Как не потеряться в бурно развивающемся сете-центрическом мире? Гигантские каталоги помогут вам в этом.


СМОТРИ В КОРЕНЬ
НАЙДИ МЕНЯ
КУДА НАПРАВИТЬ СВОЙ ПУТЬ
ОДИН ЗА ВСЕХ?
ПОСТАВЬТЕ ПОДПИСЬ... ЕСЛИ ХОТИТЕ
КАК НАЙТИ ЛУЧШИЙ ПОИСКОВЫЙ УЗЕЛ
МЕТА
РАСПИСКИ МОГУТ СТАТЬ КЛЮЧОМ К ГРЯДУЩЕЙ СЛУЖБЕ КАТАЛОГОВ
СЕРТИФИКАТЫ ИДЕНТИЧНОСТИ

Доменная система имен (Domain Name System, DNS) - компактный и удобный механизм Internet. Вы сообщаете серверу DNS имя хоста, например www.lanmag.com, а он выдает IP-адрес. Теперь все маршрутизаторы на пути будут знать, что делать с пакетами. Передача получила направление.

Однако конвертирование имен - это только прелюдия к тем функциям, которые развернутая доменная система имен может выполнять. Читая нашу статью, вы узнаете, что существуют гораздо более интересные возможности, причем многие из них доступны в рамках обычных корпоративных сетей.

Одно из основных преимуществ NetWare 4.0, по крайней мере с точки зрения Novell, - это мощные средства службы каталогов NetWare (NetWare Directory Service, NDS). К несчастью для Novell, пока компания устраняла недоделки в NDS, Internet сбила сетевых администраторов с пути истинного, и вся рекламная кампания по поводу исчерпывающего управления ресурсами более или менее пропала даром. Рассказы о прелестях входа из одной точки никого уже не волновали.

Однако Internet могла бы извлечь определенные выгоды из судьбы NDS. Чей-либо адрес электронной почты можно узнать, только позвонив этому человеку. В World Wide Web от вас всякий раз требуют создать пользовательский бюджет с паролем. Даже если будете всегда использовать один и тот же пароль, вам все равно придется его набирать.

Джэф Бернард, директор по корпоративным продуктам в Banyan, утверждает, что "Internet предоставляет много уникальных возможностей, но если вы попросите кого-либо припомнить хотя бы некоторые из них, то вряд ли услышите в ответ слово каталог".

Как было бы хорошо заполнить всю статью примерами радикальных изменений в службе каталогов Internet. К сожалению, методы работы с каталогами трудны в разработке и сложны в реализации. Поэтому основное внимание мы уделим рудиментарным каталого-подобным сервисам и функциональным возможностям, которые, вероятно, появятся у них в ближайшие несколько кварталов.

Обсудить организацию каталогов Internet необходимо в первую очередь, так как чрезвычайно важно, чтобы администраторы сетей, укрывшиеся за корпоративными брандмауэрами, - то есть люди, больше всех знающие о том, что хорошо и что плохо в NDS компании Novell и ENS компании Banyan, - приняли активное участие в формировании будущей службы каталогов Internet. В конце концов, все говорит за то, что внутренние каталоги электронной почты компаний вольются в состав глобальной службы каталогов электронной почты Internet до конца этого года. Так что лучше заранее знать, с чем придется иметь дело.

СМОТРИ В КОРЕНЬ

Назначение сетевого каталога состоит в том, чтобы помочь администратору в управлении пользователями и ресурсами. В идеале каталог представляет администратору быстрый одношаговый метод для создания ассоциаций между ресурсом и пользователем, которому, как предполагается, данный ресурс будет доступен. Эта ассоциация должна оставаться, даже когда пользователь перемещается в другое место сети; таким образом, задачей службы каталогов является установление нового соответствия между пользователем и ресурсом вне зависимости от местонахождения пользователя.

Хорошей службой каталогов можно назвать ту службу, в которой ресурс назначается пользователю один раз. При этом пользователю не надо делать ничего для нахождения ресурса, даже если ресурс был перемещен в другое место с тех пор, как он использовался последний раз. По окончании идентификации пользователя системой никакие пароли больше уже не должны запрашиваться в продолжении этого сеанса. Каталогам может найтись и более банальное применение, например для нахождения пользователя в сети.

Никто, наверно, не станет возражать против целесообразности включения корпоративного каталога электронной почты в службу каталогов сетевой ОС.

Несмотря на кажущуюся простоту, реализовать полнофункциональную систему каталогов по образцу вышеописанной далеко не так просто. В области корпоративных сетей сейчас имеется только два игрока: Banyan и Novell. Несмотря на надежность продуктов обеих компаний, внедрение этих систем идет медленно. Мир не завален продуктами для этих каталогов, несмотря на то, что такие продукты существуют. В частности, и электронная почта Banyan (в пакете с VINES), и GroupWise используют соответствующие каталоги для маршрутизации электронной почты. Кроме того, обе службы каталогов имеют встроенную поддержку стандарта каталогов Х.500. Однако продуктов, использующих эту совместимость с Х.500, не существует. Сравнительный анализ работы NDS и ENS в среде NetWare вы могли найти в статье "Какой город, говорите?" в мартовском номере "LAN Magazine/Русское издание".

НАЙДИ МЕНЯ

До появления службы каталогов Internet пользователи вынуждены искать адресатов при помощи обычных простейших механизмов поиска. За последние несколько лет в Web появилось множество поисковых узлов. Некоторые из механизмов поиска весьма сложны, другие настроены на специфические области, третьи хорошо организованы. Однако механизм поиска - это не каталог.

Бернард из Banyan по этому вопросу сказал: "Практически все сегодняшние инструменты поиска предполагают ввод пользователем ключевого слова в поле формы программы просмотра Web. После введения ключевого слова мне остается только уповать на то, что, с одной стороны, это слово не является чересчур распространенным, а с другой - чересчур редким, так как в последнем случае я не получу ни одной ссылки. Однако выбор хорошего ключевого слова сам по себе ничего не гарантирует: механизм поиска должен быть достаточно хорош для осуществления значимого поиска и возвращения результата за приемлемое время".

Если поиск не возвращает искомую информацию, то на основании этой неудачи вряд ли кто-либо сделает вывод, что эти данные в сети отсутствуют: просто выбранный инструмент поиска не смог их найти. Кроме того, нет никаких гарантий, что выдаваемая инструментом поиска информация - самая последняя. Адрес электронной почты шестимесячной давности, как правило, бесполезен.

По замечанию Бернарда, инструменты поиска пользовались бы большим доверием, если бы вся информация в системе была собрана в одну базу данных, а поиск производился по всей базе, что как раз и обеспечивает корпоративным пользователям NDS компании Novell и ENS компании Banyan. Искать и найти - не совсем одно и то же.

Novell и Banyan - единственные игроки на рынке, когда речь идет о полномасштабном решении службы каталогов. В этом контексте "полномасштабное" относится к системе каталогов с полнофункциональными средствами управления ресурсами и данными пользователей в масштабе сети предприятия. Каталогу крупной корпорации приходится отслеживать информацию о десятках тысяч пользователей, причем он должен делать это быстро и надежно. Решение такой задачи требует соответствующих программного обеспечения и базы данных. Однако пользовательская база такого размера - это еще цветочки, по сравнению с потенциальной службой каталогов Internet для управления несколькими миллионами пользователей. Масштаб здесь является определяющим фактором.

КУДА НАПРАВИТЬ СВОЙ ПУТЬ

Как Novell, так и Banyan активно работают над адаптацией своих технологий к Internet. Однако эти проекты были запущены лишь недавно, и компании не достигли пока заметных результатов. Novell заявляет, что собирается распространить NDS на Internet, но подробности того, каким образом компания это собирается сделать, пока до конца не ясны.

Использование StreetTalk (технология работы с каталогами в ENS компании Banyan) в Internet вряд ли вдохновит тех, кому нужно нечто большее, чем просто подробная телефонная книга. Первое появление Banyan в Internet на узле Web под названием Switchboard (http://www.switchboard.com) закладывает фундамент для последующих предложений компании (см. Рис. 1). Во всяком случае, узел представляет дебют подразделения Internet компании Banyan.

Picture 1 (1x1)

Рисунок 1.
Switchboard - это, возможно, крупнейший телефонный справочник в Internet. Он отличается быстротой и базируется на модифицированной платформе ENS. Телефонная база данных предоставлена Database America Companies.

С технической точки зрения, Switchboard решает проблему масштаба посредством обработки свыше 90 миллионов адресов системой на базе рабочей версии StreetTalk. Coordinate.com признает, что узел Switchboard в Web предназначен в первую очередь для освоения среды Web, а не для управления ресурсами. Switchboard - это просто каталог общедоступных имен и адресов, однако он отличается от большинства подобных каталогов быстротой и надежностью нахождения телефонного номера.

Как каталог имен, Switchboard не одинок. Каталог Four11 доступен уже два года (http://www.four11.com, см. Рис. 2) и, по крайнем мере на настоящий момент, содержит гораздо больший список адресов электронной почты, чем Switch-board.

Picture 2 (1x1)

Рисунок 2.
Four11 предлагает 5.5 миллионов адресов, собранных из общедоступных источников в Internet (таких как меньшие интерактивные каталоги и группы новостей Usenet). Одна из последних функций дает пользователям возможность хранить указатели на подмножества списков в частных адресных книгах.

Структурно обе службы похожи. Вы вводите имя и, если знаете, информацию о месте жительства. Затем каталог предоставляет вам список всех удовлетворяющих заданному критерию имен.

В обеих службах пользователь может ограничить доступ к информации о себе. Если вы не хотите давать адрес электронной почты, то заинтересованные лица все же могут установить с вами контакт. Banyan называет эту возможность "тук-тук" и заявляет о ее уникальности, однако Four11 предлагает во многом похожую услугу зарегистрированным пользователям.

Следующим шагом для Banyan и Four11 является интеграция с локальной адресной книгой электронной почты. Во время написания статьи Four11 заявляла, что она будет поддерживать частные адресные книги ко времени выхода журнала в свет. Coordinate.com недавно объявила о совместных планах с Software.com по разработке почтового сервера на базе протокола Simple Mail Transfer Protocol. Продукт Post Office будет иметь механизм каталогов StreetTalk для обеспечения гарантированного поиска адресов в рамках системы обмена сообщениями сети Intranet.

По словам Юджина Ли, вице-президента по маркетингу и развитию бизнеса в Coordinate.com, каталог Switchboard будет иметь привязки к глобальным поисковым узлам к концу этого года. Эти привязки стали возможны благодаря использованию Coordinate.com новейшего упрощенного протокола доступа к каталогам (Lightweight Directory Access Protocol, LDAP). Разработанный в Мичиганском университете, LDAP предлагает более простой и дружелюбный программный интерфейс, чем Х.500 (для которого он может служить внешним интерфейсом). Ли предсказывает повсеместное распространение LDAP к концу этого года.

Подобно тому как Banyan сделала свою службу каталогов независимой от сетевой ОС, когда NetWare, а не Banyan, стала доминировать на локально-сетевом рынке, Novell начала предпринимать шаги по реализации платформенно-независимой версии NDS при возникновении угрозы со стороны Internet и Intranet. Трудность данной стратегии связана с отделением NDS от ядра операционной системы. Применительно к серверу NDS эта стратегия означает, что NDS трансформируется из одной из функций ядра сетевой ОС в NLM. После этого NDS должна быть перенесена в другие операционные системы. В настоящее время Novell располагает реализацией для Unix и заявляет о разработке версии для Windows NT и других ОС.

Изначально NDS работает с транспортными механизмами IP. Однако Вильям Донахью, вице-президент по маркетингу продуктов из подразделения продуктов для NetWare, считает, что в данный момент многое препятствует широкомасштабному внедрению NDS. С одной стороны, NDS с момента появления размещала каждый элемент в иерархическом дереве с одним корнем. Потенциально единственное дерево каталогов для Internet возможно (в конце концов, это то, на что опирается DNS), тем не менее имплантация нового единого корня на этой стадии развития Internet представляется маловероятной. Исходя из этого, последний (по времени появления) клиент NDS - 32-разрядный клиент для Windows 95 - может подсоединять пользователя к более чем одному дереву каталогов.

Другим нововведением Novell применительно к Internet стал доступ из Web к каталогам NDS. В прошлом NDS принципиально не работала с инструментами просмотра каталогов. Теперь же Novell предлагает Common Gateway Interface (CGI) для дерева каталогов. Это означает, что пользователю теперь не нужна специальная программа поиска от Novell для просмотра ресурсов или нахождения других сотрудников организации.

ОДИН ЗА ВСЕХ?

Работа с NDS в сети помогает понять, что вся прелесть корпоративной сети заключается в том, что она обеспечивает вход из одной точки. Однако это возможно только при повсеместном внедрении сложнейшего программного обеспечения. В настоящее время нечто, отдаленно напоминающее эту возможность, в Internet можно получить, как это ни парадоксально, при отказе от каталога как такового. Internet Profiles компании I/Pro дает пользователям возможность вводить демографические данные о самих себе. Пользователи затем применяют идентификационный номер для сообщения записанной информации узлу Web, поддерживающем и I/Pro. Таким образом, им не надо вводить одну и ту же информацию на каждом узле Web.

I/Pro снимает часть проблемы в связи с необходимостью заводить пользовательский бюджет на каждом новом коммерческом узле Web. Обычно такие узлы Web запрашивают имя пользователя, адрес электронной почты и те или иные анкетные данные. Регистрация на узлах Web ставит две потенциальных проблемы. Во-первых, ввод информации на каждом узле Web - занятие однообразное и скучное, ничего не дающее пользователю. Во-вторых, анкетные данные связываются, по крайней мере вначале, с именем и адресом пользователя, а это можно рассматривать как нарушение конфидециальности.

Подход I/Pro дает возможность пользователям ввести информацию однократно. В этот момент пользователь получает обозначение или номер I/Pro. Вся введенная информация хранится у доверенных лиц и выдается только с согласия пользователя. Узел Web, поддерживающий систему I/Pro, запрашивает у пользователя только номер I/Pro. При указании номера I/Pro узлу Web предоставляется демографическая информация. Эта информация анонимна, если только пользователь не сделал иных распоряжений.

Набор номера также требует усилий сам по себе. В идеале профиль должен определяться один раз в начале каждого сеанса. Такое удобство вскоре станет возможно, но не как функция традиционных каталогов, а как результат применения цифровых технологий шифрования. Последние версии Netscape Navigator 3 и Microsoft Internet Explorer 3 будут поддерживать на клиентах цифровые сертификаты.

Ариэль Полер, основатель и президент I/Pro, говорит, что хотя цифровые сертификаты и позволят I/Pro автоматически сообщать номер I/Pro серверу Web, но такого рода транзакции вряд ли когда-нибудь станут полностью невидимыми. Важность контроля пользователя над подобными транзакциями нельзя преуменьшать. Так что, если даже необходимость набирать номер I/Pro вручную исчезнет, вам все же придется нажимать кнопку (если, конечно, вы решите это сделать), чтобы получить разрешение на проведение транзакции с использованием сертификата I/Pro.

ПОСТАВЬТЕ ПОДПИСЬ... ЕСЛИ ХОТИТЕ

В мире, где программы просмотра битком набиты шифрованными сертификатами, появление каталогов выдающей сертификаты организации не представляется столь уж невероятным. Вполне возможно, что компания VeriSign будет именно той компанией, которой удастся это реализовать. В настоящее время представители компании ограничиваются заявлением, что служба каталогов заслуживает внимания. Как же все обстоит на самом деле, сказать трудно, так что небольшие спекуляции на этот счет представляются вполне уместными (см. врезку "Сертификаты идентичности").

Пока же мы вынуждены ждать, когда Banyan найдет способ выразить свое присутствие на рынке Internet в виде того или иного реального продукта - он, по всей вероятности, будет обязательной добавкой для одного или более основных пакетов электронной почты. Мы вынуждены ждать, когда Novell выпустит NDS со множеством деревьев. И у нас есть сильное подозрение, что Internet, с ее тенденцией не считаться с любыми благими намерениями, предложит другое, совершенно непредвиденное, хаотическое и гиперраспределенное решение.


Роберт Ричардсон - консультант по программному обеспечению для рабочих групп и администратор узла Web журнала LAN Magazine (http://www.lanmag.com). С ним можно связаться через Internet по адресу: robert@fiction.com.


КАК НАЙТИ ЛУЧШИЙ ПОИСКОВЫЙ УЗЕЛ

МЕТА

Качество любого механизма поиска в Internet зависит от того, насколько хорошо он структурирован и насколько эта структура способствует сужению поля поиска. Поиск в небольшом списке более ценен, чем поиск во всевозможных списках, при условии, конечно, что этот список содержит исчерпывающие сведения о данной области. Однако отыскать точно сфокусированный механизм поиска ничуть не менее сложно, чем провести археологические раскопки, если учесть число имеющихся инструментов поиска.

Оптимальное решение сегодня - это search.com, простой в управлении внешний интерфейс для более чем 250 поисковых узлов Internet. Не пытаясь комбинировать результаты поисков инструментов с различными подходами к индексированию Internet, search.com направляет вас к наилучшему механизму поиска для каждого конкретного поиска. Выбор раздела путешествий приводит вас к 19 отдельным механизмам поиска на эту тему. Поисковые узлы не просто перечисляются, вы можете осуществить поиск непосредственно из search.com, не переходя по ссылке на предлагаемый поисковый узел. Если вы ищите конкретное лицо, то нужный раздел - Directories.


РАСПИСКИ МОГУТ СТАТЬ КЛЮЧОМ К ГРЯДУЩЕЙ СЛУЖБЕ КАТАЛОГОВ

СЕРТИФИКАТЫ ИДЕНТИЧНОСТИ

Шифрование с открытыми ключами окажет без сомнения глубокое влияние на следующее поколение расширений Internet. Эта схема шифрования с двумя ключами дает возможность осуществлять электронные расчеты по открытым незащищенным сетям. Вполне возможно, что шифрование с ключами решит в Internet ту задачу, которой в корпоративных сетях занимаются традиционные службы каталогов.

Не касаясь технических подробностей, можно утверждать, что система с двумя ключами наиболее уязвима из-за возможной фальсификации ключей. Только личный ключ может изготовить цифровые подписи, отвечающие открытому ключу. Однако, если ваш открытый ключ был тайком подменен, тот, кто осуществил эту подмену, может создавать корректно подписанные документы по своему желанию.

Воспрепятствовать проведению махинаций с открытыми ключами можно несколькими способами, один из которых - опубликовать "опечаток" открытого ключа. Шансы на то, что потенциальный мошенник создаст поддельный открытый ключ с тем же отпечатком минимальны; распространение печатного материала с подделанным отпечатком еще менее вероятно.

Решение, подобное описанному, подразумевает проверку открытого ключа зашифрованного документа в соответствии с его характеристиками. Это не так уж неудобно, как может показаться; в конце концов, именно эту процедуру вы проделываете с подписанными печатными документами.

Типичное решение предлагает использовать авторитет уполномоченного для установления подлинности открытого ключа. Уполномоченный присовокупляет свою цифровую подпись к открытому ключу для удостоверения подлинности открытого ключа. Открытый ключ уполномоченного общеизвестен, так что любое изменение тут же будет обнаружено.

Сертификат содержит информацию не только о сертифицируемом открытом ключе. Как минимум, сертификат имеет срок годности, после которого он считается недействительным. Кроме того, он может содержать множество других данных, о которых получатель знает, что они удостоверены уполномоченным. Сертификаты могут, например, содержать информацию, подтверждающую ваше членство в профессиональных организациях. Они также могут иметь сведения о вашем возрасте и адресе, т.е. ту информацию, которая есть в обычных водительских правах.

Есть ли смысл в гигантском сертификате на жестком диске с описанием вашего жизненного пути? Казалось бы, каждый решает за себя, однако это не совсем так. Во всяком случае, в ближайшее время предпочтение следует отдать множеству сертификатов от различных уполномоченных. Они будут храниться и управляться программой просмотра Web. Netscape уже демонстрирует предварительную версию программы просмотра с поддержкой сертификата на клиенте (во время выхода статьи программа поддерживала только один сертификат, но эта ситуация изменится ко времени выпуска программы).

По крайней мере в теории, вы будете иметь возможность использовать сертификаты для идентификации узлом Web, на который вы входили ранее при помощи имени и пароля. Однако путь от текущей технологии до мира Web, где вся информация будет сертифицироваться, сопряжен с множеством препятствий. Так, два крупнейших игрока на рынке программ просмотра - Netscape и Microsoft - хранят сертификаты по-разному. Поэтому их необходимо продублировать для каждой программы просмотра. Значимые сертификаты вряд ли будут бесплатными (вам, вероятно, придется заплатить от 5 до 10 долларов за сертификат, подтверждающий, что вы действительно тот, за кого себя выдаете) и т.п.

Две компании сейчас на гребне нарастающей волны цифрового шифрования. RSA Data Security держит все патенты, относящиеся к шифрованию с открытыми ключами. VeriSign была создана RSA для организации выпуска сертификатов. Есть все основания полагать, что VeriSign неминуемо окажется вовлечена в бизнес по созданию каталогов. На самом деле во время написания статьи на узле Web компании VeriSign появился находящийся на стадии оформления раздел, посвященный каталогам (http://www.verisign.com).

Поделитесь материалом с коллегами и друзьями