11.4. Служба каталогів Novell Directory Services (eDirectory)

В основі архітектурної концепції Novell Netware є Служба каталогів Novell (Novell Directory Services (NDS)), яку також продають як eDirectory. Згідно з цією концепцією всі ресурси

мережі зображені об'єктами, занесеними в спеціальну розподілену базу даних - Netware Directory Database. Визначено різні можливі типи об'єктів: користувач, сервер, том, група користувачів та ін. Ці об'єкти згруповані в ієрархічному дереві. Ієрархічна деревоподібна структура відображає взаємну підпорядкованість об'єктів. Кожен об'єкт конкретного типу має власний набір властивостей та їхніх значень. Зокрема, об'єкт типу користувач має такі властивості: ім’я, пароль, поштову адресу, адресу електронної пошти, номер телефону, належність до груп користувачів тощо. Особа, яка працює в мережі, може аналізувати властивості об'єктів у NDS. NDS діє на базі структури об'єктів, яку називають деревом каталогів (Directory Tree). Вона має три структурні типи об'єктів:

кореневий об'єкт (Root);

контейнерний об'єкт (Container object);

кінцевий об'єкт (Leaf object).

Кожне дерево має тільки один кореневий об'єкт. Йому умовно відповідає об'єкт увесь світ. Контейнерні містять інші об'єкти. Кінцеві об'єкти головні, з ними працюють.

Приклад дерева каталогів показано на рис. 23.3.

Контейнерні об'єкти, як уже зазначено, містять інші об'єкти. Вони призначені для організації та групування кінцевих об'єктів. Визначено такі типи контейнерних об'єктів:

С - країна (Country) - містить код позначення країни і не є обов'язковим. Кожне дерево може мати не більше одного рівня країн;

О - організація (Organization) - містить назву організації та є обов'язковим. Кожне дерево повинно мати не менше одного об'єкта цього типу. Однак допустимий тільки

один структурний рівень об'єктів-організацій;

OU - організаційний підрозділ (Organizational Unit) - зберігає інформацію про певний підрозділ організації та його параметри. Об'єктів OU в дереві може бути довільна кількість, вони можуть бути довільно вкладені один в одний.

Кінцеві об'єкти. Кінцеві об'єкти позначають CN (Common Name).

Зазначимо, що об'єктом NDS є не сам фізичний об'єкт (наприклад, сервер або принтер), а лише інформація про нього, що зберігається у розподіленій базі даних.

Є велика кількість застосувань, які використовують NDS. Зокрема NDS, крім ОС Netware, працює на Windows NT та 2000, SCO UnixWare, Caldera Open Linux, Sun Solaris, IBM AIX, HP/UX.

Детальніше про NDS (eDirectory) див. Розділ 37.

11.5. Служба каталогів Active Directory

Служба каталогів Active Directory (AD) є складовою частиною ОС Windows 2000 у її серверних варіантах. Вона замінила застарілу концепцію доменних архітектур і покликана забезпечити роботу ОС Windows у великих корпоративних мережах.

Подібно до інших СК AD формує каталог мережених об'єктів; AD сумісна зі стандартом Х.500 та протоколом LDAP.

Інформація про мережені ресурси згрупована у вигляді дерева. Для сумісності з доменною архітектурою розробники вирішили сумістити структуру дерева AD зі структурою дерева доменів DNS (структура доменів DNS є частиною дерева).

Отже, домен AD - це домен DNS. На рис. 23.4 показано приклад дерева доменів AD. Дерево доменів — це сукупність доменів, що об'єднані відношеннями довіри та належать до неперервного простору імен.

У мережі може бути декілька дерев, які утворюють ліс (див. рис. 23.4). У цьому випадку відношення довіри між ними налагоджуються на рівні кореневих доменів з використанням Cerberos.

У Windows NT 4 інформація про користувачів домену зберігалася в базі даних SAM, яка становила частину системного реєстру. Тому можливості масштабування були обмежені можливістю масштабування реєстру. В AD функції SAM переймає DIT (Directory Information Tree). Для збереження даних застосовують процесор даних Jet, який діє у продукті Exchange Server. DIT зберігається у файлі ntds.dit. Цей файл копіюють усі сервери - контролери домену.

Однією з важливих служб AD є загальний інформаційний каталог Global Catalog. Цей каталог зберігає інформацію про наявні об'єкти БД AD та надає змогу швидкого пошуку потріб-ної інформації. Дані в каталозі зберігаються у вигляді окремого файлу-індексу, так що в разі звертання до каталогу не потрібно звертатися до контролера домену. У випадку встановлення системи сервером Global Catalog стає першим контролером домену.

AD дає змогу організовувати та групувати мережеві ресурси всередині DNS-вузла з використанням контейнера OU (підрозділ) (див. рис. 23.4). Якщо призначити певні права доступу до об'єктів OU, то ці права можуть успадкувати всі вкладені об'єкти.

Дерево створюють та модифікують з використанням ММС (модуль Active Directory Users and Computers).

В операційній системі Windows NT 4 були два типи груп: локальні та глобальні. Ці групи могли містити тільки користувачів та були призначені винятково для контролювання доступу.

В AD збережено ці типи груп, однак додано ще універсальні групи (Universal Group). Ці групи працюють, якщо в мережі не використовують резервні контролери доменів (BDC), успадковані від попередньої системи NT4 (тобто система працює лише на Windows 2000). Універсальні групи можуть складатися з глобальних груп та інших універсальних груп довільного домену лісу. Крім того, в групу AD можна вкладати не тільки об'єкти-користувачі, а й об'єкти-комп'ютери.

В AD змінено і механізм реплікації. В NT 4 головна доступна для записування копія БД SAM домену зберігається тільки на головному контролері домену. У W2000 доступна для записування копія DIT міститься на кожному контролері. Система відстежує зміни, присвоюючи кожній такій зміні номер USN (Update Sequence Number) та часову позначку. Під час реплікації між контролерами передається не вся база даних, а тільки інформація про зміни. Якщо надійшла інформація про зміни одного й того ж об'єкта, то контролер порівнює часові позначки та ухвалює рішення щодо змін. Такий механізм реплікації забезпечує