510 likes | 608 Views
Hálózati Operációs Rendszerek. X.500, Címtárak, NIS, NIS+ Előadó: Bilicki Vilmos bilickiv@inf.u-szeged.hu www.inf.u-szeged.hu/~bilickiv. Tartalom. NIS, NIS+ Címtár fogalma, szerepe X.500. Hirdetés. Webes adás az Active Directory-ról:
E N D
Hálózati Operációs Rendszerek X.500, Címtárak, NIS, NIS+ Előadó: Bilicki Vilmos bilickiv@inf.u-szeged.hu www.inf.u-szeged.hu/~bilickiv
Tartalom • NIS, NIS+ • Címtár fogalma, szerepe • X.500
Hirdetés Webes adás az Active Directory-ról: http://www.microsoft.com/seminar/events/series/adaug.mspx
Források • NIS,NIS+ (http://publib16.boulder.ibm.com/pseries/en_US/aixbman/nisplus/mastertoc.htm) • X.500 http://www.isi.salford.ac.uk/staff/dwc/Version.Web/Contents.htm
NIS (Network Information Services) • problémát okozott a közös felhasználói adatbázis karbantartása (kié a jó verzió, globális UID, GID) • 1985 SUN -> Yellow Pages -> NIS • RPC hívások UDP felett • a rendszerhívásokat átirányítja a szerverre • DBM fájlokat használ az információ tárolására (indexelt fájlok) • kulcs alapján könnyen kereshető az információ • probléma a DBM fájlok binárisak -> nehezen érthető • megoldás ASCII fájlokból időnként átkonvertáljuk DBM-be az adatokat
NIS elemei • NIS domain név • Gépek csoportja • Minden hoszt-on be kell állítani • Master, Map (ypserv, yupdated, ypasswdd) • egy lehet belőle • Slave • működhetnek szerverként azonban az információt a master-től kapják • Terhelés elosztás • Client (ybind) • egy IP álhálózatban kell lennie a szerverrel • a kliensek üzenetszórással keresik a szervert • RPC segítségével kommunikál a szerverrel
A NIS előnyei, hátrányai • Egyszerűen karbantartható, egyszerű szöveges fájlokat kell módosítgatnunk • Sok felhasználó és számítógép könnyen menedzselhető • Időnként nagy a sávszélesség igénye • Csak egy kulcs alapján kereshető • Nem biztonságos (véletlen domain név)! • 1024 bájtos maximális rekordhossz
NIS+ • Azonosítás, jogosultság kezelés • RPC hitelesítés • Névmodell (~10000 gépes hálózatra is alkalmas): • fa struktúra (hierarchikus névtér) • minden levél egy NIS+ objektum, ”.” elválasztó • könyvtár • bejegyzés • csoport • hivatkozás • tábla • privát • org_dir – adminisztrációs táblák • groups_dir – hozzáférés vezérlés táblák
NIS+ • Több kulcs alapján lehet keresni • DES azonosítás • A rekordoknak nincs felső méretkorláta (a NIS esetén 1024 bájt) • A kliens választhat az információforrások közül (NIS, NIS+, DNS, /etc/…) • Növekményes frissítések
NIS+ előnyei hátrányai • A NIS lényegesebb hátrányait kiküszöbölték • Nem eléggé kiforrott • Nincs adat titkosítás • Nem LDAP kompatibilis • Bonyolultabb mint a NIS
A Címtárak múltja • Jó lenne egy a telefonkönyvhöz hasonló adatbázis mely nemzetközi lenne • A telefonkönyvben lévő adatok egy része már a nyomtatáskor elavul • A 80-as években népszerű volt a fax szolgáltatás (napjainkban is az) • Hogyan keressük ki a partner cég telefonszámát? • Megoldás: telefon -> szám -> fax • Ma email ? -> google -> spam
Próbálkozások • A British Telecom fax adatbázist hozott létre • 1992-ben megszüntette • Ok: • Hatalmas adminisztrációs munkát igényelt az adatbázis naprakész állapotban tartása
Projektek • 2 nagy projekt: • CCITT (ITU-T) White pages (telefonszám, vagy cím keresés) • ISO, ECMA (European Computer Manufacturers Association) – az ISO OSI modell számára egy név szolgáltatás kifejlesztése (name service) • 1986-ban egyesültek • 1990 január - CCITT X.500 Blue Book Recommendations (The official CCITT version of the '88 Standard)
Címtárak jövője • Cégeken átívelő elosztott adatbázisok • Federated Identity & Liberty Allinance • Minden fontos nem túl gyakran változó információ ezekben lesz elhelyezve • Címtár nélkül nem lesz versenyképes egy cég sem • Egyre több címtárképes alkalmazás • Webes szolgáltatások és címtárak integrációja
Címtárak • A vállalatokban az információ több formában van tárolva • Több WAN kapcsolattal összekötött telephely • Nagy adatmozgás • Egy információt több helyen több formában is tárolnak • Inkonzisztens állapot léphet fel (Nagy J. Lajos – Nagy János Lajos) • A különböző formátumokhoz különböző elérési protokollok tartoznak
A címtár szolgáltatásai • Egy adatbázis • Több adatbázis • Központi adminisztráció • Elosztott adminisztráció • Azonosítás • Jogosultság kezelése • …
X.500 Globális Címtár Szolgáltatás • ISO/ITU-T szabványok 1993-ból • Nem mond semmit sem a belső működésről • A kommunikációra és az információ ábrázolásra koncentrál • Komplex, Nehézsúlyú
Nézetek • Directory Information Modells: • Directory User Information Modell (Directory Information Modell ,88) • Elérés • Adattípusok • Directory Operational and Administrative Information Model (Adminisztrátor nézet) • Adminisztratív információk • DSA Information Model (Az elosztott tárolást írja le) • Directory Administrative Authority Model (A címtár adminisztrálását írja le)
Szerkezet • Directory Information Base (DIB) • A teljes tárolt információ • Nem csak egy – egy házzárendelés • Bejegyzések (entry), hierarchikus szerkezetet képeznek, az adatbázis alap építőkövei (Directory Information Tree DIT) • Object Class (objektum osztály) • Minden bejegyzés legalább egy objektum osztály tagja • Tulajdonságok (attribute) • Tulajdonság típus • Tulajdonság érték/ek • A felhasználó definiálhat saját típus-érték párokat • De egy részük szabványosítva van
DIT • A DIB faként ábrázolható (DIT) • Minden elemnek lehet őse és gyermeke • Levél bejegyzések, csomópontok -> csak ősei vannak • A gyökér bejegyzésnek, elemnek csak gyermekei vannak • Alatta tipikusan országokat képzeltek el …
Az egyedek elnevezése • A DIT-en belül az egyedeket a nevükkel különböztetjük meg. • Megkülönböztető név (Distinguised Name DN) • Relatív megkülönböztető név (Relative Distinguished Name RDN) • egyedi egy adott ágon • Név érték párok • Olyan tulajdonság mint a többi, csak meg van jelölve (Distinguised) • Csak a gyökér Distinguised tulajdonsága lehet null
Helyettesítő név (Alias) • Egy objektumnak több mint egy neve lehet • Egy objektumnak csak egy megkülönböztető neve lehet (ezzel együtt egy DIT bejegyzése) • A helyettesítő névnek egyértelműnek igen, de nem kell egyedinek lennie. • Az alias csak levél elem lehet • A helyettesítő név mutathat helyettesítő névre (pl.: egy munkás vándorol a szervezeti egységek között) • Helyettesító név feloldás - Alias Dereferencing • Helyettesítő név helyettesítő névre is mutathat • Keresés RDN alapján a helyettesítő nevet behelyettesítve újra a gyökértől
Kollektív tulajdonságok • Speciális tulajdonságok • Közösek több objektumra (DIT) is (pl.: telefonszám) • Nem a bejegyzésben tárolódnak • Speciális bejegyzés (subentry), csak az Adminisztrátor számára látható • Tartalmazza azon alfa leírását melyre érvényes
Működési és Adminisztráció Információs modell • A címtár működéséhez szükséges információkat is az adatbázisban tároljuk • Címtár működési tulajdonságok (Directory Operational Attributes) • Ezek normál felhasználó számára láthatatlanok • Léteznek rejtett bejegyzések is (subentry) ezek is csak az adminisztrátor számára olvashatóak
Tulajdonság hierarchiák • Egyes tulajdonságok hasonlóak • Származtatás • Supertype • Subtype • Pl.: telefon = ország + behívó + mellék
Directory Administrative Authority Model • A címtár egyes részei más-más hatóság által lehetnek adminisztrálva • Egyes helyeken az adminisztráció teljesen elkülönül, más helyeken átfedheti egymást • Megoldás: • Autonóm adminisztratív körzetek (Autonome Administrative Areas) • Autonóm Adminisztrációs Pont (Autonome Administrative Point) • Teljes önállóság • Belső adminisztratív körzetek (Inner Administrative Areas) • Belső Adminisztrációs Pont (Inner Administrative Point) • Részleges önállóság • Metszhetik egymást
Az adminisztrációs övezetek felosztása • Három adminisztratív szerepkör: • Alséma adminisztráció (Subshema Administration) • Hozzáférés Adminisztráció (Access Control Administration) • Kollektív Tulajdonságok Adminisztrálása (Collective Attribute Administration) • Az AAA mindhárom szerepkörből nézhető, ezek egymástól függetlenül is kioszthatóak • Független a DSA-tól !!! • administrative roletulajdonság
Al Bejegyzések (Subentries) • Adminisztratív pontok tartalmazhatják • Olyan kollektív bejegyzések melyek egy alfára vonatkoznak • AAP, IAP, közös tulajdonságok, … • Al-fa specifikáló tulajdonság (Subtree Specification Attribute) • Alap (base) • Vágás (chop) • Specifikáció Szűrő (specification filter)
Elosztott Információs Modell (DSA Information Modell) • Milyen információt kell egy DSA kliensnek hordoznia ahhoz, hogy együtt tudjon működni más DSA klienssel • A következőkre van szüksége: • Az általa mesterként tárolt felhasználói attribútumok teljes leírására (master – slave koncepció) • Hogyan integrálódnak az általa tárolt bejegyzések a golbális DIT-be • Amennyiben tárol más bejegyzéseket, ezek szárazási helyét és frissítési módja (fogyasztó) • Amennyiben az ő bejegyzéseit másolják akkor a változások értesítési módját (forrás)
DSA működési tulajdonságok • A DIT-ben eddig megismert tulajdonságok nem mondanak semmit sem a DSA-ról • DSA osztott tulajdonság • Független az aktuális tároló DSA-tól • Függ a replikáció módjától (pl.: DSA master) • DSA specifikus tulajdonság • Függ az aktuális tárolótól • Függ a replikáció módjától (forrás ?)
DSA specifikus bejegyzés • DSA information tree
Címtár séma • OID • Alséma (subschema) AAA hatókör • ASN.1 (Abstract Syntax Notation) (integer, …) • Szűkítések • Összehasonlítás • Present • Equality • Substrings • Ordering (<,>) • Approximate
Példa integerSyntax ATTRIBUTE- SYNTAX INTEGER MATCHES FOR EQUALITY ORDERING ::= {attributeSyntax 9}
Az elosztott címtár működése • Címtár Felahsználói Ügynök - Directory User Agent (DUA) • Címtár Rendszer Ügynök - Directory System Agent (DSA) • DSA Absztrakt szolgáltatás - DSA Abstract service • DSA specifikus bejegyzés - DSA Specific Entry (DSE) • Mivel versenyt szerettek volna nem specifikálták a DSA-t
DUA • Szabványos kapcsolat a címtárral • Címtár Hozzáférési Protokoll (Directory Access Protocol) – DAP -> LDAP • Minden művelet és annak eredménye specifikálva van – Directory Absctract Service -> DAP • Egy DUA – egy felhasználó
DSA • Címtár Rendszer Protokoll – Directory System Protocoll – DSP • Működési mód • Láncolás • Hivatkozások (referrals) • Access Point – AP • DAP + állapot • Homa DSA
A DIT elosztása • Minden alfa egy DSA-hoz tartozik • Egy DSA tatszőleges számú alfát tartalmazhat • Kotensztus előtag - Context prefix • Tudás referencia – Knowledge reference • Alsó Tudás referencia – Subordinate Knowledge reference • Első szintű DSA – first level DSA • Elnevezési Kontesztus – Naming Context • Felsőrendű hivatkozás – Superior reference
Directory Access Protocol • Kötés – bind • Lekérdező műveletek • Olvasás • Összehasonlítás • Listázás • Keresés • Megszakítás • Módosító műveletek • AddEntry • RemoveEntry • ModifyDN • ModifyEntry
Replikáció • Multimaster • Master/Slave • Tükör másolat - shadow copy • Másodlagos tükrözés • Tükör szolgáltató • Tükör fogyasztó • Firssítés 1s -> x nap • Tükör megegyezésekShadow Agreements • Tartományközi • Tartományon belüli
X.500 nem (volt!) megoldás • A szerver szoftver komplex és túltervezett • Nehéz együttműködni egyszerű címtárakkal • Kevés X.500 megvalósítás • Nagy, komplex, erőforrás-igényes egy PC-hez • Erősen kötődik az OSI modellhez • Megoldás: LDAP
LDAP – könnyűsúlyú X.500 • Működő kód (jobb mint a rideg szabványok) • Több éve fejlesztik (RFC 1487 (1993): LDAPv1; RFC 1777 (1995): LDAPv2; RFC 2251 (1997): LDAPv3) • Csak könyvtár-hozzáférési protokoll nem teljes címtár • Csak azt specifikálja hogyan társalogjon a kliens és a szerver • Nem specifikálja a címtár működését