Анотація: Визначення та призначення служб каталогів, їх основні функції і завдання. Служби каталогів - провісники Microsoft Active Directory. Ключові переваги служби Active Directory
Мета лекції. Вказати потреба у використанні єдиного інструменту для організації та спрощення доступу до інформаційних ресурсів. Дати загальне уявлення про каталог і службі каталогів, привести їх призначення, основні функції та завдання, сформулювати переваги використання Active Directory.
Незалежно від топології мережі компанії, реальної інфраструктури і організаційної структури географічно розподілених філій, а також від наявної в компанії різнорідної інформаційного середовища, існує загальна методологія розгортання і застосування служби Active Directory.
Визначення каталогу і служби каталогів
Спочатку ми повинні визначити, що таке служба каталогів взагалі, які її цілі і завдання.
У розподіленої обчислювальної системи або в комп'ютерній мережі загального користування (наприклад, Інтернет) є безліч об'єктів - сервери, бази даних. додатки, принтери та ін. Користувачі хочуть мати доступ до кожного з таких об'єктів і працювати з ними, а адміністратори - управляти правилами використання цих об'єктів.
В даному документі терміни "каталог" і "служба каталогів" відносяться до каталогів, розміщених в приватних мережах і мережах загального користування. Служба каталогів відрізняється від каталогу тим, що вона не тільки є інформаційним ресурсом, але також є послугою, що забезпечує пошук і доставку користувачеві необхідної йому інформації [2].
Служба каталогів (directory service) - мережева служба, яка ідентифікує все ресурси мережі і робить їх доступними користувачам. Служба каталогів централізовано зберігає всю інформацію, необхідну для використання і управління цими об'єктами, спрощуючи процес пошуку і управління даними ресурсами. Служба каталогів працює як головний комутатор мережевий ОС. Вона управляє ідентифікацією і відносинами між розподіленими ресурсами і дозволяє їм працювати разом [4].
Active Directory - це не перша і не єдина служба каталогів. У сучасних мережах використовується декілька служб каталогів і стандартів [3]. [13]:
- Х.500 і Directory Access Protocol (DAP). X.500 - специфікація International Organization for Standardization (ISO), яка визначає, як повинні бути структуровані глобальні каталоги. Х.500 також описує застосування DAP для забезпечення взаємодії між клієнтами і серверами каталогів;
- Lightweight Directory Access Protocol (LDAP). Протокол LDAP був розроблений у відповідь на критичні зауваження по специфікації DAP. яка виявилася занадто складною для застосування в більшості випадків. Специфікація LDAP швидко стала стандартним протоколом каталогів в Інтернеті;
- Novell Directory Services (NDS). Служба каталогів для мереж Novell NetWare, сумісна зі стандартом Х.500;
- Windows NT і SAM. Ядром Windows NT NOS (Network Operating System - мережева операційна система) є база даних SAM (Security Accounts Management - управління безпечними обліковими записами). Вона представляє центральну базу даних облікових записів, що включає всі облікові записи користувачів і груп в домені. Ці облікові записи використовуються для управління доступом до спільних ресурсів, що належить будь-якого сервера в домені Windows NT.
Служба Active Directory. на відміну від перерахованих служб каталогів, є захищеною, розподіленої, сегментированной і реплицируемой, що дозволяє забезпечити такі можливості [4]:
- спрощене адміністрування;
- масштабованість;
- підтримку відкритих стандартів;
- підтримку стандартних форматів імен.
За допомогою Active Directory здійснюється централізоване управління користувачами, групами, загальними папками і мережевими ресурсами, адміністрування середовища користувача та програмного забезпечення засобами групової політики.
Призначення служби каталогів
Служба каталогів є як інструментом адміністрування, так і інструментом користувача (див. Рис. 1.1). Користувачі та адміністратори часто не знають точних імен об'єктів, які їм в даний момент потрібні. Вони можуть знати один або кілька їх ознак або атрибутів (attributes) і можуть послати запит (query) до каталогу, отримавши у відповідь список тих об'єктів, атрибути яких збігаються із зазначеними в запиті.
Мал. 1.1. Призначення Active Directory
Служба каталогів дозволяє [1]:
- забезпечувати захист інформації від втручання сторонніх осіб в рамках, встановлених адміністратором системи;
- поширювати каталог серед інших комп'ютерів в мережі;
- проводити реплікацію (тиражування) каталогу, роблячи його доступним для більшого числа користувачів і більш захищеним від втрати даних;
- розділяти каталог на кілька частин, забезпечуючи можливість зберігання дуже великого числа об'єктів.
У міру зростання числа об'єктів в мережі служба каталогів починає грати все більш важливу роль. Можна сказати, що служба каталогів - це та основа, на якій будується вся робота великої розподіленої комп'ютерної системи. У складній мережі служба каталогів повинна забезпечувати ефективний спосіб управління, пошуку та доступу до всіх ресурсів в цій мережі, наприклад до комп'ютерів, принтерів, загальних папок і т. Д.
Функції служби каталогів
Наведемо основні функції служби каталогів і дамо їх короткий опис [3].
У розрізі перерахованих функцій можна вказати і основні завдання, на виконання яких націлена служба Active Directory.
- Зберігати інформацію про об'єкти мережі та надавати цю інформацію користувачам і системним адміністраторам.
- Дозволяти користувачам мережі звертатися до загальних ресурсів, одного разу ввівши ім'я та пароль.
- Представляти мережу в інтуїтивно зрозумілій ієрархічному вигляді і дозволяти централізовано керувати всіма об'єктами мережі.
- Підвищувати ступінь інформаційної безпеки за рахунок розмежування адміністративних повноважень обслуговуючого персоналу і впровадження сучасних методів захисту інформації.
- Дозволяти спроектувати єдину структуру каталогу так, як це необхідно в організації, щоб забезпечити прозоре використання інформаційних ресурсів в рамках компанії.
Служба каталогів Active Directory також виконує і інші функції (див. [4]).