NDS — один из главных козырей ОС NetWare 5

Всеволод Васильев

NDS как основа распределенной многоплатформной сети

Структура NDS

Защита NDS

Опекун [Public]

Механизм наследования прав

Новое опекунское назначение

Фильтр наследуемых прав (IRF)

Разделы каталога NDS

В сентябре прошлого года фирма Novell выпустила пятую версию своей операционной системы NetWare. По оценкам многих специалистов, она значительно превзошла как своих предшественниц (NetWare 4.11 и IntranetWare), так и конкурентов по многим техническим характеристикам. Вот основные козыри NetWare 5:

1. Службы глобального каталога NDS1¹ (Novell Directory Services)

   Службы каталога NDS представляют собой средство единого доступа ко всем ресурсам сети, находящимся как в интрасети, так и в Интернете. Администратору предоставляется возможность управлять многоплатформной распределенной сетью централизованно, пользуясь единым набором утилит.

2. Pure IP2²

   Теперь все сервисы NetWare доступны по протоколу IP. В связи с этим введена поддержка новых протоколов (LDAP, SLP, NTP и пр.). В комплекте с NetWare 5 поставляются средства, позволяющие администратору постепенно переводить сеть с протокола IPX на IP (например, драйвер SCMD позволяет выполнять IPX-приложения в сети IP).

3. Интеграция DNS3³ и DHCP4⁴ в каталог NDS

   NDS предоставляет все преимущества глобального каталога (централизованное управление, отказоустойчивость) службам DNS и DHCP.

4. Новое ядро

   Новое ядро (оно было переписано практически полностью) обладает следующими достоинствами: поддержка многопроцессорных конфигураций (до 32 процессоров), защита памяти (в том числе для Java-приложений), виртуальная память.

5. Z.E.N.works (Zero Effort Networking)

   Набор утилит, позволяющих администратору сети удаленно управлять рабочими станциями, установкой сетевого программного обеспечения, настройками операционных систем на компьютерах пользователей.

6. NSS (Novell Storage System)

   Новая файловая система, позволяющая пользователям хранить файлы размером до восьми терабайт. При этом ее отличительной особенностью является высокая скорость монтирования томов.

7. Поддержка Java Netware 5

   поддерживает выполнение приложений Java на сервере (при этом доступна графическая оболочка в стиле X-Windows). В комплекте с Netware 5 поставляется графическая утилита администрирования, написанная на Java (ConsoleOne).

8. NDPS (Novell Distributed Print Services)

   Новая система сетевой печати. Позволяет использовать механизм plug-and-print для быстрого подключения принтеров, автоматически настраивать сетевую печать на рабочих станциях (включая установку соответствующих драйверов).

9. Web-сервер Netscape FastTrack Server

   В комплект поставки Netware 5 входит Web-сервер фирмы Netscape для рабочих групп (при необходимости вы можете установить сервер масштаба предприятия Netscape Enterprise Server). При этом, управляя Web-сервером, вы можете использовать все преимущества NDS, включая авторизацию пользователей и определение их прав.

NDS как основа распределенной многоплатформной сети

Разработанный фирмой Novell несколько лет назад (впервые технология NDS появилась в NetWare 4.0), каталог NDS на сегодняшний день является одной из наиболее прогрессивных технологий управления сложными многоплатформными сетями. Фирма Novell разработала такие продукты, как NDS for NT и NDS for Solaris, позволяющие интегрировать серверы на базе этих операционных систем в каталог NDS, благодаря чему администратор может пользоваться единым набором средств для управления различными ресурсами сети. Такие фирмы, как IBM и Cisco Systems, уже объявили о поддержке каталога NDS в выпускаемых ими сетевых продуктах.

Основными преимуществами NDS являются ее иерархическая структура (в отличие от «плоской» доменной структуры NT) и расширяемость. Схему NDS можно расширить для включения новых типов объектов. При этом службы NDS будут использоваться как для доступа к этим объектам, так и для обеспечения отказоустойчивости (например, в Netware 5 NDS используется для хранения информации DNS и DHCP).

Структура NDS

Структура NDS представляет собой «перевернутый» древовидный каталог (листья у дерева расположены внизу), содержащий информацию обо всех объектах сети. Структура каталога подобна структуре файловой системы DOS.

Объекты бывают трех типов:

1. [Root] — корень, определяет вершину каталога. Каталог может иметь только один объект [Root].
2. Конечные объекты (leaf objects). Объекты, представляющие сетевые ресурсы, такие, как пользователи, серверы, принтеры (конечные объекты можно сравнить с файлами).
3. Контейнерные объекты (container objects). Объекты, содержащие в себе конечные объекты либо другие контейнеры (аналогично понятию «директория»). Существует всего три типа контейнерных объектов — страна (Country [C]), организация (Organization [O]) и подразделение (Organizational Unit [OU]).

Каталог NDS состоит из объектов (User), их свойств (Telephone) и значений свойств ((095) 123-22-33).

Защита NDS

Средства защиты NDS определяют, кто может иметь доступ к информации, хранящейся в каталоге, и как он может просматривать или изменять эту информацию. Основным понятием в системе защиты NDS является «опекун» (trustee). Опекун — это объект, имеющий какие-либо права на другой объект. Каждый объект NDS имеет свойство ACL (Access Control List — список опекунов объекта), в котором хранятся имена всех опекунов и их права⁵. Существует два типа прав: права на объект и права на его свойства. Например, пользователь может иметь право удалить объект, но при этом не иметь права просматривать его свойства. Существует пять прав на объект:

Опекун [Public]

В Netware 5 существует специальный опекун [Public], при помощи которого задаются права, необходимые всем пользователям (включая тех, которые подключены к серверу Netware, но еще не прошли процедуру аутентификации).

Механизм наследования прав

Средства защиты NDS реализуют принцип наследования прав (inheritance): если пользователю предоставляются права на контейнер, то он автоматически получает права на все объекты в этом и во всех вложенных контейнерах.

Пользователю назначены все права на контейнер A. При этом он получает все права на все вложенные объекты.

Права пользователям можно назначать как непосредственно, так и пользуясь контейнерными объектами. Если какому-либо контейнеру дать право на объект, то это право получат все пользователи в этом и всех нижележащих контейнерах. Права также могут быть назначены через объекты OrganizationalRole и Group. Права, полученные через различные объекты, складываются.

Предположим, что контейнеру A назначено право [Browse] на какой-либо объект. В то же время на этот объект контейнеру B дано право [Read]. При этом пользователь, находясь в дереве NDS под обоими контейнерами, получит оба права — [BR]. Если при этом пользователя сделать членом группы, имеющей право [Delete], то действующими правами пользователя станут [BRD].

Механизм наследования прав значительно облегчает работу по предоставлению прав пользователям. Администратору нет необходимости назначать права каждому пользователю или группе пользователей: он просто может предоставить права контейнеру, в котором содержатся пользователи (затем при необходимости для некоторых пользователей эти права могут быть изменены). Фирма Novell рекомендует при назначении прав пользователям использовать контейнер как можно более высокого уровня. Например, если всем пользователям в организации нужно предоставить доступ к принтеру, то назначение прав лучше произвести на уровне организации (Organization), а не отдельных пользователей.

При этом возможно блокирование наследуемых прав. Например, если пользователь должен иметь все права на все объекты в определенном контейнере, но не должен иметь прав на вложенный контейнер. Блокировку наследуемых прав можно осуществить двумя способами: при помощи нового опекунского назначения на более низком уровне и с помощью фильтра наследуемых прав (IRF — Inherited Rights Filter).

Новое опекунское назначение

Если пользователь непосредственно назначен опекуном объекта, то он получает только те права на объект, которые заданы в опекунском назначении (вне зависимости от наследуемых прав).

Пользователю присвоены все права на контейнер A; затем на вложенный контейнер B ему присвоены права [BCR]. При этом на контейнер B и все нижележащие объекты пользователь будет иметь только права [BCR].

Фильтр наследуемых прав (IRF)

Фильтр наследуемых прав определяет права, которые опекун может наследовать из родительских контейнеров (IRF действует только на наследуемые права; на права, заданные непосредственно, он не влияет).

В данном случае права пользователя на контейнер B и все нижележащие объекты блокируются при помощи фильтра наследуемых прав. При этом на контейнер B и все нижележащие объекты пользователь получает только права [BR].

Действующими правами пользователя в отношении объекта NDS является сочетание прав, полученных через все объекты с учетом фильтров наследуемых прав.

Если в организации есть отдел с повышенной секретностью, то в нем может быть свой сетевой администратор. При этом фильтр наследуемых прав может быть установлен таким образом, что администратор всей сети не имеет доступа к объектам этого раздела. Для этого надо создать отдельный контейнер, соответствующий отделу, создать там пользователя и назначить его опекуном созданного контейнера с правом [S]. После этого можно включить фильтрацию всех наследуемых прав.

Разделы каталога NDS

Поскольку каталог NDS является базой данных всей сети, то важной задачей является обеспечение отказоустойчивости. Для этого каталог может быть поделен на несколько частей, каждая из которых может храниться на одном или нескольких серверах NetWare. Границы раздела могут проходить только по контейнерным объектам. Для управления разделами используется утилита NSD Manager (sys\public\win32\ndsmgr32.exe).

При помощи этой утилиты администратор сети может разделить каталог на несколько частей (разделов) и разместить копии этих разделов на выбранных серверах. Каждая копия раздела называется репликой. Существует четыре вида реплик:

Разделение каталога на разделы помогает также регулировать трафик, создаваемый службами каталога NDS. Так, если пользователи в Самаре часто обращаются к ресурсам в Москве, то можно разместить в Самаре реплику московского раздела. Это позволит снизить трафик, создаваемый службами каталога для доступа к ресурсам в Москве (в состав NetWare 5 входит также программа WAN Traffic Manager, позволяющая регулировать трафик, проходящий через WAN-каналы).

При помощи утилиты NDS Manager администратор может следить за состоянием реплик на всех серверах, запускать принудительную синхронизацию, а также менять статус реплик (если Master-реплика недоступна из-за сбоя сервера, администратор может изменить статус одной из Read/Write-реплик на Master).

Рекомендации по созданию разделов:

• не создавать разделы, содержащие объекты из разных географических регионов;

• максимальное количество объектов в разделе — 3500.

Рекомендации по размещению реплик:

• каждый раздел должен иметь как минимум две Read/Write-реплики (для обеспечения отказоустойчивости);

• раздел не должен иметь более 10 реплик;

• реплики лучше размещать ближе к пользователям, которым требуются ресурсы этого раздела.

Будьте внимательны! Отказоустойчивость каталога NDS не связана с отказоустойчивостью файловой системы. Вы можете реализовать отказоустойчивую файловую систему, используя Transaction Tracking System (TTS), дуплексирование или зеркалирование дисков, а также с помощью отдельного продукта Novell Replication Services (NRS).

КомпьютерПресс 5'1999