Станет ли LDAP-совместимый Directory Server компании Netscape каталогом каталогов?
Традиционно сети предоставляли организациям средства совместного использования компьютерных файлов и принтеров несколькими пользователями. Однако роль сетей в последние годы значительно возросла; повсеместное проникновение электронной почты и Intranet, а также рост объема удаленного доступа - вот только некоторые из новых "обязанностей" современных сетей.
Добавление в сеть любого приложения неминуемо усложняет работу администраторов. Говоря точнее, каждое новое сетевое приложение обычно предполагает создание и сопровождение нового набора информации о пользователе, который приложение хранит в своей собственной базе данных или каталоге. Эта информация обычно указывает, каким пользователям разрешается доступ к приложению и какие права они при этом имеют. При наличии нескольких приложений администратору придется поддерживать несколько перекрывающихся наборов информации о пользователе, по одному для каждого приложения и для каждой сетевой операционной системы.
К примеру, если организация принимает на работу нового сотрудника и ему необходим доступ к нескольким сетевым службам, то администратору придется создать пользовательский бюджет для этого человека в общей базе данных сетевой операционной системы (или каталоге), в каталоге электронной почты, каталоге управления доступом к Intranet, каталоге удаленного доступа к приложениям и т. д.
В попытке разрешить эту дилемму производители предложили высокоуровневые системы управления каталогами, с помощью которых один набор информации о пользователе можно, по крайней мере теоретически, использовать для различных сетевых приложений и служб, работающих в сети. Примерами таких систем являются Novell Directory Services (NDS), VIA компании Zoomit и Synchronicity компании NetVision. Кроме того, Microsoft сейчас работает над глобальным каталогом для Windows NT под названием Active Directory.
Со своей стороны Netscape решила вмешаться в это состязание каталогов, предложив продукт под названием Directory Server в составе SuiteSpot - пакета приложений для Intranet и Internet. Каталог на базе Lightweight Directory Access Protocol (LDAP), как предполагается, будет служить в качестве внутреннего каталога для всех приложений в SuiteSpot. Однако, учитывая совместимость Directory Server с LDAP, компания Netscape рассчитывает, что этот каталог будет использоваться и для других целей, в частности, что он сможет стать универсальным каталогом для всей сети.
РАССВЕТ КАТАЛОГОВ
Концепция каталогов ведет свое происхождение от списков контроля доступа Access Control Lists (ACL). Применяемый в средах на базе мэйнфреймов и мини-компьютеров, ACL обычно представляет собой файл, содержащий имена пользовательских бюджетов, пароли и информацию о правах пользователей. Иногда ACL - это обычный текстовый файл.
При регистрации в системе пользователю необходимо идентифицировать себя, введя имя и пароль. После ввода информации система проверяет наличие такого пользователя в списке и правильность пароля. Если данные подтверждаются, то система регистрирует пользователя и предоставляет свободу действий в рамках данных ему привилегий.
Реализованный в ACL подход был принят разработчиками в сетевой отрасли. Сетевые операционные системы и приложения используют списки ACL для контроля как доступа пользователей к системным приложениям, так и операций, на выполнение которых они имеют право. Опять же, в одних случаях списки ACL представляют собой простые текстовые файлы, а в других - развиваются в более крупные системы типа баз данных. Проблема в том, что по большей части эти ACL являются нестандартными и не совместимы друг с другом.
Как уже отмечалось, по мере роста масштаба сетей и с увеличением числа работающих в них приложений и устройств администратору приходится поддерживать слишком много схем контроля доступа. Тут-то, в целях снижения нагрузки на администратора сети, и возникла идея создания единого каталога, содержащего учетную информацию о всех пользователях и ресурсах в сети.
МИР РЕШЕНИЙ
Рынок предлагает немало различных продуктов для поддержки каталогов, но до сих пор ни один из них не имел полной универсальной службы каталогов - подобный подвиг не так-то легко совершить из-за разнообразия и большого числа существующих сетевых приложений. В действительности эти продукты обеспечивают лишь ограниченную консолидацию наиболее распространенных типов каталогов для современных компьютерных сетей.
К примеру, вместе с NetWare 4.0 компания Novell представила NDS. Этот каталог содержит информацию о пользователях и сетевых ресурсах для всей совокупности серверов NetWare. Он позволяет отказаться от необходимости создавать и поддерживать информацию о пользователях и ресурсах на каждом сервере NetWare.
Недавно компания Novell расширила возможности NDS, добавив новую службу - NDS for NT. Данное приложение позволяет интегрировать базу имен доменов Windows NT с каталогом NDS. С помощью этого продукта вы можете использовать один каталог, NDS, для управления информацией о пользователях и ресурсах на серверах обеих операционных систем, NetWare и NT.
В Synchronicity компании NetVision реализован иной подход. Эта система не претендует на роль универсального каталога. Скорее она служит посредником при взаимодействии различных каталогов друг с другом. синхронизация каталогов состоит в тиражировании информации из одного каталога в другие каталоги в сети. Поэтому при изменении бюджета в одном каталоге система синхронизации вносит такие же изменения в соответствующий бюджет в других каталогах.
Так, Synchronicity синхронизирует информацию между NDS и базой имен доменов NT, благодаря чему вы можете использовать программу NWAdmin в NDS для управления серверами NetWare и NT.
Реализуя еще одну стратегию работы с каталогами, Burton Group и Network Application Consortium (NAC) развили идею "метакаталога", представляющего собой каталог каталогов. Метакаталог переносит информацию из всех каталогов вашей сети в свою собственную базу данных, в результате чего вы получаете единый каталог для управления всей сетью. VIA компании Zoomit стала первой реализацией метакаталога, появившейся на рынке.
LDAP: СЛЕДУЮЩИЙ ЭТАП ЭВОЛЮЦИИ?
Эти решения - шаг в правильном направлении. Однако они являются нестандартными, т. е. вопрос интероперабельности по-прежнему остается открытым. Очевидно, что наилучшим решением был бы каталог на базе единого отраслевого стандарта, так как совместимость продуктов со стандартом гарантирует определенный уровень интероперабельности.
В 1988 году ISO разработала такой стандарт под названием X.500 Directory Access Protocol, описывающий службу каталогов по типу базы данных. К сожалению, X.500 оказался слишком сложным. В результате работать с последующими реализациями X.500 оказалось чрезвычайно трудно, а кроме того, они требовали больших вычислительных ресурсов. По этим причинам X.500 так и не приобрел широкой популярности на рынке.
Развивая X.500, IETF начала работать над LDAP. Созданный в Мичиганском университете, LDAP изначально задумывался как протокол доступа к каталогам X.500. Используя LDAP, клиентские приложения могут обращаться к каталогам X.500, и таким образом пользователи могут вводить, удалять, изменять и извлекать информацию.
Хотя LDAP сначала служил в качестве своего рода внешнего интерфейса для каталогов X.500, в скором времени он превратился в стандарт на автономный, "упрощенный" каталог - по существу, сокращенную версию X.500. IETF одобрил LDAP как стандарт Internet для каталогов (RFC 1487). Вскоре был создан LDAP-2 (RFC 1777), а недавно IETF утвердил LDAP-3, о котором можно узнать из RFC 2251.
Благодаря превращению LDAP в стандарт Internet, разработчики могут создавать стандартизованные совместимые каталоги и приложения. За счет этого любой LDAP-совместимый каталог в принципе должен работать с любым LDAP-совместимым приложением. С помощью LDAP вы можете создать каталог, содержащий информацию о сетевых ресурсах и пользовательских бюджетах. Любое приложение, поддерживающее LDAP, может затем обратиться к каталогу за необходимой информацией, когда пользователь хочет зарегистрироваться или использовать определенный сетевой ресурс.
Каталог LDAP может не только обслуживать сетевые приложения, но и служить в качестве информационного ресурса для пользователей. Например, LDAP дает пользователям возможность обращаться в каталог за информацией. Предположим, сообщение необходимо послать по электронной почте сотруднику вашей организации, но вы не можете вспомнить адрес этого человека. С помощью своего LDAP-совместимого почтового клиента его адрес электронной почты можно попытаться найти в каталоге LDAP вашей организации (предполагая, что тот содержит адреса электронной почты и предусматривает подобный вид доступа).
Или, в другом случае, посторонний человек, не работающий в вашей организации, может связаться с вами, если с помощью LDAP-совместимого клиента, такого как браузер Web, догадается отыскать в каталоге ваш номер телефона (опять-таки, предполагая, что он предусматривает подобный доступ).
НАСКОЛЬКО ЭТО УДОБНО
В SuiteSpot и Directory Server компания Netscape выбрала подход к службе каталогов на базе LDAP. Directory Server - каталог LDAP, и все серверные приложения SuiteSpot совместимы с LDAP. Суть в том, что, используя серверные приложения в SuiteSpot, вы можете создать крупную корпоративную сеть Intranet, с электронной почтой и программным обеспечением для коллективной работы. Затем вы можете использовать Directory Server для обслуживания пользовательских бюджетов и информации о ресурсах для приложений Intranet. Кроме того, как уже упоминалось, поскольку Directory Server создан на базе LDAP, он может выполнять для пользователей вашей организации роль общего каталога по типу белых страниц.
Последняя версия SuiteSpot 3.5 поставляется в двух редакциях: Standard и Professional. В редакции Standard вы найдете пять приложений для Intranet: Calendar Server - это приложение календарного планирования; Collabra Server позволяет организовать дискуссионные группы в вашей Intranet; Enterprise Server - это сервер Web; Messaging Server - это программное обеспечение электронной почты Internet компании Netscape; и, конечно, пятое приложение - Directory Server.
В редакцию Professional компания Netscape добавляет еще несколько приложений помимо вошедших в состав стандартной редакции. Это система поддержки цифровых сертификатов Certificate Server; система индексирования и поиска информации в Intranet на базе Compass Server; proxy-сервер, как вы, наверное, уже догадались, Proxy Server, и программа под названием Mission Control Desktop для управления настройками Intranet на стороне клиента (другими словами, она дает возможность конфигурировать Netscape Navigator и Communicator для пользователей Intranet).
Directory SERVER 3.0
В феврале 1998 года Netscape начала выпуск Directory Server 3.0, обновление предыдущей версии за номером 1.03. Этот продукт может работать под управлением операционных систем UNIX или Windows NT. В последнем случае устанавливаемый сервер NT должен являться основным контроллером домена. В Windows NT Directory Server работает как стандартная служба NT.
Однако, прежде чем инсталлировать этот продукт, вам необходимо проделать определенную подготовительную работу. К примеру, документация предполагает, что в вашей сети уже установлена DNS. Этот продукт можно ставить и при отсутствии DNS, но тогда вы должны будете использовать IP-адреса вместо имен хостов и доменов. Однако если вы создаете Intranet в масштабах организации и хотите добиться надлежащего взаимодействия между серверами и клиентами, то от DNS в любом случае никуда не деться.
Кроме того, если вы не знакомы с LDAP, то придется почитать описания этого стандарта, его моделей данных и схем именования в документации на Directory Server. Таким образом, вы сможете лучше подготовиться к принятию решения о структуре дерева каталогов своей организации. Если вы имеете представление о NDS, то найдете с ней немало общего, поскольку NDS, как и LDAP, базируется на схеме именования, разработанной для X.500.
К примеру, создаваемый Directory Server каталог использует такие элементы, как отличительное имя (Distinguished Name, DN) и типовое имя (Common Name, CN). Говоря в общем, каталог содержит записи, ответственность за ввод которых возлагается на администратора каталога. Каждая запись представляет различные объекты в сети (к примеру, пользователей). Каждый объект может иметь несколько атрибутов, таких как имя пользователя, адрес электронной почты или номер телефона. Со своей стороны, каждый атрибут определяется именем, типом и одним или несколькими значениями.
Directory Server требует также, чтобы хост имел Netscape Navigator или Communicator. Как и другие продукты в SuiteSpot, Directory Server в качестве основного интерфейса администрирования использует рассчитанные на работу с формами браузеры. Пользователи могут также обращаться к Directory Server для поиска такой информации, как адреса электронной почты сотрудников компании. В этом случае сервер Web должен быть соответствующим образом настроен.
В целом процедура установки довольно стандартна, а во время всего процесса инсталляции вас сопровождает эксперт. Вместе с Directory Server программа установки инсталлирует также шлюз (он обеспечивает пользователям доступ к каталогу через сервер Web) и административную программу для Directory Server под названием Administration Server. Эта программа создана на основе HTML и открывается как страница Web в браузере Netscape.
НАСТРОЙКА И ЗАПУСК
После завершения установки продукта вы можете вызвать Administration Server для конфигурации Directory Server. Navigator запускается одновременно с Administration Server и открывает основную административную страницу Web. Отметим, что на рисунке вы можете видеть ссылки и на Directory Server, и на Enterprise Server, также установленный на нашем сервере NT. Administration Server может стать центральной точкой управления всеми серверами SuiteSpot - если все серверы находятся на одной и той же машине и в одном и том же корневом каталоге.
В этот момент вы можете выбрать ссылку Create New Netscape Directory Server 3.0 для вызова начальной страницы установки каталога. Эта страница служит для выполнения базовой настройки каталога, в том числе для присвоения имени серверу, где будет размещаться каталог, выбора порта, с которым он будет работать, и т. д. Кроме того, если вы хотите, чтобы другие серверы SuiteSpot использовали Directory Server в качестве своего каталога, то соответствующую опцию необходимо указать именно здесь для создания бюджета администратора SuiteSpot. Кроме того, эта страница позволяет вам создать свой каталог с DN и определить бюджет "суперпользователя", называемый корневым DN. Именно этот бюджет используется для администрирования базы данных Directory Server.
После определения базовых параметров каталога вам следует его заполнить. Возможно, лучше всего для этого импортировать файл LDAP Data Interchange Format (LDIF). В конечном итоге вам необходимо создать текстовый файл ASCII, содержащий все необходимые объекты и соответствующие атрибуты. Затем этот файл LDIF можно импортировать в Directory Server, а он уже сам создаст каталог на основе содержащихся там данных. По словам представителей Netscape, такой каталог может содержать свыше миллиона записей на каждом сервере и обрабатывать более 300 запросов в секунду.
Документация на Directory Server подробно описывает всю процедуру импорта. Однако если вы не знакомы с LDAP, то, возможно, пройдет определенное время, прежде чем вы привыкнете к соглашениям LDAP.
При большом объеме данных, которые требуется ввести в каталог, импортирование файла LDIF является, вероятно, наилучшим решением. Однако каталог можно заполнять объектами и постепенно, по одному. Выбор Users и Groups в Administration Server приводит к открытию страницы, с помощью которой вы можете управлять пользователями, группами и подразделениями организации в каталоге и создавать новые. К примеру, страница New User имеет текстовые окна для ввода информации о пользователе. Это, возможно, наиболее удобный способ ввода информации о пользователе, если базовый каталог уже имеется.
По завершении создания каталога его можно "довести его до ума" с помощью функции Schema на административной странице Directory Server. Она позволяет вносить и изменять в каталоге записи и атрибуты. Схему каталога можно расширить за счет создания новых классов объектов. Создание нового класса сопряжено с определением нового типа записи, а также атрибутов, связанных с этой записью. Такая гибкость позволяет адаптировать каталог в соответствии с вашими требованиями посредством добавления новых типов хранимой информации.
Административная страница Directory Server предлагает множество возможностей, в том числе настройку порта для защищенных коммуникаций между каталогом и любыми клиентами, которые к нему обращаются. Она также позволяет, посредством настройки определенных параметров, контролировать эффект от воздействия LDAP на ресурсы сервера.
Directory Server имеет еще несколько важных функций, таких как тиражирование базы данных. Хотя ваш каталог может находиться и на одном сервере, Directory Server можно настроить так, что он будет тиражироваться на несколько серверов. Подобная настройка обеспечивает ряд дополнительных преимуществ. К примеру, в случае, когда сервер, содержащий каталог, выходит из строя, приложения и пользователи могут по-прежнему обращаться к его тиражированной копии на другом сервере. Или, если у вас очень много пользователей и приложений, имеющих доступ к одному каталогу и выполняющих в нем поиск, рабочая нагрузка может быть распределена между несколькими серверами.
Directory Server также позволяет распространять подразделы, или поддеревья, каталога на различные серверы. Однако сеть должна иметь сервер верхнего уровня, содержащий весь каталог. С помощью синхронизации Directory Server и справочной службы любое изменение в распределенном каталоге будет передано в основной каталог, где операция и будет выполнена. Затем, по мере тиражирования частей основного каталога на серверы более низкого уровня, изменения будут отражены и в поддеревьях.
И еще одно замечание. Если пользователь запрашивает информацию из конкретного каталога и этот каталог не содержит требуемых данных, то он может обратиться с запросом к другому серверу (например, к серверу, где расположен основной каталог).
Еще одна важная особенность - это синхронизация NT. Если эта опция установлена, то Directory Server может синхронизироваться с базой имен доменов NT. При создании, изменении или удалении какого-либо пользователя или группы пользователей в одном каталоге все сделанные изменения отразятся в другом каталоге.
ТЕПЕРЬ ВСЕ ВМЕСТЕ
После настройки и запуска Directory Server и создания каталога для вашей организации другие серверы SuiteSpot можно сконфигурировать так, чтобы они использовали данный каталог в качестве источника информации о пользовательских бюджетах. Например, Collabra Server компании Netscape - это приложение для организации дискуссионных групп, создаваемых на базе групп новостей Usenet в Internet. После связывания с Directory Server, Collabra Server использует его каталог как свою собственную базу данных о пользователях.
Сконфигурировать серверы SuiteSpot для работы с каталогом Directory Server достаточно просто. Во время установки отображаемое диалоговое окно предлагает указать, где будет храниться учетная информация о пользователе - в локальном каталоге или на Netscape Directory Server.
После привязки серверов SuiteSpot к Directory Server они взаимодействуют без проблем. К примеру, вы определили дискуссионные группы в Intranet для своей организации с помощью Collabra Server. Теперь пользователям необходимо предоставить возможность подписки на эти группы. В некоторых случаях желательно, чтобы доступ имела лишь ограниченная группа пользователей (например, если дискуссионная группа предназначена исключительно для кадровиков), в других - дискуссионная группа может быть открыта для всех сотрудников компании (к примеру, дискуссионная группа по плану 401K).
Контроль доступа к дискуссионной группе осуществляется с административной страницы Web, с элементами управления дискуссионными группами на Collabra Server. После выбора дискуссионной группы и закладки Access Control Rules появляющийся новый набор элементов управления позволяет указать пользователей и группы в выбранной дискуссионной группе, а также задать их привилегии. Вся вводимая при этом информация отражается в каталоге Directory Server и будет сохраняться, пока пользователи или группы не будут удалены из каталога.
Небольшое замечание, аналогичное высказанному выше. Используя функцию контроля доступа в Directory Server, пользователям можно разрешить обращаться в каталог из клиентского приложения, такого, как рассчитанный на работу с формами браузер Web. Контроль доступа можно настроить так, чтобы пользователи имели возможность искать в каталоге адреса электронной почты, номера телефонов и тому подобную информацию.
НЕСКОЛЬКО ЗАКЛЮЧИТЕЛЬНЫХ ЗАМЕЧАНИЙ
Поскольку Directory Server использует открытый и гибкий стандарт, он представляет собой универсальный способ свести воедино информацию о бюджетах вашей сети Intranet. С помощью LDAP вы можете создавать различные типы записей и атрибутов, т. е. формировать каталог в соответствии со своими требованиями. И, так как это открытый стандарт, другие LDAP-совместимые продукты смогут с ним взаимодействовать, по крайней мере в теории.
Основной недостаток LDAP - в том, что его корни лежат в мире UNIX. Поэтому, если вы не знакомы с UNIX, вначале некоторые аспекты Directory Server могут вызвать законное раздражение, так как многие операции осуществляются с помощью командной строки. Directory Server делает эти операции гораздо более привлекательными за счет использования форм и элементов управления HTML, что само по себе огромный шаг вперед по сравнению с версией 1.03. Тем не менее при управлении Directory Server вам придется чаще вводить текст, чем щелкать мышкой.
Netscape также разрабатывает программу для создания центральной точки управления для SuiteSpot и Directory Server, под названием Mission Control Console. (В момент написания статьи этот продукт планировался к выпуску во втором квартале 1998 года.) Предположительно, данная программа позволит вам управлять группами серверов из одной точки, а также помимо других возможностей предоставит графический интерфейс для каталога.
Сейчас Directory Server не готов взять на себя управление всей сетью, поскольку совместимость с LDAP не является пока стандартной характеристикой большинства сетевых приложений и систем. Но использование LDAP в Directory Server - это шаг в верном направлении, по которому, мы надеемся, последуют другие разработчики сетевых операционных систем и приложений.
Ли Че - научный редактор Network Magazine. С ним можно связаться по адресу: lchae@mfi.com.
ИТОГ ИСПЫТАНИЙ
Directory Server
Netscape Communications
501 E. Middlefield Rd.
Mountain View, CA 94043
1-650-937-2555
www.netscape.com.
Цель. Управление сетевыми пользователями и ресурсами в различных сетевых приложениях и службах с помощью одной службы каталогов.
Вопросы. Возможность работать с различными сетевыми приложениями, службами и операционными системами. Достаточная гибкость для поддержки единой сетевой среды и базы данных всей организации.
Тестируемый продукт или реализация. Directory Server 3.0 компании Netscape Communications.
Достоинства. Основан на стандарте Lightweight Directory Access Protocol (LDAP). Идеально подходит для приложений Intranet и Internet. Взаимодействие с любыми LDAP-совместимыми серверными и клиентскими приложениями. Управление с помощью браузера исключает необходимость в специальном административном клиенте.
Недостатки. Малое количество LDAP-совместимых сетевых систем и приложений. Пока он не очень хорошо подходит в качестве альтернативы каталогам сетевой операционной системы. Если вы не знакомы с UNIX, то работать с LDAP будет непросто, поскольку команды, процессы, сообщения об ошибках, - все они используют текстовую строку. Графическое представление дерева каталогов отсутствует.
Цена. Directory Server со 100 лицензиями стоит 995 долларов. Дополнительные пакеты на 10 лицензий продаются по 100 долларов каждый.