Размещено на http://www.allbest.ru/

Оглавление

Введение

1. Понятие «службы каталогов» и ее основные характеристики

1.1 Понятие «службы каталогов»

1.2 Основные понятия

1.3 Основные характеристики

1.4 Основные функции

2. История развития служб каталогов

3. Реализация

3.1 Служба каталогов Х.500 и LDAP

3.2 Служба каталогов Novell Directory Services (eDirectory)

3.3 Служба каталогов Active Directory

3.4 Служба NIS и NIS

Заключение

Список использованных источников



Введение

Служба каталога (англ. Directory Service) --средство иерархического представления ресурсов, принадлежащих некоторой отдельно взятой организации, и информации об этих ресурсах. Под ресурсами могут пониматься материальные ресурсы, персонал, сетевые ресурсы и т. д.

Каждый ресурс может принадлежать одному или более классам. Каждый класс показывает, что ресурс является определённым типом сущности, и имеет определённый набор свойств. Совокупности классов могут объединяться в схемы, которые описывают типы ресурсов, применяемые в отдельно взятой предметной области.

Служба каталогов в контексте компьютерных сетей -- программный комплекс, позволяющий администратору работать с упорядоченным по ряду признаков массивом информации о сетевых ресурсах (общие папки, серверы печати, принтеры, пользователи и т. д.), хранящимся в едином месте, что обеспечивает централизованное управление, как самими ресурсами, так и информацией о них, а также позволяющий контролировать использование их третьими лицами.

1. 

1. Понятие «службы каталогов» и ее основные характеристики

1.1 Понятие «службы каталогов»

Служба каталогов -- это сетевой сервис, представляющий централизованные средства управления ресурсами автоматизированной системы. Под ресурсами подразумеваются все компоненты сетевой инфраструктуры, которые используются для выполнения функций АСУ: пользователи, файлы и каталоги, устройства, сетевые сервисы и т.д. (рис.1).

Рис. 1. Служба каталогов

Потребность поддержки специальных служб каталогов компьютерных сетей обусловлена значительным ростом сетей, наличием в них многих серверов различного профиля, большого количества пользователей.

Как правило, служба каталогов состоит из базы данных, в которой размещены сведения о сетевых ресурсах и серверного ПО, представляющего механизмы доступа к этой базе. Как база данных сервиса каталогов, так и ее управляющая программа могут быть распределены на несколько серверов (рис. 2).

Рис. 2. Распределенная служба каталогов

Служба каталогов (Directory Service) - это распределенная база данных с информацией о сетевых объектах, а также средства доступа к ней и поддержки.

Содержит параметры конфигурации не одного компьютера, а всех объектов сети. Наличие службы каталогов (СК) позволяет создавать только один вариант регистрационных параметров каждого сетевого объекта. Например, пользователь, зарегистрированный в СК, может работать с многосерийной-верною сетью на любой рабочей станции и всегда будет работать в привычном для себя среде. Без СК ему пришлось бы регистрироваться на каждом сервере в случае запуска каждого приложения. Аналогичные преимущества СК имеет для централизованного хранения информации о других объектах сети: файл-серверы, серверы печати и принтеры, модемные серверы и т.п.

1.2 Основные понятия

Для понимания работы службы каталога необходимо усвоить несколько ключевых понятий.

Данные каталога хранятся в виде объектов или записей (от англ. entry),состоящих из специальных полей называемых атрибутами (attributes). Набор атрибутов, их синтаксис и правила заполнения определяются схемой каталога (scheme).

Данные в каталоге можно представить в виде древовидной структуры - DIT (Directory Information Tree). Это очень похоже на структуру, используемую многими файловыми системами.

Каждый объект в структуре каталога идентифицируется специальным атрибутом DN (Distinguished Name). По аналогии с файловой системой DN описывает путь, по которому можно найти объект в дереве каталога. Отличие в данном случае в том, что DN формируется не слева направо, как путь к файлу, а наоборот - справа налево.

Любой DN в дереве должен заканчиваться специальным DN, называемым суффиксом каталога(suffix) и являющимся корнем дерева.

Корневой объект (Root Entry) - это первый элемент дерева. DN корневого объекта полностью соответствует суффиксу.

DN администратора каталога (Root Distinguished Name) - это специальный объект, описывающий администратора каталога. Обычно такой объект не имеет суффикса и к нему не применяются списки доступа (ACL).

База поиска (Base Distinguished Name) - объект каталога, начиная с которого производится поиск. Дело в том, что не всегда есть необходимость производить поиск по всему дереву каталога; ограничить область поиска можно указнием в запросе базы поиска. По умолчанию этот параметр соответствует суффиксу.

1.3 Основные характеристики

Сетевые ресурсы сгруппированы в иерархическую структуру (дерево).

В корне дерева является логический объект, который объединяет все ресурсы дерева и сохраняет их общие свойства.

Ветви дерева логические объекты-контейнеры, служат для группировки объектов. Объект-контейнер содержит другие объекты, среди которых также могут быть контейнеры. Таким образом образуется дерево объектов. Употребляемыми типами контейнеров являются объекты-страны, организации, подразделения.

Листья дерева - это объекты, соответствующие сетевой ресурсам. Такими ресурсами могут быть серверы различных типов, рабочие станции, принтеры, пользователи, их должности, отдельные приложения и др.. Список возможных типов конечных объектов постоянно пополняется.

Группировка сетевых ресурсов в виде дерева позволило рассматривать логическую структуру сети отдельно от физического, хотя в отдельных случаях при построении дерева приходится учитывать и наследование прав доступа на низших уровнях иерархии.

Некоторые типы объектов являются принципалами безопасности (security principal). Таким объектам могут быть определены права доступа к другим объектам. Принципал безопасности может получить определенные права доступа к контейнеру (например, подразделения организации). В этом случае он получит эти же права на все объекты, вложенные в контейнер (принадлежат подразделения). Это очень удобно для администрирования, ведь за одну операцию можно назначить права доступа большом количестве объектов.

Чтобы ограничить такое наследование прав для некоторых объектов, то используют фильтры наследуемых прав (Inheritance Rights Filter (IRF)), которые блокируют наследования определенных прав.

Наличие иерархической базы данных с информацией о сетевых ресурсах. База данных о сетевых объекты спроектирована для сохранения иерархических структур данных. Она является объектной ассоциативной базой, записи которой - пары атрибут-значение. Каждый объект имеет набор атрибутов (свойств) с конкретными значениями.

База данных является распределенной и доступна из любого компьютера сети.

Отдельные части базы данных хранятся на разных серверах (сравните с DNS). Кроме того, для увеличения надежности и уменьшения продолжительности доступа отдельно хранят копии (реплики) частей базы. Для согласования информации, размещенной на разных серверах, разработаны сложные, однако эффективные механизмы. Такой подход позволяет создавать очень большие деревья для корпораций мирового масштаба. В частности, база eDirectory поддерживает более 1 млрд объектов.

Схема базы данных позволяет администратору расширять ее новыми типами элементов и новыми свойствами.

Аналогично других типов баз данных, базы служб каталогов имеют схему, которая определяет допустимые типы объектов и допустимые свойства. Современные СК позволяют добавлять новые типы объектов или новые свойства для существующих объектов. СК может содержать характеристики всех компонентов информационной системы предприятия (файловая система, бизнес-логика, коммутаторы, маршрутизаторы и другие активные устройства сети, пользовательские профили, информация для автоинтификации пользователей, информация отдельных приложений и др.).. Такая способность важна для приложений, работающих со службами каталогов.

Использование приложений, работающих со службами каталогов. Службы каталогов имеют открытый интерфейс, который позволяет обращаться к базе данных СК по информации, распознавать пользователей. С СК сотрудничает большое количество новых приложений, что позволяет упростить и удешевить их, передавая некоторые функции в СК. Такие приложения называют приложениями, которые доступны с СК (Directory Enabled Applications).

Введение СК позволяет создавать и использовать распределенную систему управления ресурсами сети, перераспределять нагрузку, оптимизировать предоставление услуг независимо от места расположения соответствующих серверов и реально приблизиться к созданию распределенных информационных систем.

Наличие служб поиска данных.

Как обычно, СК имеет отдельную службу поиска данных в базе данных. Эту службу часто называют белыми страницами. Такой справочник позволяет найти нужный ресурс при наличии неполной информации о нем.

1.4 Основные функции службы каталогов

· Управление пользователями и группами (создание/удаление, настройка прав доступа).

· Управление ресурсами (представление в общий доступ, установка ограничений, удаленное администрирование и т.п.).

· Разграничение прав доступа (как правило, на уровне пользователей, групп и отдельных ресурсов).

Среди дополнительных функций сервиса каталогов можно указать, например, такие:

· поиск ресурсов;

· распространение сетевых политик;

· интеграция с другими сервисами.

2. 

2. История развития служб каталогов

Историческая справка

1984 год -- компания Banyan выпустила первую службу каталогов -- StreetTalk для сети предприятия под управлением системы Banyan VINES.

1992 год, когда VINES for SCO Unix, позднее переименованная в Enterprise Network Services (ENS) for SCO Unix, распространила службу Banyan, включая StreetTalk, на SCO Unix.

1993 год -- компания Novell представила сетевую ОС NetWare 4, в состав которой входила объектно-ориентированная служба каталогов с названием NetWare Directory Services (впоследствии называющаяся NovellDirectory Services (NDS)).

1993 год -- компания Microsoft представляет Windows NT Directory Services (NTDS) в комплекте с новой ОС Windows NT Server.

В дальнейшем NDS развилась в eDirectory, а NTDS -- в Active Directory.

В течение 1980-х годов международной организацией International Telegraph and Telephone Consultative Committee разрабатывался общий стандарт для службы каталогов, в дальнейшем ставший называться X.500, частью которого является протокол доступа к каталогу DAP (Directory Access Protocol), используемый в современных службах каталогов в облегчённом варианте LDAP (Lightweight Directory Access Protocol) по причине первоначальной всеобъемлющей функциональности, оказавшейся неуместной для персональных компьютеров.

3. РЕАЛИЗАЦИЯ

Развитие служб каталогов был значительно обусловлен потребностью решить проблемы устранения многократной регистрации клиента.

Сначала была отдельная сетевая ОС. Клиент, входя в сеть, зарегистрировался на определенном сервере. В этом случае проверялись его полномочия и права доступа. Итак, клиент был "прикреплен" к этому серверу. Например, в Novell Netware 3.11 информация каталога хранилась в базе данных bindery каждого сервера. Каждый сервер имел свою базу и для работы с другим сервером требуется повторная регистрация.

Такой же принцип действует в UNIX-системах и сегодня, то есть клиент регистрируется на каждом сервере отдельно. Администратор должен следить, чтобы пользователи имели одинаковые регистрационные параметры на всех серверах. Однако при работе с системой, имеющей большое количество серверов, перерегистрация неудобна.

Следующим шагом стал переход к доменным СК. В этом случае пользователь зарегистрировался один раз в определенном домене. Доменную систему использовали в ОС Windows NT. Ради совместимости с предыдущими версиями этой системе поддержано и в следующих версиях Windows наряду со службой каталогов Active Directory. Доменная система является промежуточной в переходе от посерверного решения к полноценным СК. В такой системе сетевые ресурсы (компьютеры, принтеры, пользователей) группируют по специальным логическими сущностями, которые называют доменами. Один домен может объект объединять много серверов и рабочих станций. В пределах одного домена регистрация пользователей происходит прозрачно. Информация о ресурсах хранится централизованно на предназначенных для этого серверах (контроллерах домена). Для уменьшения продолжительности доступа базы данных продублированы в первичных и вторичных контроллерах домена. Недостатки доменной структуры: недостаточная масштабируемость, невозможность группировки сетевых ресурсов в соответствии со спецификой организации бизнес-процессов, малое количество типов сетевых ресурсов, невозможность добавления новых типов данных и др.. Доменную архитектуру целесообразно использовать в небольших сетях с малым набором функций.

Иерархическая структура оказалась удобной по сравнению с доменной. После регистрации пользователь может работать со всеми ресурсами дерева. Первая полноценная служба каталогов (Netware Directory Service (NDS)) появилась в ОС Novell Netware 4.0. Позже разработан службы LDAP, MS Active Directory, NIS + и др..

Некоторые из имеющихся сегодня служб каталогов (MS Active Directory, NIS +) успешно работают в сетях только одной ОС. Другие (NDS, LDAP) имеют средства для работы в гетерогенных сетях. Всего проблему работы в гетерогенных сетях можно решить, максимально расширив популярный продукт СК (например, Novell бесплатно или за минимальную цену продает продукт NDS, интегрированный в UNIX или Windows NT), разработав продукты-посредники, которые обеспечивают взаимодействие различных СК (например, продукт VIA фирмы Zoomit), или используя единый протокол доступа к каталогам (такой как LDAP или Х.500). Рассмотрим самые популярные СК подробнее.

3.1 Служба каталогов Х.500 и LDAP

Протокол LDAP (Lightweight Directory Access Protocol, упрощенный протокол доступа к каталогу) -- бинарный клиент-серверный протокол прикладного уровня, предназначенный для доступа к распределенной службе каталогов через Интернет. Этот протокол может использоваться как в качестве шлюза к любым X.500-совместимым каталогам (рис. 3), так и в качестве основного сервиса каталогов (рис. 4). Спецификация текущей версии (LDAP v3) приведена в RFC 4510.

Рис. 3. LDAP в роли шлюза к каталогу X.500

Рис. 4. LDAP в качестве самостоятельного сервиса

LDAP (англ. Lightweight Directory Access Protocol -- «облегчённый протокол доступа к каталогам») -- протокол прикладного уровня для доступа к службе каталогов X.500, разработанный IETF как облегчённый вариант разработанного ITU-T протокола DAP. LDAP -- относительно простой протокол, использующий TCP/IP и позволяющий производить операции аутентификации (bind), поиска (search) и сравнения (compare), а также операции добавления, изменения или удаления записей. Обычно LDAP-сервер принимает входящие соединения напорт 389 по протоколам TCP или UDP. Для LDAP- cеансов, инкапсулированных в SSL, обычно используется порт636.

Всякая запись в каталоге LDAP состоит из одного или нескольких атрибутов и обладает уникальным именем (DN --англ. Distinguished Name). Уникальное имя может выглядеть, например, следующим образом: «cn=Иван Петров, ou=Сотрудники, dc=example, dc=com»[1]. Уникальное имя состоит из одного или нескольких относительных уникальных имен (RDN -- англ. Relative Distinguished Name), разделённых запятой. Относительное уникальное имя имеет вид ИмяАтрибута=значение. На одном уровне каталога не может существовать двух записей с одинаковыми относительными уникальными именами. В силу такой структуры уникального имени записи в каталоге LDAP можно легко представить в виде дерева.

Запись может состоять только из тех атрибутов, которые определены в описании класса записи (object class), которые, в свою очередь, объединены в схемы (schema). В схеме определено, какие атрибуты являются для данного класса обязательными, а какие -- необязательными. Также схема определяет тип и правила сравнения атрибутов. Каждый атрибут записи может хранить несколько значений.

LDAP (Lightweight Directory Access Protocol) является главной СК для сетей TCP /IP благодаря поддержке IETF, а также международном, НЕ фирменном характера спецификации.

Сначала международные организации по стандартизации разработали и приняли стандарт службы каталогов Х.500, предоставлявший много возможностей, однако оказался слишком сложным и работал только на мощных UNIX-серверах. Вместе с тем большинство потенциальных клиентов СК работало на ПК. Возникла потребность организовать сочетание этих клиентов с серверами каталогов Х.500

- разработать соответствующий протокол, который бы работал в сетях стека TCP /IP. Первыми такими протоколами были Dixie (RFC-1249) и DAS (Directory Assistance Service, RFC-1202). В 1992 p. IETF начал разрабатывать стандарт этих протоколов, которые работали бы со всеми версиями Х.500. Заявки этом появился LDAP, который и утвержден как предварительный стандарт 1995

Со временем отставание в развитии и недостаточная поддержка производителями оборудования стандарта Х.500 побудила разработать slapd - сервер LDAP. Это позволило системе LDAP работать независимо и без систем Х.500. Версия LDAP 3 утвержден как проект стандарта 1997

LDAP состоит из следующих компонентов.

Информационная модель. Состоит из строк (entries). Каждая строка имеет атрибут и список значений этого атрибута. Эта модель полностью соответствует модели Х.500; позволяет добавлять другую информацию.

Схема LDAP. Определяет типы элементов, информация о которых может храниться в БД LDAP. Определены следующие элементы, как страны, организации, пользователи, их группы. Серверы могут определить свои элементы.

Модель наименования. Определяет структуру информации и ее обозначение. Имена иерархические и состоят из атрибутов и значений соответствующей строки БД LDAP. Модель наименование LDAP происходит с Х.500 и совместима с ним, однако она более гибкая, накладывает меньше ограничений.

Модель безопасности. Расширенные средства распознавания позволяют клиентам и серверам взаимно подтверждать подлинность.

Функциональная модель. Определяет то, как клиенты могут получить информацию в LDAP, как манипулировать ею. LDAP предусматривает выполнение девяти базовых операций: добавить, удалить, модифицировать, присоединиться (bind), отсоединиться (unbind), искать, сравнить, прекратить (abandon), изменить DN (distinguished name). Операции присоединиться и отсоединиться управляют распознаванием между серверами и клиентами, операция поиска дает искать пользователей услуги на дереве каталогов, операция сравнения - применением сравнивать свои значения со значениями в LD АР, изменение DN - изменить имя записи в БД, операция прекратить по требованию клиента прекращает текущую операцию на сервере.

Протокол LDAP. Определяет взаимодействие между клиентами и серверами и отображения ее на LDAR Например, протокол определяет, что отдельные записи, поступающие в ответ на команду поиска, передаются отдельными пакетами, это позволяет передавать много данных, не перегружая сеть.

Программные интерфейсы АРЕ. Определяют функции и программы, доступа к информации LDAP.

Формат обмена данными LDAP. Простой текстовый формат для приготовления записей БД и изменений к ним. Позволяет синхронизировать БД LDAP с другими БД.

Применение обращаются к БД LDAP с использованием определенных АРЕ. БД предоставляет такой сервис:

поиск пользователей ресурсов сети

управление ими

распознавания пользователей ресурсов.

Использование LDAP как сетевой БД имеет определенные ограничения, а именно:

LDAP не заменяет традиционных СУБД. Он не имеет механизмов обработки транзакций, двухфазных операций commit, возможностей строить отчеты и разрабатывать приложения, его оптимизирован для интенсивных операций с данными, нет единого языка доступа подобной SQL

LDAP не заменяет DNS, так как DNS массово развернута, хорошо работает (хотя LDAP выполняет родственные функции)

LDAP не заменяет файловой системы. Его приспособлено к работе с большими бинарными файлами. Он не поддерживает блокировку записей и других функций, присущих файловой системе.

В IETF над расширением LDAP работают две рабочие группы:

LDAP Directory Update разрабатывает стандарты репликации

LDAP Extensions разрабатывает стандартные расширения до LDAP, такие контроль доступа, расширение АРЕ.

3.2 Служба каталогов Novell Directory Services (eDirectory)

Novell eDirectory (ранее служба каталогов Novell, NovellDirectory Services) -- это совместимая с X.500 служба каталогов, выпущенная в 1993 году компанией Novell, Inc. для централизованного управления доступом к ресурсам на множестве сетевых серверов. Этот продукт широко используется и конкурирует с Active Directory компанииМайкрософт, Java System Directory Server компании Sun и 389 Directory Server компании Red Hat.

eDirectory представляет собой иерархическую, объектно-ориентированную базу данных, которая представляет все ресурсы организации в виде логического дерева. Ресурсами могут быть сотрудники, должности, серверы, рабочие станции, приложения, принтеры, службы, группы и т. д. Эффективное управление глобальным и точным доступом к ресурсам достигается за счёт использования динамического наследования прав и использования механизмов эквивалентности по правам. Права доступа для объектов в дереве определяются во время выполнения запроса и зависят от того, какие права назначены объекту явно, через эквиваленты по правам и благодаря местонахождению (контексту) объекта в дереве.

В основе архитектурной концепции Novell Netware является Служба каталогов Novell (Novell Directory Services (NDS)), которую также продают как eDirectory. Согласно этой концепции все ресурсы сети изображены объектами, занесенными в специальную распределенную базу данных - Netware Directory Database. Определены различные возможные типы объектов: пользователь, сервер, том, группа и др.. Эти объекты сгруппированы в иерархическом дереве. Иерархическая древовидная структура отражает взаимную подчиненность объектов. Каждый объект конкретного типа имеет собственный набор свойств и их значений. В частности, объект типа пользователь имеет следующие свойства: имя, пароль, почтовый адрес, адрес электронной почты, номер телефона, принадлежность к группам пользователей и т.д.. Лицо, работающее в сети, может анализировать свойства объектов в NDS. NDS действует на базе структуры объектов, которую называют деревом каталогов (Directory Tree). Она имеет три структурных типа объектов:

корневой объект (Root)

контейнерный объект (Container object)

конечный объект (Leaf object).

Каждое дерево имеет только один корневой объект. Ему условно соответствует объект весь мир. Контейнерные содержат другие объекты. Конечные объекты главные, с ними работают.

Контейнерные объекты, как уже отмечено, содержат другие объекты. Они предназначены для организации и группировки конечных объектов. Определены следующие типы контейнерных объектов:

С - страна (Country) - содержит код обозначения страны и не является обязательным. Каждое дерево может иметь не более одного уровня стран

О - организация (Organization) - содержит название организации и является обязательным. Каждое дерево должно иметь не менее одного объекта этого типа. Однако допустим только

один структурный уровень объектов-организаций

OU - организационное подразделение (Organizational Unit) - хранит информацию об определенном подразделение организации и его параметры. Объектов OU в дереве может быть произвольное количество, они могут быть произвольно вложены друг в друга.

Конечные объекты. Конечные объекты обозначают CN (Common Name).

Отметим, что объектом NDS является не сам физический объект (например, сервер или принтер), а лишь информация о нем, хранящейся в распределенной базе данных.

Есть большое количество приложений, которые используют NDS. Частности NDS, кроме ОС Netware, работает на Windows NT и 2000, SCO UnixWare, Caldera Open Linux, Sun Solaris, IBM AIX, HP /UX.

служба каталог предметный сетевой

3.3 Служба каталогов Active Directory

Рис. 5. Логическая структура Active Directory

Active Directory («Активный каталог», AD) -- LDAP-совместимая реализация службы каталогов корпорацииMicrosoft для операционных систем семейства Windows NT. Active Directory позволяет администраторам использовать групповые политики для обеспечения единообразия настройки пользовательской рабочей среды, разворачивать программное обеспечение на множестве компьютеров через групповые политики или посредствомSystem Center Configuration Manager (ранее Microsoft Systems Management Server), устанавливать обновления операционной системы, прикладного и серверного программного обеспечения на всех компьютерах в сети, используя Службу обновления Windows Server. Active Directory хранит данные и настройки среды в централизованной базе данных. Сети Active Directory могут быть различного размера: от нескольких десятков до нескольких миллионов объектов.

Представление Active Directory состоялось в 1999 году, продукт был впервые выпущен с Windows 2000 Server, а затем был модифицирован и улучшен при выпуске Windows Server 2003. Впоследствии Active Directory был улучшен в Windows Server 2003 R2, Windows Server 2008 и Windows Server 2008 R2 и переименован в Active Directory Domain Services. Ранее служба каталогов называлась NT Directory Service (NTDS), это название до сих пор можно встретить в некоторых исполняемых файлах.

В отличие от версий Windows до Windows 2000, которые использовали в основном протокол NetBIOS для сетевого взаимодействия, служба Active Directory интегрирована с DNS и TCP/IP. Для аутентификации по умолчанию используется протокол Kerberos. Если клиент или приложение не поддерживает аутентификацию Kerberos, используется протокол NTLM.

Служба каталогов Active Directory (AD) является составной частью операционной Windows 2000 в ее серверных вариантах. Она заменила устаревшую концепцию доменных архитектур и призвана обеспечить работу ОС Windows в крупных корпоративных сетях.

Подобно другим СК AD формирует каталог сетевых объектов; AD совместима со стандартом Х.500 протоколом LDAP.

Информация о сетевых ресурсы сгруппирована в виде дерева. Для совместимости с доменной архитектурой разработчики решили совместить структуру дерева AD со структурой дерева доменов DNS (структура доменов DNS является частью дерева).

В сети может быть несколько деревьев, которые образуют лес. В этом случае отношение доверия между ними налаживаются на уровне корневых доменов с использованием Cerberos.

В Windows NT 4 информация о пользователях домена хранилась в базе данных SAM, которая составляла часть системного реестра. Поэтому возможности масштабирования были ограничены возможностью масштабирования реестра. В AD функции SAM принимает DIT (Directory Information Tree). Для сохранения данных применяют процессор данных Jet, который действует в продукте Exchange Server. DIT сохраняется в файле ntds.dit. Этот файл копируют все серверы - контроллеры домена.

Одной из важных служб AD является общий информационный каталог Global Catalog. Этот каталог хранит информацию о существующих объектах БД AD и предоставляет возможность быстрого поиска нуж-ной информации. Данные в каталоге хранятся в виде отдельного файла-индекса, так что в случае обращения в каталог не нужно обращаться к контроллеру домена. В случае установки системы сервером Global Catalog становится первым контроллером домена.

AD позволяет организовывать и группировать сетевые ресурсы внутри DNS-узла с использованием контейнера OU (подразделение) (см. рис. 23.4). Если назначить определенные права доступа к объектам OU, то эти права могут унаследовать все вложенные объекты.

Дерево создают и модифицируют с использованием ММС (модуль Active Directory Users and Computers).

В операционной системе Windows NT 4 были два типа групп: локальные и глобальные. Эти группы могли содержать только пользователей были предназначены исключительно для контроля доступа.

В AD сохранено эти типы групп, однако добавлено еще универсальные группы (Universal Group). Эти группы работают, если в сети не используют резервные контроллеры доменов (BDC), унаследованные от предыдущей системы NT4 (т.е. система работает только на Windows 2000). Универсальные группы могут состоять из глобальных групп и других универсальных групп произвольного домена леса. Кроме того, в группу AD можно вкладывать не только объекты-пользователи, но и объекты-компьютеры.

В AD изменен и механизм репликации. В NT 4 главная доступна для записи копия БД SAM домена сохраняется только на главном контроллере домена. В W2000 доступна для записи копия DIT содержится на каждом контроллере. Система отслеживает изменения, присваивая каждой такой смене номер USN (UpdateSequence Number) и временную метку. При репликации между контроллерами передается не вся база данных, а только информация об изменениях. Если поступила информация об изменениях одного и того же объекта, то контроллер сравнивает временные отметки и принимает решение об изменениях. Такой механизм репликации обеспечивает минимум информации в случае передачи сети и высокие параметры производительности контроллеров.

Если в NT4 были только главные и резервные контроллеры доменов, которые предоставляли один и тот же сервис по распознаванию пользователей, то в AD контроллеры доменов выполняют гораздо больше функций. Один сервер может выполнять несколько функций. Определены следующие функции.

Главный контроллер домена (PDC). В сетях, где есть станции с NT 4, предоставляет сервис голове ного контроллера.

Контроллер пула относительных идентификаторов (RID Pool). Относительный идентификатор (Relative Identifier (RID)) является частью идентификатора объекта. Контроллер пула относительных идентификаторов координирует присвоение уникальных идентификаторов контроллерами системы.

Контроллер инфраструктуры. Поддерживает согласованность данных с общего каталога, настройки сети и настройки репликации.

Контроллер схемы определяет контроллер, на котором разрешено вносить изменения в схему БД AD.

Несмотря на большие потенциальные возможности, AD как служба каталогов с удобством в использовании значительно отстает от других СК. Сравним AD с NDS, которая сегодня является самой СК.

В AD контейнеры не могут быть принципалами безопасности. NDS позволяет назначать права доступа на уровне контейнеров. Например, контейнер отдел разработки может получить права доступа к определенному принтеру. В этом случае все пользователи этого отдела смогут пользоваться.

В AD все названия объектов должны быть уникальными независимо от места их расположения в дереве. В NDS имя объекта должно быть уникальным только в пределах своего непосредственного контейнера.

В NDS наследования прав динамическое если пользователю назначено право доступа к контейнеру, то обновляется только ACL для этого контейнера. Вместе с тем при проверки прав доступа учитывают права во всех контейнерах. В AD наследования прав статическое: если изменяются права доступа к контейнеру, то изменяются ACL для всех вложенных объектов контейнера для большого и сложного дерева может потребовать много ресурсов.

Контроллер AD может быть контроллером только одного домена, тогда как сервер NDS может хранить реплики нескольких разделов. Итак, потенциально при равенстве серверов NDS является устойчивой и надежной.

Значительным недостатком AD также ее ориентация на структуру доменов DNS, ограничивает пользователей. NDS не имеет таких ограничений, и дерево каталогов можно, например, создавать согласно организационной структуре предприятия, филиалы которого расположены в разных зонах DNS.

Для сообщения об изменениях в статусе сервисов AD использует записи DNS о ресурсах (RFC 2052). Однако DNS не полностью выполняет эту функцию. NDS например, использует для этого специально предназначен протокол SLP (RFC 2165). Во многих случаях DNS действует как отдельная служба (на базе UNIX-сервера) и интеграция ее с AD проблематична.

Сегодня AD поддерживает только ОС Windows, тогда как NDS - многие системы.

3.4 Службы NIS и NIS +

NIS (Сетевая Информационная Служба) -- служба каталогов, разработанная и реализованная Sun Microsystems для систем на основе UNIX. NIS первоначально назывались Yellow Pages (YP), но из-за проблем с торговым знаком Sun изменила это название. Старое название (yp) используется в названиях утилит NIS.

NIS - это иерархическая система, в которой существует три типа хостов: основные (master) серверы,вторичные (slave) серверы и клиентские машины (рис. 6). В качестве источников данных для клиентов используются системные файлы (в терминах NIS -- карты ресурсов) основного сервера NIS: passwd, hosts, group, services и прочие. В сети может быть один основной сервер NIS и ни одного или более вторичных серверов. Вторичные серверы хранят копии общих файлов основного сервера для обеспечения избыточности. Клиенты могут быть настроены как на работу с основным сервером NIS, так и со вторичными. Чтобы получить доступ к запрашиваемой информации клиент должен являться членом домена NIS.



Рис. 6. Структура Network Information Service (NIS)

Сетевые информационные службы NIS и NIS + (Network Information Service) созданы для работы в среде UNIX.

NIS - это фактически доменная информационная служба, позволяющая объединить несколько серверов UNIX в один домен и использовать для них один набор руководящих файлов (etc /passwd, etc /group, etc /hosts, etc /networks и др.. ). Благодаря этому пользователь может быть раз-познанным один раз - в домене.

В сети есть главный север NIS и несколько резервных, работающих в режиме чтения системных файлов. БД домена периодически копируют на резервные серверы.

Каждый домен администрированный отдельно. NIS также позволяет объединять пользователей, их группы и гости в сетевые группы и администрировать такую группу как одно целое.

Вся информация в NIS передается открыто, без шифрования. Такую сеть можно взломать с использованием фальшивого сервера NIS.

Служба NIS + гораздо лучше, чем NIS, однако совместима с ней. Она позволяет:

поддерживать иерархию доменов и доверительные отношения между ними отказаться от прямого использования системных файлов управлять репликами и применять эффективные механизмы репликации; распознавать объекты и шифровать.

К сожалению, эту службу поддерживают только продукты фирмы SUN, она не имеет выхода на клиентские компьютеры.



Заключение

Сетевые ресурсы в службе каталогов обычно представлены в виде иерархической структуры. Такой способ наиболее близок к реальной организационной модели подавляющего большинства предприятий и организаций. Корень иерархии описывает предприятие в целом, нижележащие уровни -- подразделения и отдельные элементы. Для единообразного обращения к любому элементу иерархии протокол взаимодействия представляет унифицированную схему адресации -- либо собственную, либо совместимую со стандартными схемами.



Список использованных источников

1. URL: http://4stud.info/%D1%EB%F3%E6%E1%E0_%EA%E0%F2%E0%EB%EE%E3%EE%E2

2. URL: http://ru.wikipedia.org/wiki/Active_Directory

3. URL: http://ru.wikipedia.org/wiki/Novell_eDirectory

4. URL: http://ru.wikipedia.org/wiki/LDAP

5. Лекция 07

Размещено на Allbest.ru