Те немногие администраторы, которые уже используют службы каталогов, вскоре оценят их новые достоинства. Если же в вашей сети еще не установлена служба каталогов масштаба предприятия, решение однозначно: чем раньше она появится, тем скорее вы сможете воспользоваться ее преимуществами.

Ростом своей популярности службы каталогов обязаны ряду новых технологических решений. Появление таких стандартов, как упрощенный протокол доступа к каталогам (Lightweight Directory Access Protocol, LDAP), обеспечило желанную совместимость продуктов разных поставщиков. Это, в свою очередь, избавило разработчиков от необходимости связывать приложения и службы с конкретным каталогом. Кроме того, программа совместных разработок компаний Microsoft и Cisco Systems, получившая название Directory Enabled Networks (DEN), обещает придать службам каталогов еще большую значимость, поскольку в ее цели входит обеспечение возможностей управления сетевой инфраструктурой через единую службу каталогов, а также решение вопроса о стандартизации формы хранения информации в каталогах.

В основе всей этой деятельности лежит стремление к созданию единого, общего для всей сети, каталога, способного поддерживать все приложения, сетевые службы и инфраструктуру сети. В результате, сетевому администратору не придется устанавливать и поддерживать отдельные каталоги для работы с электронной почтой, приложениями системы R/3 (SAP AG), службами аутентификации удаленного доступа и т. п. Соответственно, сократятся трудозатраты и возрастет эффективность работы персонала, обслуживающего ИС, и достоверность информации, хранимой в каталогах, поскольку она не будет дублироваться во множестве разных служб.

Наконец, последнее и, возможно, самое важное обстоятельство. Централизованные каталоги обеспечат единую стратегию управления сетью. Сетевой администратор сможет устанавливать критерии, в соответствии с которыми будет осуществляться управление сетевой инфраструктурой (например, параметры, задающие время отклика на запрос, или методы аутентификации различных категорий пользователей). Каталог позволит придерживаться заданных критериев управления сетью в масштабах предприятия.

Основные функции каталогов

Службы каталогов представляют собой простые средства, которые дают возможность присваивать объектам имена, описывать ресурсы, производить их поиск в сети и получать к ним доступ, а также обеспечивать защиту объектов и ресурсов как в пространстве, так и во времени. Каталоги являются виртуальным «местом встречи» пользователей приложений и служб.

Понятие службы каталогов было введено в обращение в компьютерном мире более десяти лет назад. Первая из них появилась на свет в 1986 г., когда компания Banyan Systems выпустила службу каталогов StreetTalk, входившую в сетевую ОС VINES. В 1993 г. фирма Novell включила службу каталогов Novell Directory Services (NDS) в ОС NetWare 4.0. Эти службы, ставшие частью сетевых ОС, позволили администраторам контролировать действия пользователей и управлять файловыми службами и службами печати.

Одно из главных достоинств служб каталогов заключается в их способности устанавливать взаимосвязи между логическим представлением какого-либо сетевого ресурса (например, принтера или файлового «объекта») и самим ресурсом или физическим устройством. Это позволяет при необходимости «перенести» принтер или подкаталог на сервер с большим объемом памяти, изменив только связи между объектом каталога и физическим ресурсом, «олицетворяющим» данный объект. Таким образом, служба каталогов избавляет от необходимости редактировать сценарии входа в сеть или модифицировать конфигурацию настольной системы пользователя, что существенно снижает затраты на администрирование рабочих станций.

Каталоги: что впереди

Вот некоторые функции, которые вскоре будут выполнять службы каталогов:

аутентификация в рамках службы RADIUS;

интеграция функций DHCP/DNS;

хранение данных о конфигурации системы;

хранение информации о критериях управления;

управление информацией, обеспечивающей безопасность (сертификатами);

функции реестра ресурсов при проведении совещаний, видеоконференций и т. д.;

основа для сетевых приложений;

функции хранилища управляющей информации;

обеспечение управления системой на основе событий и уведомлений;

активизация объектов и процессов.

Службы каталогов дают возможность пользователям входить в сеть с любой рабочей станции, поскольку сведения о конфигурации и другие пользовательские данные хранятся в общем каталоге, а не в файлах на диске ПК. Так как службы каталогов позволяют устанавливать логические связи между логическими именами и правами доступа в сеть, то права доступа пользователей также остаются неизменными при перемещении ресурса (ПК).

Кроме того, благодаря каталогам можно создавать дополнения к программам (расширения), которые обеспечивают реализацию таких операций, как распределение ПО, управление паролями и построение специальных связей между пользователями и приложениями. Логическое представление структуры дает новые возможности не только менеджерам сети, но и пользователям, помогая быстрее и легче отыскивать необходимые им сетевые ресурсы. И чем больше приложений начнет использовать службы каталогов для аутентификации пользователей, тем большую свободу выбора ресурсов и приложений они получат сразу после входа в систему.

За пределами сетевой ОС

Несколько лет назад службы каталогов получили в свое распоряжение функции, возможности которых выходят за рамки простого администрирования сетевой ОС. Сегодня каталог сети масштаба предприятия является средством, объединяющим в себе управление пользователями, приложениями и службами типа электронной почты, позволяющим обеспечивать безопасность сети и управлять различными сетевыми устройствами — от настольных ПК до маршрутизаторов. «Главное достоинство службы каталогов состоит в том, что она предоставляет единый интерфейс управления пользователями и сетевыми службами в гетерогенной сети», — считает Ли Родес, менеджер отдела управления инфраструктурами Internet компании Hewlett-Packard.

За последние полгода компании Novell и Netscape Communications анонсировали ряд продуктов, достаточно ясно демонстрирующих огромные возможности служб каталогов. Например, ряд компонентов ПО BorderManager производства Novell так или иначе использует службу каталогов NDS. BorderManager поддерживает несколько служб, связанных с Internet (включая шлюз IPX/IP и proxy-службу), которые улучшают качество работы с Web. Обе эти службы обращаются к NDS, чтобы проверить правильность аутентификации пользователя и определить заданные для него права и ограничения. Поскольку в NDS хранятся также сведения о конфигурации и управляющая информация о виртуальных частных сетях, которые поддерживает BorderManager, нет необходимости сохранять эти данные в каком-то специально выделенном месте.

Недавно компания Netscape объявила, что собирается расширить возможности своих средств управления Mission Control, обеспечив функции администрирования клиентов и серверов Netscape, а также прикладного ПО с помощью службы каталогов. В настоящее время Mission Control обеспечивает управление конфигурацией клиента, используя Netscape Communicator. Анонсируя выпуск в конце 1998 г. новой версии SuiteSpot 4.0, компания Netscape обещает расширить возможности Mission Control, придав ей все функции управления и защиты клиентов и серверов Netscape.

Например, в новой версии Mission Control параметры пользователей будут храниться на сервере Netscape Directory Server, а не на дисках пользовательских ПК, как сейчас. Это расширит возможности «пространственного» доступа пользователей в сеть и будет способствовать созданию более простой централизованной системы управления.

Сервер Netscape Certificate Server тоже планируется интегрировать со службой каталогов Netscape и средствами управления Mission Control. Для хранения учетной информации Netscape Certificate Server 4.0 будет использовать единый каталог, а не собственную базу данных. Это позволит централизованно управлять правами пользователя, например сертификацией открытых ключей. В частности, администратор системы сможет настроить программу Mission Control таким образом, чтобы сертификаты пользователя отменялись при удалении имени пользователя из каталога.

LDAP — веяние времени

Основные поставщики служб каталогов стараются как можно быстрее обеспечить полную поддержку протокола Lightweight Directory Access Protocol (LDAP), но каждый из них выбирает свой путь, поэтому степень совместимости с LDAP их продуктов различна.
? Компания Netscape Communications обеспечила в своих программах Netscape Directory Server и Netscape Navigator поддержку предварительной версии протокола LDAP 3.0. Теперь для нее не составит большого труда привести эти программы в соответствие с принятым стандартом.

? У компании Novell имеется интерфейсное серверное ПО на базе LDAP 2.0, которое поддерживает доступ к операциям чтения/записи в каталоге NDS. Работа над интерфейсом, поддерживающим LDAP 3.0, уже началась; планируется завершить ее во второй половине года. Кроме того, в продукте GroupWise 5.2 обеспечена поддержка чтения по протоколу LDAP 2.0 адресной книги GroupWise. Компания Novell подтвердила свои намерения поддерживать протокол LDAP в клиентском ПО GroupWise.

? В конце прошлого года компания Banyan Systems выпустила дополнительный программный модуль для поддержки LDAP 2.0, обеспечивающий чтение каталога службы StreetTalk в системах Windows NT и VINES. Версия этого модуля для LDAP 3.0, в которой будут доступны операции чтения/записи, должна появиться уже весной.

? Компания Sun Microsystems в конце 1997 г. начала поставку службы каталогов Sun Directory Services, в которой операции чтения/записи поддерживаются по протоколу LDAP 2.0. Версия, поддерживающая LDAP 3.0, должна появиться в середине года.

? Компания Microsoft объявила о своем намерении использовать LDAP в качестве основного протокола доступа к каталогу Active Directory; и в последних версиях продуктов компании поддержка этого протокола уже обеспечивается. Например, если в программе Outlook 97 поддержка LDAP полностью отсутствует, то Outlook Express выполняет операции чтения/записи в соответствии с протоколом LDAP 2.0, а для Outlook 98 основой станет протокол LDAP 3.0.

Под влиянием LDAP

В росте популярности служб каталогов заинтересованы не только производители. Другие поставщики сетевых продуктов тоже присматриваются к этим службам, стремясь использовать их для поддержки аутентификации и некоторых других функций.

Компания Bay Networks применяет службы каталогов в своем продукте BaySecure Access Control, в котором реализована служба аутентификации удаленных пользователей RADIUS (Remote Authentication Dial-In User Service). Вместо того чтобы дублировать службы каталогов на сервере RADIUS, разработчики передают выполнение операций аутентификации службе имен и каталогов, являющейся основой RADIUS. Программа BaySecure Access Control поддерживает такие ОС, как Windows NT, NetWare и Unix. В каждой из версий, соответствующих определенной ОС, применяется каталог данной платформы: система именования доменов NT (NT Domain Naming System), база регистрации данных NetWare (bindery) или NDS, схема присвоения имен службы Network Information Services, используемая в Unix.

Принятие LDAP в качестве стандарта и последовавшая за этим повсеместная реализация данного протокола в сетевых продуктах стали главными мотивами, которыми руководствовались такие поставщики, как Bay Networks, применяя универсальные службы каталогов и отказываясь от разработки каталогов, ориентированных на конкретные приложения и службы.

LDAP является стандартным протоколом для модели клиент — сервер, в соответствии с которым организуется доступ к каталогу и обновление информации в нем. Стандарт LDAP обеспечивает доступ к каталогу независимо от того, каким поставщиком он разрабатывался, поддерживая взаимодействие различных служб каталогов. Хотя протокол LDAP нельзя назвать ни идеальным, ни даже до конца проработанным, его применение доказывает принципиальную разрешимость задачи управления сетью с помощью каталога.

Последняя версия спецификации (LDAP 3.0) содержит существенные усовершенствования по сравнению со второй. В частности, LDAP 3.0 поддерживает различные схемы аутентификации и содержит спецификацию механизма ссылок, позволяющую направлять запросы пользователя от одного сервера каталогов к другому. Кроме того, в LDAP 3.0 определена справочная функция, используя которую, клиент LDAP может получить сведения о структуре информации, хранящейся в каталоге. Поскольку LDAP должен обеспечивать для клиента поиск, чтение и обновление информации на сервере, клиент должен либо заранее иметь сведения о структуре каталога, либо обладать некоторым средством получения этих данных.

Поставщики служб каталогов очень быстро откликнулись на появление стандарта LDAP. Компании Netscape, Novell, Microsoft, Banyan и Sun Microsystems обеспечили поддержку этого протокола в своих службах каталогов, а в некоторых случаях — и в приложениях (см. врезку «LDAP — веяние времени»).

Поставщики сетевого оборудования не отстают от разработчиков ПО и используют службы каталогов для решения самых разных задач — от аутентификации пользователей до управления сетью на основе заданных критериев. Такие фирмы, как Bay и Cabletron Systems, работают над созданием клиентского ПО на базе LDAP для некоторых видов производимого ими сетевого оборудования и уже достигли в этой области некоторых результатов.

На пути к единой стратегии управления

Чем больше поставщиков будут снабжать службы каталогов унифицированными данными, тем скорее станет возможной реализация единой стратегии управления сетью. Понимая это, все ведущие поставщики сетевого оборудования уже изъявили готовность включить службы каталогов в создаваемые ими продукты.

Службы каталогов позволяют администраторам ИС и поставщикам сетевых услуг централизованно задавать принципы, согласно которым должны быть организованы настройка сетевых служб, работа с ними и их управление. Эти принципы могут быть основаны на таких критериях, как величина времени отклика или времени наработки на отказ (их часто называют соглашениями на уровне службы), требования к приложениям, а также те, которые связаны с обеспечением безопасности сети, доступа в Internet и интрасети. Сетевые службы и соответствующие критерии управления можно логически связать с отдельными пользователями, их группами, структурными единицами (например, отделами организации) и целыми компаниями.

Например, компания Cabletron приобрела лицензию на использование пакета разработчика LDAP 3.0, созданного Netscape, и собирается к середине года создать клиентское ПО на базе LDAP для своих коммутаторов SmartSwitch. Поддержка протокола LDAP обеспечит коммутатору возможность связываться с каталогом Netscape и получать из него информацию о логических именах пользователей и соответствующих им правах, что позволит реализовать заданные администратором принципы управления пользователями. Cabletron собирается хранить в каталоге всю наиболее важную для работы сети информацию, включая IP-адреса пользователей, адреса управления доступом к среде передачи и сведения о связанных с ними номерах портов коммутатора.

Аналогичные планы имеет компания 3Com, которая собирается предложить пользователям приложение Transcend Policy Manager, предназначенное для задания способов конфигурирования устройств на базе инфомации, хранящейся на сервере каталогов. Отдельный сервер критериев будет использовать LDAP для получения набора параметров, хранящихся на сервере каталогов, и интерпретировать их для различных типов сетевого оборудования (рис. 1). Фирма 3Com намерена начать поставки ПО Transcend Policy Manager и сервера критериев на базе LDAP в III квартале. Продукт будет поддерживать службу каталогов Netscape и NDS (Novell) для NT.

Компания Bay Networks разрабатывает систему управления на базе критериев, которая включает в себя сервер LDAP 3.0 на платформе NetID и серверы DNS (Domain Name System) и DHCP (Dynamic Host Configuration Protocol). В состав сервера LDAP войдет набор служб для управления IP-адресами. Свою систему управления на базе критериев и служб LDAP компания Bay получила, купив фирму New Oak Communications. Продукт New Oak содержит клиентское и серверное ПО на базе LDAP 2.0 для управления настройкой туннелированных сетевых сессий и виртуальных частных сетей, а также для поддержки аутентификации при доступе через выпускаемое New Oak сетевое устройство NOC 4000.

Не отстает и другой производитель сетевого оборудования, компания Cisco, которая недавно обнародовала генеральный план создания продуктов для управления на базе критериев. Основные продукты предполагается выпустить во второй половине текущего года. Как и другие поставщики, Cicso собирается создать приложение для задания параметров и способов конфигурирования устройств. Первоначально Cisco намеревается хранить информацию на сервере критериев, который будет обмениваться данными с сетевым оборудованием (интерфейс на базе командной строки). В дальнейшем для передачи информации от сервера критериев к сетевому оборудованию Cisco собирается использовать протокол COPS (Common Open Policy Service), над которым сейчас работает группа IETF (Internet Engineering Task Force).

Так же как и Bay, Cisco планирует сначала хранить сведения об именах хостов и IP-адресах с помощью своей платформы DNS/DHCP, которую она называет сетевым реестром. В дальнейшем компания намерена, используя LDAP 3.0, организовать доступ к каталогу и тем самым обеспечить возможность применения критериев, в которые входит информация о пользователях и группах. В 1999 г. Cisco планирует обеспечить полную интеграцию своей системы управления со службой Active Directory компании Microsoft, включая поддержку спецификации DEN.

Даже начинающие фирмы стремятся воспользоваться выгодами, которые предоставляют каталоги. Компания Berkeley Networks (Милпитас, шт. Калифорния) разработала устройства, называемые ею «ориентированными на приложения» коммутаторами Ethernet. Эти устройства должны обращаться к службам каталогов за данными о конфигурации сети, критериях управления службами безопасности, организации доступа, определения класса службы, маршрутизации и присвоения имен.

Не дожидаясь появления спецификации DEN, Berkeley разработала собственное ПО, позволяющее идентифицировать ее коммутаторы в сети. Компания создала также модули расширений для стандартных браузеров каталогов, с помощью которых администратор способен находить в сети коммутаторы и управлять ими и связанной с ними информацией, оставаясь в рамках дерева каталога. Например, щелкнув мышью на дереве NDS, администратор может переместить коммутатор Berkeley в любую часть каталога. Щелчок на пиктограмме, изображающей коммутатор, открывает на экране новое окно, позволяющее проверить название коммутатора, его серийный номер, место в структуре сети и версию установленного на нем ПО, а также задать критерии для каждого из приложений службы данного класса.

В состав коммутаторов Berkeley входит LDAP-клиент, который можно использовать для связи с каталогом (рис. 2). На первом этапе продукты Berkeley будут поддерживать любой LDAP-совместимый каталог.

Более подробную информацию о коммутаторах Berkley можно найти по адресу www.nwfusion.com.

Перспективы роста

Некоторые представители отрасли предрекают службам каталогов еще более значительную роль в управлении системами и сетями. Сторонники инициативы DEN хотят использовать каталоги для хранения информации о сетевых службах и конфигурации сети. Хотя не все поставщики относятся к данной идее с энтузиазмом, Лайонелл Гиббонс, руководитель TranscendWare Product Group компаниb 3Com, считает, что это позволит значительно упростить процедуру конфигурирования сетевого оборудования различных поставщиков.

Гиббонс уверен, что если производители станут придерживаться единых принципов, можно будет конфигурировать любое сетевое оборудование, просто создавая соответствующие объекты в каталоге. Вместо того, чтобы знать все тонкости настройки коммутатора 3Com или Cisco, администратору будет достаточно настроить «универсальный» коммутатор. От поставщиков же потребуется обеспечить в своих устройствах возможности считывания такой информации для задания конфигурации из каталога и ее трансляции в конкретные команды этих устройств.

В компании Cisco полагают, что каталоги будут использоваться и для динамического управления по событиям (event management), а не только в качестве хранилищ информации и относительно статических связей. В частности, при возникновении определенного события (скажем, в 17:00), служба каталогов сможет инициировать выполнение серии команд, например введение ограничения доступа к серверу бюджетов или переключение трафика на территориально-распределенную сеть и отмену резервирования полосы пропускания, организованного для повышения надежности работы сервера.

Эту концепцию поддерживает и Марк Трахтенберг, один из руководителей консультативной компании Mycroft (шт. Нью-Йорк). «Объекты в каталоге должны инициализироваться и управляться с помощью событий и реагировать на действия, совершаемые в пределах области их влияния. Главное достоинство службы каталогов состоит в том, что она способна взять на себя роль системы принятия решений для управления связями между объектами с учетом происходящих событий».

Конечно, прежде чем каталоги смогут принять на себя подобные функции, пройдет еще немало времени. Для этого придется решить целый ряд технических проблем, связанных с быстродействием работы службы каталогов и их совместимостью с различными сетевыми платформами, включая разработку стандарта репликации данных различных каталогов. Деятельность по определению принципов управления началась лишь недавно и, скорее всего, будет продолжаться и в следующем году.

Преимущества использования каталогов

Однако сегодня администраторы сетей могут сделать многое, чтобы подготовить свои ИС к появлению единых служб каталогов. Для некоторых организаций наиболее трудной станет правильная формализация всего бизнес-процесса предприятия. Следует помнить и о том, что внедрение на предприятии службы каталогов может привести к серьезным производственным конфликтам, если в этом процессе не будут участвовать все подразделения отдела ИТ и представители администрации предприятия или если он будет осуществляться недостаточно тактично по отношению к отдельным пользователям.

Если говорить о прямых финансовых затратах, то главной статьей расходов станет, конечно, приобретение ПО службы каталога. Однако следует учитывать и косвенные затраты, среди которых наиболее существенными окажутся расходы на создание модели каталога. Трахтенберг отмечает, что необходимо предусмотреть затраты времени персонала (а возможно, и участие консультантов) на разработку модели каталога, на ознакомление с различными вариантами ПО и на обучение. Он предупреждает: на создание модели может уйти несколько месяцев.

Специалисты консультативных компаний, таких как Mycroft и Rapport Communication (Силвер-Спринг, шт. Мэриленд), вполне согласны с тем, что разработку архитектуры своих каталогов фирм уместно начать уже сейчас. Иногда нужно использовать тактический подход к решению этой задачи, попытавшись определить, какие службы ИС сразу ощутят преимущества от внедрения единого каталога. Например, первым шагом при создании каталога может стать интеграция служб NDS компании Novell и RADIUS компании Bay. Можно также приступить к разработке приложений, поддерживающих LDAP, если в вашей сети применяются продукты на базе данного протокола. Для начала очень полезно также создать новые версии клиентского и серверного ПО для электронной почты.

Трахтенберг рекомендует, чтобы все подразделения отдела ИТ (включая персонал, отвечающий за инфраструктуру, разработку приложений и даже вспомогательные службы) заранее приступили к разработке документа, описывающего все связи между пользователями, приложениями и ресурсами. Затем следует распределить ресурсы по их функциям в бизнес-процессе, а не по физическому размещению в сети. Создавая модель каталога масштаба предприятия, не следует забывать об удаленных и мобильных пользователях.

Процесс построения каталога достаточно сложен — независимо от того, какое ПО выбрано для его поддержки, — поэтому чем раньше начнется предварительная подготовка, тем лучше. Не имеет смысла ждать появления Active Directory компании Microsoft — перейти к нему будет несложно, особенно если сравнивать эту работу с теми усилиями, которые потребуются для создания первого каталога.

Конечно же, все эти усилия не пропадут зря. Прежде всего, они позволят значительно снизить затраты на администрирование сети. В условиях скудного финансирования отделов ИТ и постоянной нехватки вспомогательного персонала службы каталогов предлагают вполне реальный путь повышения эффективности системы управления. Компания Mycroft принадлежит к числу консультативных фирм, опыт которых доказывает, что службы каталогов могут окупить затраты на их внедрение меньше чем за год. По оценкам специалистов компании Rapport, по мере удаления из сети дублирующих каталогов экономический эффект становится все более явным. Ценность единого каталога возрастет еще больше, когда будет организовано управление сетью на основе критериев и появятся другие службы, поддерживающие общий каталог.

Организации, которые не станут откладывать в долгий ящик внедрение единого каталога, очень скоро ощутят преимущества своего положения и уверенно последуют за восходящей звездой этой сетевой службы.


Мэри Петроски (Mary Petrosky) — старший аналитик компании The Burton Group, предоставляющей информационные услуги и выполняющей заказы по комплексному анализу технологий. С ней можно связаться по электронной почте: petrosky@tbg.com.

Поделитесь материалом с коллегами и друзьями