об изменениях. Если поступила информация об изменениях одного и того же объекта, то контроллер сравнивает временные отметки и принимает решение об изменениях. Такой механизм репликации обеспечивает минимум информации в случае передачи сети и высокие параметры производительности контроллеров.

Если в NT4 были только главные и резервные контроллеры доменов, которые предоставляли один и тот же сервис по распознаванию пользователей, то в AD контроллеры доменов выполняют гораздо больше функций. Один сервер может выполнять несколько функций. Определены следующие функции.

Главный контроллер домена (PDC). В сетях, где есть станции с NT 4, предоставляет сервис голове ного контроллера.

Контроллер пула относительных идентификаторов (RID Pool). Относительный идентификатор (Relative Identifier (RID)) является частью идентификатора объекта. Контроллер пула относительных идентификаторов координирует присвоение уникальных идентификаторов контроллерами системы.

Контроллер инфраструктуры. Поддерживает согласованность данных с общего каталога, настройки сети и настройки репликации.

Контроллер схемы определяет контроллер, на котором разрешено вносить изменения в схему БД AD.

Несмотря на большие потенциальные возможности, AD как служба каталогов с удобством в использовании значительно отстает от других СК. Сравним AD с NDS, которая сегодня является самой СК.

В AD контейнеры не могут быть принципалами безопасности. NDS позволяет назначать права доступа на уровне контейнеров. Например, контейнер отдел разработки может получить права доступа к определенному принтеру. В этом случае все пользователи этого отдела смогут пользоваться.

В AD все названия объектов должны быть уникальными независимо от места их расположения в дереве. В NDS имя объекта должно быть уникальным только в пределах своего непосредственного контейнера.

В NDS наследования прав динамическое если пользователю назначено право доступа к контейнеру, то обновляется только ACL для этого контейнера. Вместе с тем при проверки прав доступа учитывают права во всех контейнерах. В AD наследования прав статическое: если изменяются права доступа к контейнеру, то изменяются ACL для всех вложенных объектов контейнера для большого и сложного дерева может потребовать много ресурсов.

Контроллер AD может быть контроллером только одного домена, тогда как сервер NDS может хранить реплики нескольких разделов. Итак, потенциально при равенстве серверов NDS является устойчивой и надежной.

Значительным недостатком AD также ее ориентация на структуру доменов DNS, ограничивает пользователей. NDS не имеет таких ограничений, и дерево каталогов можно, например, создавать согласно организационной структуре предприятия, филиалы которого расположены в разных зонах DNS.

Для сообщения об изменениях в статусе сервисов AD использует записи DNS о ресурсах (RFC 2052). Однако DNS не полностью выполняет эту функцию. NDS например, использует для этого специально предназначен протокол SLP (RFC 2165). Во многих случаях DNS действует как отдельная служба (на базе UNIX-сервера) и интеграция ее с AD проблематична.

Сегодня AD поддерживает только ОС Windows, тогда как NDS - многие системы.


3.4 Службы NIS и NIS +

(Сетевая Информационная Служба) - служба каталогов, разработанная и реализованная Sun Microsystems для систем на основе UNIX. NIS первоначально назывались Yellow Pages (YP), но из-за проблем с торговым знаком Sun изменила это название. Старое название (yp) используется в названиях утилит NIS.

NIS - это иерархическая система, в которой существует три типа хостов: основные (master) серверы,вторичные (slave) серверы и клиентские машины (рис. <#"264" src="doc_zip6.jpg" /> <#"justify">Рис. 6. Структура Network Information Service (NIS)


Сетевые информационные службы NIS и NIS + (Network Information Service) созданы для работы в среде UNIX.- это фактически доменная информационная служба, позволяющая объединить несколько серверов UNIX в один домен и использовать для них один набор руководящих файлов (etc /passwd, etc /group, etc /hosts, etc /networks и др.. ). Благодаря этому пользователь может быть раз-познанным один раз - в домене.

В сети есть главный север NIS и несколько резервных, работающих в режиме чтения системных файлов. БД домена периодически копируют на резервные серверы.

Каждый домен администрированный отдельно. NIS также позволяет объединять пользователей, их группы и гости в сетевые группы и администрировать такую группу как одно целое.

Вся информация в NIS передается открыто, без шифрования. Такую сеть можно взломать с использованием фальшивого сервера NIS.

Служба NIS + гораздо лучше, чем NIS, однако совместима с ней. Она позволяет:

поддерживать иерархию доменов и доверительные отношения между ними отказаться от прямого использования системных файлов управлять репликами и применять эффективные механизмы репликации; распознавать объекты и шифровать.

К сожалению, эту службу поддерживают только продукты фирмы SUN, она не имеет выхода на клиентские компьютеры.



Заключение


Сетевые ресурсы в службе каталогов обычно представлены в виде иерархической структуры. Такой способ наиболее близок к реальной организационной модели подавляющего большинства предприятий и организаций. Корень иерархии описывает предприятие в целом, нижележащие уровни - подразделения и отдельные элементы. Для единообразного обращения к любому элементу иерархии протокол взаимодействия представляет унифицированную схему адресации - либо собственную, либо совместимую со стандартными схемами.



Список использованных источников


1.URL: #"justify">.URL: http://ru.wikipedia.org/wiki/Active_Directory

3.URL: <http://ru.wikipedia.org/wiki/Novell_eDirectory>

.URL: <http://ru.wikipedia.org/wiki/LDAP>

5.Лекция 07


Оглавление Введение . Понятие «службы каталогов» и ее основные характеристики .1 Понятие «службы каталогов» .2 Основные поня

Больше работ по теме:

КОНТАКТНЫЙ EMAIL: [email protected]

Скачать реферат © 2017 | Пользовательское соглашение

Скачать      Реферат

ПРОФЕССИОНАЛЬНАЯ ПОМОЩЬ СТУДЕНТАМ