Служби іменування ресурсів і проблеми прозорості доступу

Подібно великий організації, велика корпоративна мережа потребує централізованому зберіганні якомога повнішої довідкової інформації про саму себе (починаючи з даних про користувачів, серверах, робочих станціях і закінчуючи даними про кабельної системі). Природно організувати цю інформацію у вигляді бази даних, ведення якої доручити мережевий операційній системі. Дані з цієї бази можуть бути затребувані багатьма мережевими системними додатками, в першу чергу системами управління та адміністрування. Крім цього, така база корисна при організації електронної пошти, систем колективної роботи, служби безпеки, служби інвентаризації програмного і апаратного забезпечення мережі, та й для практично будь-якого великого бізнес-додатки.

Хоча корисних застосувань єдиної довідкової служби багато, вона потрібна принаймні для ефективного вирішення завдання адміністрування, тобто ведення облікової інформації на користувачів мережі і визначення прав доступу цих користувачів до ресурсів мережі. Це завдання завжди вирішувалася будь-яким способом у всіх багатокористувацьких операційних системах, не обов'язково мережевих. У локальних версіях UNIX є файли з зумовленими іменами, що зберігають цю інформацію - наприклад, файл / etc / passwd зберігає інформацію про користувачів і їх паролі, а також про групи користувачів.

В ідеалі мережева довідкова інформація повинна бути реалізована у вигляді єдиної бази даних, а не являти собою набір баз даних, що спеціалізуються на зберіганні інформації того чи іншого виду, як це часто буває в реальних операційних системах. Наприклад, в Windows NT є ​​принаймні п'ять різних типів довідкових баз даних. Головний довідник домену (NT Domain Directory Service) зберігає інформацію про користувачів, яка використовується при організації їх логічного входу в мережу. Дані про тих же користувачів можуть міститися і в іншому довіднику, використовуваному електронною поштою Microsoft Mail. Ще три бази даних підтримують дозвіл низькорівневих адрес: WINS - встановлює відповідність Netbios-імен IP-адресами, довідник DNS - сервер імен домену - виявляється корисним при підключенні NT-мережі до Internet, і нарешті, довідник протоколу DHCP використовується для автоматичного призначення IP-адрес комп'ютерів мережі. Ближче до ідеалу знаходяться довідкові служби, що поставляються фірмою Banyan (продукт Streettalk III) і фірмою Novell (NetWare Directory Services), що пропонують єдиний довідник для всіх мережевих додатків.

Єдина база даних, що зберігає довідкову інформацію, надає все той же різноманіття можливостей і породжує все те ж безліч проблем, що і будь-яка інша велика база даних. Вона дозволяє здійснювати різні операції пошуку, сортування, модифікації і т.п., що дуже сильно полегшує життя як адміністраторам, так і користувачам. Набір розрізнених баз даних не надає такого прозорого доступу до ресурсів мережі, як це має місце в разі використання ОС NetWare 3.x з її базою bindery, локальної для кожного сервера. В останньому випадку користувач повинен заздалегідь знати, на якому сервері знаходиться потрібний йому ресурс і виробляти логічне підключення до цього сервера для отримання доступу до цього ресурсу. Для того, щоб отримати доступ до ресурсів якогось сервера, користувач повинен мати там свою облікову інформацію, яка дублюється таким чином на всіх серверах мережі. В єдиній базі даних про кожного користувача існує тільки один запис.

Але за зручності доводиться розплачуватися рішенням проблем распределенности, реплікації і синхронізації, які виникають при побудові великомасштабної бази даних для великої мережі.

Реалізація довідкової служби над повністю централізованою базою даних, що зберігається тільки у вигляді однієї копії на одному з серверів мережі, не підходить для великої системи з кількох причин, і в першу чергу через низьку продуктивність і низької надійності такого рішення. Продуктивність буде низькою через те, що запити на логічний вхід всіх користувачів будуть надходити в єдиний сервер, який при великій кількості користувачів обов'язково перестане справлятися з їх обробкою, тобто таке рішення погано масштабується щодо кількості користувачів і поділюваних ресурсів. Надійність також не може бути високою в системі з єдиною копією даних. Крім зняття обмежень по продуктивності і надійності, бажано, щоб структура бази даних дозволяла виробляти логічне групування ресурсів і користувачів за структурними підрозділами підприємства і призначати для кожної такої групи свого адміністратора.

Проблеми збереження продуктивності і надійності при збільшенні масштабу мережі вирішуються за рахунок використання розподілених баз даних довідкової інформації. Поділ даних між декількома серверами знижує навантаження на кожен сервер, а надійність при цьому досягається за рахунок наявності декількох копій (званих часто репліками) кожної частини бази даних. Для кожної частини бази даних можна призначити свого адміністратора, який володіє правами доступу тільки до об'єктів своєї порції інформації про всю систему. Для користувача ж (і для мережевих додатків) така розподілена база даних представляється єдиною базою даних, яка забезпечує доступ до всіх ресурсів мережі незалежно від того, з якої робочої станції здійснив свій вхід в мережу користувач.

Існує два підходи до організації довідкової служби мережі: доменний і глобальний. Розглянемо ці підходи на конкретних прикладах - доменної довідковій службі ОС Windows NT і глобальної довідковій службі NDS ОС NetWare. Природно, це не єдині операційні системи, де такі служби є - доменна служба реалізована в Microsoft LAN Manager і IBM LAN Server, а глобальна довідкова служба - в ОС Banyan VINES (служба Streettalk III). Більш того, існує стандарт X.500, розроблений МККТТ для глобальної довідкової служби поштових систем, який з успіхом може застосовуватися і застосовується для зберігання будь-якої довідкової інформації.

Мал. 3.20. Довірчі відносини між доменами

Користувачі можуть входити в мережу не тільки з робочих станцій того домену, де зберігається їх облікова інформація, а й з робочих станцій доменів, які довіряють цьому домену. Домен, який зберігає облікову інформацію, часто називають обліковим, а довіряє домен - ресурсним.

Довірчі відносини не є транзитивними. Наприклад, якщо домен А довіряє домену В, а В довіряє С, то це не означає, що А автоматично довіряє С.

Найкраща модель для підприємств з невеликим
числом користувачів і ресурсів
Централізоване управління користувальницької
обліковою інформацією
Немає потреби в управлінні довірчими стосунками
Локальні групи потрібно визначати тільки одного разу Низька продуктивність, якщо
домен має занадто багато
користувачів і / або серверів
неможливість групування
ресурсів

Модель з головним доменом

Ця модель добре підходить для підприємств, де необхідно розбити ресурси на групи в організаційних цілях, і в той же час кількість користувачів і груп користувачів не дуже велике. Ця модель поєднує централізацію адміністрування з організаційними перевагами поділу ресурсів між декількома доменами.

Головний домен зручно розглядати як чисто обліковий домен, основне призначення якого - зберігання і обробка призначених для користувача облікових даних. Решта домени в мережі - це домени ресурсів, вони не зберігають і не обробляють призначену для користувача облікову інформацію, а постачають ресурси (такі як колективні файли і принтери) для мережі. У цій моделі призначену для користувача облікову інформацію зберігають тільки основний і резервний контролери головного домену.

Мал. 3.21. Модель з головним доменом

Таблиця 3.2. Переваги та недоліки моделі з головним доменом

Найкраща модель для підприємства, у якого не дуже багато користувачів, а колективні ресурси повинні бути розподілені по групах
Облікова інформація може централізовано управлятися
Ресурси логічно групуються
Домени відділів можуть мати своїх адміністраторів, які управляють ресурсами відділу
Глобальні групи повинні визначатися тільки один раз (в головному домені) Погана продуктивність, якщо в головному домені занадто багато користувачів і груп
Локальні групи потрібно утворювати в кожному домені, де вони використовуються

Модель з кількома головними доменами

Ця модель призначена для великих підприємств, які хочуть підтримувати централізоване адміністрування. Ця модель найбільшою мірою масштабируема.

У даній моделі є невелике число головних доменів. Головні домени використовуються як облікові домени, причому облікова інформація кожного користувача створюється тільки в одному з головним доменів. Співробітники відділу автоматизованих інформаційних систем (АІС) підприємства можуть адмініструвати всі головні домени, в той час як ресурсні домени можуть адмініструвати співробітники відповідних відділів.

Мал. 3.22. Модель з кількома головними доменами

Кожен головний домен довіряє всім іншим головним доменів. Кожен домен відділу довіряє всім головним доменів, але доменів відділів немає необхідності довіряти один одному.

Так як всі ресурсні домени довіряють всім головним, то дані про будь-користувача можуть використовуватися в будь-якому відділі підприємства.

Використання глобальних груп в цій моделі трохи складніше, ніж в попередніх. Якщо потрібно утворити глобальну групу з користувачів, облікова інформація яких зберігається в різних головних доменах, то фактично доводиться утворювати кілька глобальних груп - по одній в кожному головному домені. У моделі з одним головним доменом потрібно утворити тільки одну глобальну групу.

Щоб спростити рішення цієї проблеми, доцільно розподіляти користувачів по головним доменів за організаційним принципом, а не за якомусь іншому, наприклад, за алфавітним.

Таблиця 3.3. Переваги та недоліки моделі з декількома головними доменами

Найкраща модель для підприємства з великим числом користувачів, і центральним відділом АІС.
Добре масштабується.
Ресурси логічно групуються.
Домени відділів можуть мати своїх адміністраторів, які управляють ресурсами відділу. Як локальні, так і глобальні групи повинні визначатися по кілька разів на кожному обліковому домені.
Необхідно управляти великою кількістю довірчих відносин.
В одному домені локалізуються не всі дані про користувачів.

Модель з повними довірчими стосунками

Ця модель забезпечує розподілене адміністрування користувачів і доменів. У цій моделі кожен домен довіряє кожному. Кожен відділ може керувати своїм доменом, визначаючи своїх користувачів і глобальні групи користувачів, і облікова інформація про них може використовуватися у всіх доменах підприємства.

Мал. 3.23. Модель з повними довірчими стосунками

Через різке збільшення числа довірчих відносин ця модель не підходить для великих підприємств. Для n доменів потрібно встановити n (n-1) довірчих відносин.

До цієї моделі цілком прийнятний термін "довіру". Для створення довірчих відносин з іншим доменом адміністратор дійсно повинен бути впевнений, що він довіряє адміністратору того домену, особливо якщо він дає деякі права глобальним групам іншого домену. Як тільки такі права надані, місцевий адміністратор залежить від того, не додасть чи віддалений адміністратор в глобальну групу небажаних або неперевірених користувачів в майбутньому. При адмініструванні головних доменів така небезпека також є. Але ризик тут нижче через те, що користувачів в головні домени додають співробітники центрального відділу АІС, а не довільно призначений адміністратором співробітник функціонального відділу підприємства.

Таблиця 3.4. Переваги та недоліки моделі з повними довірчими стосунками

Найкращим чином підходить для підприємств, на яких немає централізованого відділу АІС
Добре масштабується щодо кількості користувачів.
Кожен відділ має повне управління над своїми користувачами і ресурсами.
Як ресурси, так і користувачі групуються по відділах. Модель не підходить для підприємств з централізованим відділом АІС.
Потрібно управляти дуже великою кількістю довірчих відносин.
Кожен відділ повинен довіритися адміністраторам інших відділів, що ті не включать до складу своїх глобальних груп небажаних користувачів. служба каталогів

Служба NDS ОС NetWare 4.x - це глобальна служба довідників, що використовує розподілену об'єктно-орієнтовану базу даних мережевих ресурсів. База даних NDS містить інформацію про всіх мережевих ресурсах, включаючи інформацію про користувачів, групи користувачів, принтерах, томах і комп'ютерах. NetWare використовує цю інформацію для забезпечення доступу до цих ресурсів.

База Даних NDS замінює довідник bindery попередніх версій NetWare. Довідник bindery - це "плоска" або однорівнева база Даних, розроблено для ПІДТРИМКИ одного сервера. У ній також використовувалося поняття "об'єкт" для мережевого ресурсу, але трактування цього терміна відрізнялася від загальноприйнятої. Об'єкти bindery ідентифікувалися простими числовими значеннями і мали певні атрибути. Однак для цих об'єктів не визначалися явні взаємини успадкування класів об'єктів, тому взаємини між об'єктами bindery встановлювалися адміністратором довільно, що часто призводило до порушення цілісності даних.

База даних служби NDS є багаторівневою базу даних, яка підтримує інформацію про ресурсах всіх серверів мережі. Для сумісності з попередніми версіями NetWare в службі NDS передбачений механізм емуляції бази bindery.

Служба NDS є значним кроком вперед в порівнянні з попередніми версіями за рахунок:

• распределенности;
• реплицируемой;
• прозорості;
• глобальності.

Розподіленість полягає в тому, що інформація не зберігається на одному сервері, а розділена на частини, звані розділами (partitions). NetWare зберігає ці розділи на кількох серверах мережі (рисунок 3.24). Це властивість значно спрощує адміністрування і управління мережею, так як вона представляється адміністратору єдиною системою. Крім цього, забезпечується більш швидкий доступ до бази даних мережевих ресурсів за рахунок звернення до найближчого сервера.

Мал. 3.24. Розділи бази даних NDS

Репліка - це копія інформації розділу NDS. Можна створити необмежену кількість реплік кожного розділу і зберігати їх на різних серверах. Якщо один сервер зупиняється, то копії цієї інформації можуть бути отримані з іншого сервера. Це збільшує відмовостійкість системи, так як жоден з серверів не відповідає за всю інформацію бази даних NDS.

Прозорість полягає в тому, що NDS автоматично створює зв'язку між програмними і апаратними компонентами, які забезпечують користувачеві доступ до мережевих ресурсів. NDS при цьому не вимагає від користувача знань матеріального становища цих ресурсів. Ставлячи мережевий ресурс по імені, ви отримаєте до нього коректний доступ навіть в разі зміни його мережевої адреси або місця розташування.

Глобальність NDS полягає в тому, що після входу ви отримуєте доступ до ресурсів всієї мережі, а не тільки одного сервера, як було в попередніх версіях. Це досягається за рахунок процедури глобального логічного входу (global login). Замість входу в окремий сервер користувач NDS входить в мережу. Після чого він отримує доступ до дозволених для нього ресурсів мережі. Інформація, яку надає під час логічного входу, використовується для процесу ідентифікації користувача. Пізніше, при спробі користувача отримати доступ до ресурсів, таким як сервери, томи або принтери, фоновий процес ідентифікації перевіряє, чи має користувач право використовувати даний ресурс.

Об'єктно-орієнтований підхід

В NDS інформація про мережеві ресурси організована за допомогою об'єктів. Кожен об'єкт являє собою ресурс, такий як принтер, тому, користувач або сервер.

Об'єкти організовані в ієрархічну структуру, відповідну структурі організації, яка відображатиме реальні інформаційні потоки і потреби поділу ресурсів. Одні об'єкти представляють фізичні сутності, наприклад об'єкт-користувач представляє користувача, а об'єкт-принтер представляє принтер. Інші об'єкти представляють логічні поняття, такі як групи або черги до принтерів.

Ще одна категорія об'єктів, в яку входять, наприклад, об'єкти типу відділу підприємства, допомагають організовувати і упорядковувати інші об'єкти.

Об'єкти мають атрибути, в яких зберігається індивідуальна для даного об'єкта інформація, наприклад, ім'я та телефон користувача або місце розташування факсу і т.п.

дерево каталогів

NDS використовує для зберігання інформації логічну структуру, яка називається деревом каталогів (Directory Tree, DT). Ця ієрархічна структура має кореневий елемент (root) і гілки (рисунок 3.25). Адміністратору мережі NetWare 4.x надається зручна графічна утиліта NetWare Administrator, що працює в середовищі Windows, наочно представляє кожен об'єкт дерева каталогів NDS у вигляді іконки і відображає зв'язки між об'єктами. Користувачі також отримують зручності прозорого доступу до ресурсів всієї мережі, якщо вони користуються оболонкою NetWare для Windows, яка підтримує діалог з NDS і являє доступні користувачеві ресурси у вигляді вкладених піктограм.

Дерево каталогів містить об'єкти двох типів:

• об'єкти-контейнери,
• об'єкти листя.

Об'єкти-контейнери містять або включають інші об'єкти. Вони використовуються для логічного упорядкування та організації інших об'єктів дерева.

NDS містить об'єкти-контейнери трьох типів, які можна використовувати для організації дерева об'єктів:

• Країна (Country) - необов'язковий об'єкт, який можна використовувати в мережах, що охоплюють кілька країн.
• Організація (Organization) - розташовується рівнем нижче, ніж об'єкти-країни (якщо вони використовуються).
• Відділ або підрозділ організації (Organizational Unit) - розташовується рівнем нижче, ніж об'єкти-організації. Допомагає в подальшому упорядкуванні інших об'єктів.

Мал. 3.25. Типова структура дерева каталогів NDS

Об'єкти-листя не містять інші об'єкти, вони використовуються для подання кінцевих мережевих ресурсів, таких як комп'ютери, томи, принтери, користувачі і групи користувачів. В NDS визначені ще і такі типи об'єктів-листя, як:

• організатор - використовується для таких керівних осіб фірми, як керівник групи або віце-президент,
• сервер,
• принт-сервер,
• чергу друку,
• карта каталогів на томі,
• профіль - представляє командний файл входу Login Script для спеціальної групи користувачів, які хочуть розділяти загальні команди Login Script, але не обов'язково входять в один об'єкт-контейнер в дереві каталогів, або ж для підмножини користувачів одного контейнера,
• псевдонім - вказує на оригінальне місцезнаходження об'єкта в дереві. Будь-який об'єкт може бути розташованим в декількох місцях дерева з використанням псевдонімів. Псевдоніми роблять використання NDS більш гнучким і зручним.

Служба NDS і файлова система

Служба NDS призначена для управління такими мережевими ресурсами, як сервери і тому NetWare, але вона не забезпечує управління файловою системою. Файли і каталоги не є об'єктами служби NDS. Однак вони представляються у вигляді іконок при використанні графічної утиліти NetWare Administrator. Одним з атрибутів об'єкта-томи є місце розташування фізичного тому, який містить файли і каталоги. Таким чином, об'єкт-том являє собою зв'язок між NDS і файлової системою.

Служба NDS надає кошти для пошуку об'єктів в її базі даних мережевих ресурсів. Можна робити запити, типові для баз даних, наприклад, пошук користувачів, що живуть на одній вулиці і т.п. Можна також зробити запит про значення всіх атрибутів будь-якого конкретного об'єкта.

NDS також використовує синхронізацію годин між усіма серверами мережі для забезпечення правильного порядку подій в мережі.

Імена і контексти

В іменуванні об'єктів служба NDS використовує ті ж принципи, що і файлові системи MS DOS і UNIX. Об'єкт-лист має коротке ім'я, зване Common Name (CN). Воно може складатися максимум з 64 символів, включаючи пробіли. Тому ім'я принтера "Швидкий, але часто ламається Epson" є законним. Аналогом повного імені файлової системи MS DOS є так зване "помітне ім'я" - Distinguished Name. Помітне ім'я являє собою конкатенацію всіх імен об'єктів, розташованих на шляху цього об'єкта до кореня дерева. Складові помітного імені відокремлюються один від одного крапкою. На відміну від повних імен MS DOS крайній лівій складової помітного імені є коротке ім'я об'єкта, а крайній правій складової - ім'я кореневого об'єкта. например,

Vova S.NetProgrammers.Microsoft.US

є помітне ім'я об'єкта-користувача з мережевим ім'ям Vova S, що працює в мережевому відділі фірми Microsoft, розташованої в США. Можливий і інший варіант запису помітного імені із зазначенням типів об'єктів:

CN = Vova s.Ou = NetProgrammers.O = Microsoft.C = US.

Такий вид запису більш змістовний.

Засоби захисту об'єктів в NDS

Служба NDS визначає права доступу одних мережевих об'єктів до інших. Розрізняються права доступу до об'єкта в цілому і права доступу до його атрибутам.

По відношенню до об'єктів існує наступний набір прав:

• Browse - перегляд;
• Add - додавання;
• Delete - видалення;
• Rename - перейменування;
• Supervisor - забезпечує всі перераховані вище права.

По відношенню до атрибутів об'єктів використовуються такі права:

• Compare - порівняння значення атрибута;
• Read - читання значення атрибута;
• Write - запис нового значення атрибута;
• Self - привласнення себе в якості значення атрибута іншого об'єкта, наприклад, якщо об'єкт-група дозволяє право Self для об'єкта User, то останній може зробити себе членом цієї групи;
• Supervisor - все права щодо доступу до атрибутів.

З кожним об'єктом пов'язаний список управління доступом (ACL), в якому визначаються права доступу до даного об'єкта з боку інших об'єктів.

Права доступу успадковуються в дереві об'єктів зверху вниз, тому права об'єкта-контейнера успадковуються входять в нього об'єктами. Для досягнення необхідної гнучкості в наділення об'єкта правами використовується маска успадкування (Inheritance Mask), за допомогою якої можна заблокувати деякі успадковані права. За допомогою успадкування прав доступу головний адміністратор дерева, що має доступ до всіх його об'єктів, може призначити адміністратора поддерева, який отримає права доступу до всіх об'єктів даного поддерева. Якщо поддерево відповідає будь-якої структурної одиниці підприємства (що і мається на увазі), наприклад відділу, то це буде адміністратор відділу, керуючий користувачами і ресурсами даного відділу.

Після докладного розгляду властивостей дерева каталогів NDS можна уточнити поняття розділу (partition) і репліки (replica). Розділ є поддерево загального дерева мережі. Для визначення розділу необхідно вибрати об'єкт-контейнер в загальному дереві, який буде кореневим об'єктом даного розділу. Створення розділу зменшує обсяг інформації, що зберігається на сервері інформації бази даних NDS за рахунок виключення рідко використовуваної інформації і робить доступ до локальних об'єктів швидшим, хоча об'єкти, що знаходяться в інших розділах, також доступні всім клієнтам мережі.

Репліка - це точна копія певного розділу, що зберігається на різних серверах. Наявність декількох реплік забезпечує відмовостійкість ОС NetWare 4.x, а також прискорює доступ до інформації при перенесенні репліки з підключеного через глобальну мережу сервера на локальний сервер.

Існують три типи реплік: головна репліка (master replica), вторинна репліка (read / write replica) і репліка тільки для читання (read-only replica).

Головна репліка дозволяє проводити над нею такі операції, як створення нового розділу, злиття розділів і видалення розділу.

Вторинна репліка дозволяє оновлювати інформацію про об'єкти, додавати нові об'єкти, але не дозволяє створювати нові розділи.

Репліка тільки для читання дозволяє тільки читати інформацію з її бази та проводити операції пошуку.

У мережі може існувати довільна кількість реплік. При зміни інформації в будь-якої репліці автоматично запускається процес оновлення всіх інших реплік. Цей процес називається процесом синхронізації служби каталогів (DSS).

Будь-сервер NetWare, що підтримує службу NDS, називається сервером імен.

|| Зміст || наступна глава