Закладывая фундамент
В поисках клиента

Резюме

Возможности LDAP Services for NDS


Протокол LDAP (Lightweight Directory Access Protocol) позволяет сетевым администраторам централизованно управлять службами каталогов, функционирующими на различных платформах, используя единый интерфейс. Первым продуктом, интегрирующим данный протокол со службами каталогов, явился LDAP Services for NDS 1.0 компании Novell - однако для полной реализации его функций предлагается версия LDAP 3.0. В дополнение к универсальному механизму поиска ресурсов в Internet типа "белых страниц" LDAP 3.0 обеспечивает беспрецедентные возможности централизованного доступа к службам сетевых каталогов, таким как Novell Directory Services (NDS), Banyan StreetTalk и разрабатываемая компанией Microsoft система Active Directory.

Используя LDAP Services for NDS компании Novell, администраторы сетей NetWare 4.1х могут публиковать с помощью LDAP-клиентов объекты каталога NDS и управлять ими. Компаниям, работающим с NDS, этот продукт существенно облегчит интеграцию LDAP с существующей структурой сетевого каталога.

Однако при применении LDAP Services for NDS могут возникнуть и определенные трудности. Так, при конфигурировании этого продукта я столкнулся с рядом проблем, большинство из которых было связано с отсутствием стандартных структур классов и атрибутов LDAP. Для эффективной работы LDAP Services for NDS с разнородными каталогами необходима поддержка разрабатываемой в настоящее время версии 3.0 протокола LDAP.

Закладывая фундамент

LDAP Services for NDS функционирует в качестве загружаемого модуля NLM на серверах NetWare 4.1 или 4.11. Инсталляционная программа модифицирует существующую структуру NDS, пополняя ее объектными классами LDAP Server и LDAP Group. Программа настройки добавляет и конфигурирует один объект из каждого класса, используя стандартные модули NDS. Объект LDAP Server указывает, на каком сервере NetWare будет функционировать NLM службы LDAP. Объект LDAP Group отображает классы и атрибуты LDAP на их эквивалентах в NDS, выполняя роль конфигурационного объекта данной службы.

LDAP Services for NDS обеспечивает многие возможности, необходимые при публикации информации из корпоративного сетевого каталога. Так, объекты LDAP Group могут задавать допустимые операции для конкретных пользователей, основываясь на списках контроля доступа (Access Control List - ACL). Мне, например, с помощью ACL удалось указать, какие атрибуты NDS нужно публиковать для клиентов LDAP. Кроме того, я смог задать объект сервера-посредника, который должен контролировать права доступа к объектам NDS для клиентов, выполняющих аутентификацию анонимно.

Однако меня ждали и разочарования. Скажем, LDAP Services for NDS не поддерживает аутентификацию с шифрованными паролями. Тем не менее мне удалось запретить использование нешифрованных паролей. Когда я сделал это, сервер LDAP стал отказывать в подключении всем клиентам, пытавшимся задать свои пароли для аутентификации. Эта возможность может оказаться полезной в том случае, если вы хотите поместить сервер NDS с внешней стороны брандмауэра и использовать его как корпоративный поисковый сервер, ограничив при этом доступ к нему и исключив возможность его администрирования.

Продукту LDAP Services for NDS недостает также поддержки защищенного порта TCP, которая должна войти в клиентскую часть LDAP из разрабатываемого ПО Netscape Communicator.

С помощью опции Suffix объектного класса LDAP Group я указал, какие области дерева каталога NDS должны быть доступны клиентам, обращающимся к службе LDAP. Кроме того, я мог назначить справочный сервер для обработки запросов клиентов LDAP.

Сильное впечатление производят богатые возможности настройки с помощью экранных опций и записей контрольного журнала, которые помогли мне устранить ошибки в конфигурации системы. Однако при том уровне детализации, какой предоставляет продукт Novell, и недостатке информации по LDAP в целом хотелось бы иметь более подробную документацию - тогда я избежал бы некоторых трудностей при конфигурировании системы.

В поисках клиента

Вместе со своим продуктом Novell не поставляет клиентов LDAP. В настоящее время их выбор довольно ограничен, и для проверки работы LDAP Services for NDS пришлось переписать несколько клиентских программ из Internet. Я выбрал последнюю версию клиента Internet Mail компании Microsoft, бета-версию Netscape Communicator и программу Swix, разработанную в одном из шведских университетов.

Клиентские программы Microsoft и Netscape предоставляют вполне приемлемые средства поиска объектов в сетевом каталоге и позволяют включать найденных пользователей в адресную книгу. Однако ни тот, ни другой клиент не удалось использовать для выполнения административных задач. В противоположность им ПО Swix дало возможность просматривать дерево каталога, редактировать пользовательские объекты и даже добавлять новые объекты в структуру NDS через LDAP.

Поскольку до сих пор не существует реального стандарта на структуру LDAP, для добавления новых объектов в каталог мне пришлось задать несколько дополнительных классов. Поэтому надо иметь в виду, что работа с конкретным клиентом LDAP потребует тестирования и настройки атрибутов LDAP Services for NDS.

К концу года Novell планирует выпустить данный продукт для платформ SCO OpenServer и HP-UX, на которых работает NDS. Поддержка Unix и Windows NT Server также будет обеспечена в этом году, после переноса на эти платформы NDS.

В целом можно сказать, что LDAP Services for NDS представляет собой прекрасное дополнение к платформе NetWare 4.1x. Этот продукт должен стать незаменимым средством для администраторов, которым нужно публиковать и администрировать объекты NDS с помощью стандартных клиентов LDAP.


Джефф Саймонс (Jeff Symoens) - старший аналитик Тестового центра еженедельника InfoWorld. С ним можно связаться по адресу jeff_symoens@infoworld.com.

Резюме

LDAP Services for NDS 1.0

Продукт будет полезен сетевым администраторам для интеграции разнородных клиентов в структуру NDS. Он позволяет публиковать в сети объекты NDS для совместимых с LDAP клиентов и управлять этими объектами.

Достоинства: Интеграция с утилитой NetWare Administrator, возможность настройки прав доступа с помощью объектов-посредников и списков контроля доступа (Access Control List), встроенная консоль и возможность ведения контрольного журнала.

Недостатки: Отсутствие поддержки аутентификации с шифрованными паролями и подключения через защищенный порт, недостаточно полная документация.

Производитель: Novell, Inc., Орем, шт. Юта; тел.: (800) 435-1267, (801) 222-6000; факс: (800) 453-1267; http://www.novell.com.

Цена: бесплатная загрузка с Web-узла Novell.

Платформа: NetWare 4.1x


Возможности LDAP Services for NDS

  • Отображает классы и атрибуты LDAP на объектах NDS
  • Позволяет на узлах сети NetWare 4.1x публиковать информацию из каталогов NDS для клиентов LDAP
  • Допускает управление объектами каталога NDS с помощью стандартных клиентов LDAP
  • Поддерживает LDAP 2.0