Ноу Інти, лекція, стратегії каталогів

Анотація: У цій лекції ми обговоримо основи теорії каталогів і часто використовується для доступу до каталогів протокол LDAP. Тут ми також розглянемо проблеми, пов'язані з використанням різних каталогів в інтересах управління справжністю особистості, мандатів користувачів (credentials) і елементів управління доступом. У цій лекції описані деякі інструменти для синхронізації каталогів поряд з методичними рекомендаціями щодо синхронізації даних і в результаті приведена Високорівнева стратегія побудови уніфікованої служби каталогів організації

8.1 Основи теорії каталогів

Згідно вельми простому визначенню каталог є сховищем, використовуваним для утримання будь-якого виду інформації, яка може бути застосована в різних цілях різними клієнтами. Сховище (репозиторій) є сукупністю інформації про об'єкти, систематизованої у вигляді ієрархічної структури. Це спеціалізована база даних. дає можливість користувачам або додаткам знаходити ресурси, які мають характеристики, необхідні конкретному завданні.

Каталог є спеціалізованою базою даних, яка за своїми характеристиками стоїть відокремлено від реляційних баз даних загального призначення. Однією з характеристик каталогу є те, що доступ до нього (читання або пошук) здійснюється набагато частіше, ніж він оновлюється (здійснюється запис в нього). Так як каталоги повинні бути здатні підтримувати велику кількість запитів на читання, то зазвичай вони оптимізовані для доступу в цілях читання. Так як каталоги не призначені для забезпечення такого ж безлічі функцій, як і бази даних загального призначення, вони можуть бути оптимізовані для економного надання більшої кількості програм з швидким доступом до даних каталогу в значно розподілених середовищах. Зверніть увагу на те, що логічна структура об'єктів є ієрархічною, хоча фізичне зберігання об'єктів даних може здійснюватися в таблицях реляційних баз даних. Таке відбувається у випадку з сервером каталогів IBM Directory Server. який використовує для зберігання даних каталогу таблиці DB2.

Каталог може бути централізованим або розподіленим. Якщо каталог є централізованим, то існує один сервер каталогів (або кластер серверів) в одному місці, який надає доступ до каталогу. Якщо каталог є розподіленим, то для надання доступу до каталогу існує більше одного сервера, причому зазвичай вони географічно розосереджені.

8.1.1 Каталоги LDAP

LDAP визначає стандартний метод доступу до служби каталогів. Стандарт LDAP розроблений з метою надання доступу до каталогів, що підтримує ієрархічні моделі X.500 без пред'явлення серйозних вимог до ресурсів "повного" протоколу доступу до каталогів [Directory Access Protocol (DAP)] X.500, звідси і термін "Lightweight DAP", або "LDAP" (полегшений протокол доступу до даних). Він є моделлю взаємодії типу "клієнт-сервер", при якій сервер каталогу LDAP здатний обслуговувати безліч одночасних клієнтських запитів по стандартному TCP / IP-порту 389 або порту 636, якщо сервер підтримує SSL.

"Стандарт LDAP" складається з набору пов'язаних стандартів IETF, які включають:

  • RFC-1777 - cтандарт LDAPv2;
  • RFC-2251 - LDAPv3: основний стандарт LDAP версії 3;
  • RFC-2252 - LDAPv3: визначення синтаксису атрибутів;
  • RFC-2253 - LDAPv3: уявлення рядки UTF-8 відмінних імен;
  • RFC-2254 - уявлення рядки фільтрів пошуку LDAP;
  • RFC-2255 - формат URL в LDAP;
  • RFC-2849 - формат обміну даними в LDAP [LDAP Data Interchange Format (LDIF)].

Коли каталог є розподіленим, то збережена в каталозі інформація може бути секціонірована (partitioned) або реплицирована (replicated); можлива комбінація двох цих варіантів. Коли інформація секціонірована, то кожен сервер каталогу зберігає унікальне і не перекриваються підмножина інформації. Це означає, що кожен елемент каталогу збережений тільки на одному-єдиному сервері. Технічним методом поділу каталогу є використання відсилань LDAP (LDAP referrals). Відсилання LDAP дають можливість користувачам надсилати запити LDAP або до тих же самим, або до інших просторів імен, збережених на іншому (або на тому ж самому) сервері. Коли інформація реплицирована, один і той же елемент каталогу зберігається на більш ніж одному сервері. У розподіленому каталозі деяка інформація може бути секціонірована, а деяка інформація може бути реплицирована.

Детальну інформацію про загальні поняттях і реалізації каталогів LDAP можна знайти в наступних публікаціях компанії IBM:

  • IBM Redbook Understanding LDAP, SG24-4986
  • IBM Redbook LDAP Implementation Cookbook, SG24-5110
  • IBM Redbook Using LDAP for Directory Integration: A Look at IBM SecureWay Directory, Active Directory, and Domino, SG24-6163
  • IBM Redbook Implementation and Practical Use of LDAP on the IBM e-server iSeries Server, SG24-6193
  • IBM Redpaper, LDAP Directory Services in IBM WebSphere Everyplace Access V4.1.1, REDP3603

8.2 Множинні каталоги

Розміщуються організаціями програми зазвичай вимагають або надають свої власні виділені каталоги реєстрації користувачів. Результатом цього є наявність безлічі каталогів користувачів і частин інформації, згідно з якими користувачі розміщуються по всій організації, причому кожен зі своїми унікальними властивостями і різними джерелами даних.

Джерела даних зазвичай представлені великою різноманітністю систем, сховищ і структур, таких, як:

Зверніть увагу на те, що дані приклади не варто розглядати як повні переліки виробників або продуктів. Ми просто хотіли показати деякі найбільш відомі продукти, що популярні у великих організацій, а також те, що майже в будь-якій організації зазвичай існують численні сховища даних про "особистостях".