СЛУЖБИ КАТАЛОГІВ КОМП'ЮТЕРНИХ МЕРЕЖ

11.1. Поняття "служби каталогів" та її головні властивості

11.2. Історія розвитку служб каталогів

11.3. Служба каталогів Х.500 та LDAP

11.4. Служба каталогів Novell Directory Services (eDirectory)

11.5. Служба каталогів Active Directory

11.1. Поняття "служби каталогів" та її головні властивості

Потреба підтримки спеціальних служб каталогів комп'ютерних мереж зумовлена значним зростанням мереж, наявністю в них багатьох серверів різного профілю, великої кількості користувачів.

Служба каталогів (Directory Service) - це розподілена база даних з інформацією про мережені об'єкти, а також засоби доступу до неї та підтримки.

Вона дещо подібна до Реєстру (Registry) Windows 95, однак, на відміну від нього, містить параметри конфігурації не одного комп'ютера, а всіх об'єктів мережі. Наявність служби каталогів (СК) дає змогу створювати тільки один варіант реєстраційних параметрів кожного мережевого об'єкта. Наприклад, користувач, зареєстрований у СК, може працювати з багатосер-верною мережею на будь-якій робочій станції і завжди працюватиме у звичному для себе середовищі. Без СК йому довелося б реєструватися на кожному сервері у випадку запуску кожного застосування. Аналогічні переваги СК має для централізованого зберігання інформації про інші об'єкти мережі: файл-сервери, сервери друкування та принтери, модемні сервери тощо.

Розглянемо властивості сучасної служби каталогів детальніше.*

Мережеві ресурси згруповані в ієрархічну структуру (дерево).

У корені дерева є логічний об'єкт, який об'єднує всі ресурси дерева та зберігає їхні спільні властивості.

Гілки дерева логічні об'єкти-контейнери, які слугують для групування об'єктів. Об'єкт-контейнер містить інші об'єкти, серед яких також можуть бути контейнери. Таким способом утворюється дерево об'єктів. Найуживанішими типами контейнерів є об'єкти-країни, організації, підрозділи.

Листя дерева - це об'єкти, що відповідають мереженим ресурсам. Такими ресурсами можуть бути сервери різних типів, робочі станції, принтери, користувачі, їхні посади, окремі застосування та ін. Список можливих типів кінцевих об'єктів постійно поповнюється.

Групування мережевих ресурсів у вигляді дерева дало змогу розглядати логічну структуру мережі окремо від фізичної, хоча в окремих випадках під час побудови дерева доводиться враховувати й

Особливості фізичної структури, наприклад структуру комбінацій*

Успадкування прав доступу на нижчих рівнях ієрархії

Деякі типи об'єктів є принципалами безпеки (security principal). Таким об'єктам можуть бути визначені права доступу до інших об'єктів. Принципал безпеки може отримати певні права доступу до контейнера (наприклад, підрозділу організації). В цьому випадку він отримає ці ж права на всі об'єкти, вкладені в контейнер (належать підрозділу). Це дуже зручно для адміністрування, адже за одну операцію можна призначити права доступу великій кількості об'єктів.

Якщо потрібно обмежити таке успадкування прав для деяких об'єктів, то використовують фільтри успадкованих прав (Inheritance Rights Filter (IRF)), які блокують успадкування визначених прав.*

Наявність ієрархічної бази даних з інформацією про мережеві ресурси. База даних про мережеві об'єкти спроектована для збереження ієрархічних структур

даних. Вона є об'єктною асоціативною базою, записи якої - це пари атрибут—значення. Кожен об'єкт має набір атрибутів (властивостей) з конкретними значеннями.*

База даних є розподіленою і доступна з довільного комп'ютера мережі.

Окремі частини бази даних зберігаються на різних серверах (порівняйте з DNS, Розділ 10). Крім того, для збільшення надійності та зменшення тривалості доступу окремо зберігають копії (репліки) частин бази. Для узгодження інформації, розміщеної на різних серверах, розроблено складні, проте ефективні механізми. Такий підхід дає змогу створювати дуже великі дерева для корпорацій світового масштабу. Зокрема, база eDirectory підтримує понад 1 млрд об'єктів.*

Схема бази даних дає змогу адміністратору розширювати її новими типами елементів та новими властивостями.

Аналогічно до інших типів баз даних, бази служб каталогів мають схему, яка визначає допустимі типи об'єктів та допустимі їхні властивості. Сучасні СК дають змогу додавати нові типи об'єктів або нові властивості для наявних об'єктів. СК може містити характеристики всіх компонентів інформаційної системи підприємства (файлова система, бізнес-логіка, комутатори, маршрутизатори та інші активні пристрої мережі, користувацькі профілі, інформація для автентифікування користувачів, інформація окремих застосувань та ін.). Така здатність важлива для застосувань, що працюють зі службами каталогів.*

Використання застосувань, які працюють зі службами каталогів. Служби каталогів мають відкритий інтерфейс, який дає змогу звертатися до бази даних

СК за інформацією, розпізнавати користувачів. З СК співпрацює значна кількість нових застосувань, що дає змогу спростити та здешевити їх, передаючи деякі функції до СК. Такі застосування називають застосуваннями, що доступні зі СК (Directory Enabled Applications).

Запровадження СК дає змогу створювати та використовувати розподілену систему керування ресурсами мережі, перерозподіляти навантаження, оптимізувати надання послуг незалежно від місця розташування відповідних серверів та реально наблизитися до створення розподілених інформаційних систем.*

Наявність служб пошуку даних.

Як звичайно, СК має окрему службу пошуку даних у базі даних. Цю службу часто називають білими сторінками. Такий довідник дає змогу знайти потрібний ресурс за наявності неповної інформації про нього.

11.2. Історія розвитку служб каталогів

Розвиток служб каталогів був значно зумовлений потребою вирішити проблеми усунення багаторазової реєстрації клієнта.

Спочатку була окрема мережева ОС. Клієнт, входячи у мережу, реєструвався на певному сервері. У цьому випадку перевірялися його повноваження та права доступу. Отже, клієнт був "прикріплений" до цього сервера. Наприклад, у Novell Netware 3.11 інформація каталогу зберігалася в базі даних bindery кожного сервера. Кожен сервер мав свою базу і для роботи з іншим сервером потрібна була повторна реєстрація.

Такий же принцип діє в UNIX-системах і сьогодні, тобто клієнт реєструється на кожному сервері окремо. Адміністратор повинен стежити, щоби користувачі мали однакові реєстраційні параметри на всіх серверах. Однак під час роботи з системою, що має велику кількість серверів, перереєстрація є незручною.

Наступним кроком став перехід до доменних