Ієрархічна структура виявилася зручнішою порівняно з доменною. Після реєстрації користувач може працювати з усіма ресурсами дерева. Перша повноцінна служба каталогів (Netware Directory Service (NDS)) з'явилася в ОС Novell Netware 4.0. Пізніше розроблено служби LDAP, MS Active Directory, NIS+ та ін.

Деякі з наявних сьогодні служб каталогів (MS Active Directory, NIS+) успішно працюють у мережах тільки однієї ОС. Інші (NDS, LDAP) мають засоби для роботи в гетерогенних мережах. Загалом проблему роботи в гетерогенних мережах можна вирішити, максимально поширивши найпопулярніший продукт СК (наприклад, Novell безкоштовно або за мінімальну ціну продає продукт NDS, інтегрований у UNIX або Windows NT), розробивши продукти-посередники, які забезпечують взаємодію різних СК (наприклад, продукт VIA фірми Zoomit), або використовуючи єдиний протокол доступу до каталогів (такий як LDAP або Х.500). Історію розвитку конфігурацій СК відображено на рис. 23.1. Розглянемо найпопулярніші СК детальніше.

11.3. Служба каталогів Х.500 та LDAP

LDAP (Lightweight Directory Access Protocol) є головною СК для мереж TCP/IP завдяки підтримці IETF, а також міжнародному, не фірмовому характеру специфікації.

Спочатку міжнародні організації зі стандартизації розробили та прийняли стандарт служби каталогів Х.500, що надавав багато можливостей, однак виявився занадто складним і працював тільки на потужних UNIX-серверах. Водночас більшість потенційних клієнтів СК працювало на ПК. Виникла потреба організувати сполучення цих клієнтів з серверами каталогів Х.500

- розробити відповідний протокол, який би працював у мережах стека TCP/IP. Першими такими протоколами були Dixie (RFC-1249) та DAS (Directory Assistance Service, RFC-1202). У 1992 p. IETF почав розробляти стандарт цих протоколів, які працювали б з усіма версіями Х.500. Завдяки цьому з'явився LDAP, який і затверджено як попередній стандарт 1995 р.

З часом відставання у розвитку та недостатня підтримка виробниками обладнання стандарту Х.500 спонукала розробити slapd - сервер LDAP. Це дало змогу системі LDAP працювати незалежно і без систем Х.500. Версію LDAP 3 затверджено як проект стандарту 1997 р.

LDAP складається з таких компонентів.

Інформаційна модель. Складається з рядків (entries). Кожний рядок має атрибут та список значень цього атрибута. Ця модель повністю відповідає моделі Х.500; дає змогу додавати іншу інформацію.

Схема LDAP. Визначає типи елементів, інформація про які може зберігатися в БД LDAP. Визначено такі елементи, як країни, організації, користувачі, їхні групи. Сервери можуть визначити свої елементи.

Модель найменування. Визначає структуру інформації та її позначення. Імена ієрархічні та складаються з атрибутів і значень відповідного рядка БД LDAP (рис. 23.2). Модель найменування LDAP походить з Х.500 та сумісна з ним, однак вона гнучкіша, накладає менше обмежень.

Модель безпеки. Розширені засоби розпізнавання дають змогу клієнтам та серверам взаємно підтверджувати автентичність.

Функційна модель. Визначає те, як клієнти можуть отримати інформацію в LDAP, як маніпулювати нею. LDAP передбачає виконання дев'яти базових операцій: додати, вилучити, модифікувати, приєднатися (bind), від'єднатися (unbind), шукати, порівняти, припинити (abandon), змінити DN (distinguished name). Операції приєднатися та від'єднатися керують розпізнаванням між серверами та клієнтами, операція пошуку дає

змогy шукати користувачів та послуги на дереві каталогів, операція порівняння - застосуванням порівнювати свої значення зі значеннями в LD АР, зміна DN - змінити ім'я запису в БД, операція припинити на вимогу клієнта припиняє поточну операцію на сервері.

Протокол LDAP. Визначає взаємодію між клієнтами та серверами і відображення її на LDAR Наприклад, протокол визначає, що окремі записи, які надходять у відповідь на команду пошуку, передаються окремими пакетами, це дає змогу передавати багато даних, не перевантажуючи мережу.

Програмні інтерфейси АРІ. Визначають функції та програми, доступу до інформації LDAP.

Формат обміну даними LDAP. Простий текстовий формат для готування записів БД і змін до них. Дає змогу синхронізувати БД LDAP з іншими БД.

Застосування звертаються до БД LDAP з використанням визначених АРІ. БД надає такий сервіс:

пошук користувачів та ресурсів мережі;

керування ними;

розпізнавання користувачів та ресурсів.

Використання LDAP як мережевої БД має певні обмеження, а саме:

LDAP не замінює традиційних СКБД. Він не має механізмів опрацювання трансакцій, двофазових операцій commit, можливостей будувати звіти та розробляти застосування, його не оптимізовано для інтенсивних операцій з даними, нема єдиної мови доступу, подібної до SQL;

LDAP не замінює DNS, тому що DNS масово розгорнута, добре працює (хоча LDAP виконує споріднені функції);

LDAP не замінює файлової системи. Його не пристосовано до роботи з великими бінарними файлами. Він не підтримує блокування записів та деяких інших функцій, властивих файловій системі.

В IETF над розширенням LDAP працюють дві робочі групи:

LDAP Directory Update розробляє стандарти реплікації;

LDAP