Ж у р н а л   о   к о м п ь ю т е р н ы х   с е т я х   и   т е л е к о м м у н и к а ц и о н н ы х   т е х н о л о г и я х
СЕТИ И СИСТЕМЫ СВЯЗИ on-line
  ПОИСК: ПОДПИСКА НА НОВОСТИ: НОМЕР:
    ДОМОЙ • Архив: Новостей | Конференций | НомеровПодписка
 
   
 
   
    
РЕДАКЦИЯ
 
Все о журнале
Подписка
Как проехать
Где купить
Отдел рекламы
График выхода журнала
Адреса в Интернет

РУБРИКАТОР
   
• Инфраструктура
• Информационные
   системы

• Сети связи
• Защита данных
• Кабельные системы
• Бизнес
• Колонка редактора
• Электронная
   коммерция

• Только на сервере
• Системы
   учрежденческой
   связи

• Новые продукты


Rambler's Top100

  

Доступ к информации по протоколу LDAP

Кристина Хаджинс-Бонафилд

Гипертекстовый транспортный протокол HTTP (Hypertext Transport Protocol) произвел революцию в сетях, соединив браузеры и серверы по всему миру. Новый, облегченный протокол доступа к сетевому каталогу (Lightweight Directory Access Protocol - LDAP) позволяет пойти еще дальше. Поставщики услуг Интернет намереваются применить LDAP для создания службы аутсорсинга с функциями корпоративного сервера. Web-мастера планируют использовать протокол для создания и динамического обновления Web-страниц, а владельцы информационных служб в Интернет - для доступа к информации, находящейся в базах данных за статическими Web-страницами.

Универсальный доступ на основе протокола LDAP, уже нашедшего свое применение в Web-браузерах, позволит корпоративным пользователям сделать свои каталоги в интрасети более содержательными и построить такую систему доступа к ним, которая представит информацию о сетевых устройствах и абонентах в более понятном и удобном виде.

Повсеместное принятие протокола LDAP (уже сейчас его поддерживают более 40 поставщиков) вызовет появление массы новых приложений, связанных со службами каталогов. Первыми из них, очевидно, будут приложения для администраторов - они обеспечат единую регистрацию и создание конфигурации рабочей среды пользователя в соответствии с его запросами на любой сетевой рабочей станции; за ними последуют приложения для пользователей. Некоторые пользователи надеются, что со временем смогут просматривать Web-страницы в виде каталога, дающего представление о логической структуре приведенной в них информации, включая ее краткий обзор.

Конечной целью использования LDAP является создание универсального браузера для доступа к различным каталогам операционных систем, электронной почты и других приложений. Применение LDAP также откроет путь к созданию метакаталогов, что позволит представить в едином виде множество разрозненных каталогов. Подход, основанный на новом стандарте, означал бы для разработчиков приложений возможность сокращения расходов и времени продвижения своих продуктов на рынок, а также облегчил бы задачи централизованного управления каталогами.

Преграды на пути к светлому будущему

Наиболее серьезное препятствие для повсеместного использования протокола LDAP - необходимость для обеспечения безопасности установки совершенно новой инфраструктуры, которая основана на еще не совсем "созревшем" стандарте. Без мощной системы аутентификации прямой доступ к каталогам может иметь разрушительные последствия как для интрасетей, так и для Интернет.

Несмотря на включение процедуры аутентификации в третью версию LDAP, соответствующая спецификация в рабочей группе Internet Engineering Task Force (IETF) в конце августа 1996 г. получила лишь статус проекта. LDAP можно будет использовать за пределами безопасных зон интрасетей только после широкого распространения технологии защиты, основанной на применении открытых ключей и сертификации Web-серверов. Даже если LDAP и будет принят в качестве стандарта, нерешенным останется вопрос: будут и должны ли вообще поставщики опираться на один и тот же стандарт тиражирования и синхронизации каталогов?

Другое препятствие на пути принятия LDAP как стандарта - соперничество фирм-поставщиков. Создается впечатление, что вся индустрия вовлечена в своеобразную "охоту на ведьм", где каждый участник изо всех сил старается разоблачить приемы своих конкурентов. Одни критикуют Netscape за преждевременные попытки стандартизации ранней версии LDAP и сохранение до последней минуты в тайне более совершенных версий. Другие обвиняют Novell в пренебрежительном отношении к протоколу LDAP в пользу своей собственной службы каталогов (Novell Directory Service - NDS). Фирму Microsoft подозревают в том, что она использует набор интерфейсов прикладного программирования ODSI (Open Directory Service Interface) с целью скрыть попытки выработать свою стратегию в отношении поддержки службы каталогов. IBM якобы затягивает время для выхода на рынок сбыта не только с LDAP, но и со своей собственной технологией DCE (Distributed Computing Environment).

Разумеется, все поставщики отвергают предъявляемые им обвинения. Однако все они признают, что сегодня не хватает стимулов для объединения усилий в решении проблем разработки независимого от платформ интерфейса прикладного программирования (Application Programming Interface - API) для LDAP. Вероятнее всего, функциональная совместимость будет достигнута с помощью библиотек классов.

Netscape впереди

Успех протокола HTTP связан не столько с его достоинствами, сколько с его коммерциализацией. Признание LDAP будет зависеть от этого же фактора. В обоих случаях в деле коммерциализации продукта лидирует Netscape.

Эта фирма не только финансирует работы над LDAP, проводимые в Университете штата Мичиган, но для осуществления собственных разработок в этом направлении пригласила молодого и талантливого программиста Тима Ховеса. Сейчас он руководит работами по стандартизации протокола LDAPv3 в IETF и считает, что заниматься этим делом все равно что "пасти кошек".

По сути LDAP - это урезанная версия протокола доступа DAP, которая используется в службах каталогов X.500. Он опирается не на полный стек взаимодействия открытых систем (Open Systems Interconnection - OSI), а на стек TCP/IP. Хотя на клиентской машине этот протокол не требует такой большой нагрузки процессора, как в случае с клиентом X.500, его можно использовать для доступа не только к каталогам X.500, но и к каталогам, поддерживающим LDAP.

Поскольку фирма Netscape - новичок в области развития службы каталогов, ее вклад в это дело минимален и ограничивается лишь разработками, связанными с LDAP. Бен Горовиц, старший менеджер по маркетингу Netscape, заявляет, что LDAP будет широко использоваться в продуктах компании для всех платформ, включая HP-UX, SGI-Irix, Sun Solaris, Digital Unix, IBM AIX, Windows NT (на процессорах Alpha или Intel).

В начале текущего года Netscape выпустила бета-версию библиотеки классов для Интернет - Internet Foundation Class, поддерживающую LDAP. Ее можно использовать в программах на языках Си, Java и JavaScript. Окончательно библиотека будет реализована в новом продукте фирмы Directory Server 2.0. Несмотря на то что в нее добавлены некоторые усовершенствования и протокол LDAP, Netscape обещает, что она сохранит совместимость с ранее выпущенными продуктами. Описание предварительной версии LDAP API можно найти в документе RFC 1823. Netscape также планирует реализовать специфические интерфейсы API для различных ОС.

Горовиц отмечает, что большим преимуществом подхода Netscape перед ODSI фирмы Microsoft является его кроссплатформность. "Если вы хотите работать в OC Windows NT, MacOS или Unix, то вам лучше использовать Java-классы фирмы Netscape, - говорит он. - При необходимости работать только в Windows приемлемым, хотя и не совсем эффективным вариантом для вас будет ODSI. Если же вы вообще не собираетесь работать в OC Windows, то ODSI - это худший выбор". В свою очередь, стратегия Microsoft вынуждает разработчиков использовать компонент технологии ODSI - интерфейс OLE DS (Object Linking and Embedding Directory Services), специально ориентированный на работу со службами каталогов и поддерживающий LDAP. По мнению фирмы Microsoft, средства безопасности и службы каталогов не следует поставлять отдельно от OC.

Горовиц также считает, что многие поставщики СУБД поддержат LDAP и c помощью языка SQL (Structured Query Language) обеспечат по нему доступ к базам данных. Он уверен, что эту же позицию разделяет и партнер Netscape - фирма Informix Software. Официальные представители IBM заявили, что со своей стороны они рассматривают возможность поддержки LDAP в СУБД DB2. Пока неизвестно, какие шаги предпримет Oracle. Но Горовиц думает, что эта компания останется в одиночестве, если не присоединится к сообществу разработчиков СУБД, поддерживающих LDAP. По его словам, с такой поддержкой "пользователи будут иметь доступ к гетерогенным базам данных, электронной почте, Web, дискуссионным группам, а в будущем даже к аудио- и видеоинформации".

Представитель Netscape предполагает, что широкое распространение LDAP приведет к появлению большого количества приложений, так как небольшим фирмам-разработчикам не надо будет иметь дело ни с Lotus Notes, ни с Microsoft Exchange, ни с какими-либо иными подобными продуктами. По существу, он предсказал, что через два года программное обеспечение поддержки коллективных работ будет основываться на открытых стандартах. Чтобы найти адресата и послать ему сообщение с использованием расширения MIME протокола SMTP, вместо обращения к адресной книге Notes через API Notes и отправки сообщения в формате и с ключом Notes вы будете работать с HTTP-приложениями, которые выполняют запрос по протоколу LDAP. Эта система станет работать в Интернет повсюду.

Горовиц ожидает, что поставщики услуг Интернет станут использовать LDAP для предоставления доступа к глобальным каталогам пользователей, а также в качестве основы таких служб, как безопасная электронная почта. По его словам, службы, требующие сегодня участия человека, например Switchboard фирмы Banyan Systems, будут управляться специальными приложениями, что позволит осуществлять поиск по введенному имени и автоматически устанавливать соединение. С помощью LDAP пользователи смогут из баз данных динамически обновлять информацию на Web-страницах и, зарегистрировавшись один раз, получить доступ ко всем каталогам LDAP. Но основное достоинство LDAP, считает Горовиц, - возможность идентифицировать личность в Интернет, где, как он заметил, индивидуумы до сих пор остаются лишь "приятными незнакомцами".

Другие поставщики предсказывают, что каталоги LDAP либо переместятся на Рабочий стол пользователя, либо превратятся в краткие информационные сводки, подобные тем, что мы видим на Web-серверах служб каталогов, т. е. станут выполнять функцию, которая составит конкуренцию аналогичной функции собственных серверных продуктов Netscape.

Novell: сочетание LDAP и NDS

Согласно утверждению официальных представителей Novell, совместное использование LDAP и NDS в первую очередь возможно потому, что LDAP поддерживает доступ к распределенному справочнику каталогов, каковым является NDS.

Майкл Симпсон, директор по маркетингу в подразделении по инфраструктуре Интернет фирмы Novell, говорит, что к середине лета 1997 г. службы NDS будут поддерживаться различными протоколами, например такими, как HTTP, Kerberos, Server Message Block фирмы Microsoft, LDAP, собственным протоколом доступа к NDS, а также протоколами Directory Naming Service (DNS) и Dynamic Host Configuration Protocol (DHCP). По его словам, Novell станет поддерживать доступ с браузера как анонимный, так и с аутентификацией на основе Secure Sockets Layer (SSL), и синхронизацию каталогов сервер-сервер. Сильное влияние Novell в этой области можно объяснить фактом создания ею одной из наиболее популярных служб каталогов, которая работает более чем с двумя сотнями приложений, и, кроме того, восьмилетним опытом деятельности фирмы в области соответствующих разработок.

Сегодняшние ограничения NDS главным образом обусловлены ее исторической зависимостью от системы NetWare. Тем не менее Симпсон заявляет: поскольку служба каталогов NDS оказалась связанной с разработками Novell для Интернет и унаследовала все достоинства и недостатки NetWare, то в NDS придется внести такие изменения, которые сделают возможной работу с различными каталогами и соответственно поставщиками.

Фирма Santa Cruz Operation уже поставляет версию NDS для Unix. На рынке метакаталогов Novell планирует составить конкуренцию фирмам Zoomit, Worldtalk и подразделению Soft-Switch фирмы IBM. Все четыре компании стремятся создать единую концепцию для разрозненных каталогов. Novell обещает, что ее NDS будет поддерживать различные платформы, включая Windows NT, HP-UX фирмы Hewlett-Packard и другие версии Unix.

В области метакаталогов Novell серьезно уступает своим конкурентам, включая Hitachi и Control Data, только в одном отношении - в отсутствии поддержки синхронизации электронной почты. Разумным было бы сотрудничество с Zoomit или Worldtalk. По мнению Симпсона, Novell не имеет ничего против заимствования технологий других компаний, но у этого есть и оборотная сторона. "Наша главная цель - выйти на рынок с максимально содержательными каталогами, - говорит он. - Мы сможем помочь таким компаниям, как Worldtalk, Hitachi и Zoomit, интегрировать в свои продукты нашу технологию".

По своей корпоративной культуре Novell ближе всего к Worldtalk, однако ее давние планы в отношении создания персонального каталога на Рабочем столе, где файлы трактуются как записи каталога, очень схожи с официально объявленными планами Zoomit. Симпсон считает, что такого персонального каталога не будет еще год или два, однако работающий в команде специалист для тестирования и отладки может импортировать NDS 2.0 с множеством разделов и элементов NDS в ОС Windows 95, а затем - в ОС Windows NT.

По словам Симпсона, ценность персонального каталога заключается в защите информации на портативном компьютере и способности с его помощью переносить данные в сетевую среду для создания резервной копии или обслуживания мобильных пользователей. Такие возможности можно расширить и вместе со средствами защиты внести в локальную операционную систему. Фирма Zoomit считает, что главным достоинством обработки файлов как объектов каталога является то, что пользователь сможет безопасно их использовать совместно со своими коллегами или даже с посторонними лицами.

Достижения Microsoft

Год назад Microsoft заняла ключевые позиции в области службы каталогов, объявив о своих планах создания новой архитектуры на основе набора интерфейсов прикладного программирования, известного под названием ODSI, который должен решить проблемы доступа клиента к разрозненным каталогам. Наряду с компонентом OLE DS API технология ODSI также содержала программный компонент, его предлагалось написать каждому поставщику службы каталогов в соответствии с требованиями интерфейса ODSI.

Однако с тех пор произошли большие изменения. В августе прошлого года Microsoft выпустила бета-версию пакета инструментальных средств разработки для OLE DS, однако интерес к ODSI пошел на убыль. Симпсон из Novell говорит о том, что вся индустрия "поставила на LDAP", поэтому Microsoft лишилась поддержки. Клиентам нет дела до того, будет или нет Novell поддерживать интерфейс ODSI, а это умаляет достоинства грандиозного плана Microsoft по синхронизации всех каталогов с сервером Windows NT. "Если они преуспеют, мы воспользуемся этим, - говорит Симпсон (относительно ODSI). - А пока посмотрим". Подобную мысль высказали и представители IBM.

Но, несмотря на то что Microsoft теряет поддержку других лидеров в области служб каталогов, по мнению аналитиков, фирма не потеряет поддержку сообщества разработчиков приложений: многие все-таки планируют использовать ODSI. Энцо Шиано, менеджер Microsoft по продуктам коллективного пользования, говорит, что есть много причин, по которым разработчики предпочтут ODSI, и одна из главных - недостатки протокола LDAPv2, "не поддерживающего универсальный режим просмотра, администрирование каталогов, управление всей схемой и полную аутентификацию, а также не имеющего средств для перевода каталогов на национальные языки". Шиано также добавляет, что все эти функции поддерживаются набором интерфейсов OLE DS API. Ожидается, что в LDAPv3 указанные ограничения будут преодолены.

Oтношение Microsoft к LDAP неоднозначно. Несмотря на свое нежелание поддерживать LDAP API, Microsoft все же объявила о намерении сделать это в своем Web-браузере, сервере каталогов следующего поколения, в Exchange Server и сервере Normandy. Планируется, что ОС NT Server 5.0, известная как Cairo, которая должна появиться во второй половине 1997 г., также будет поддерживать LDAP. Тогда пользователи программ, поддерживающих протокол LDAP, смогут-таки получить доступ к каталогам Microsoft.

По мнению Шиано, служба каталогов Microsoft следующего поколения, которая, вероятно, будет поставляться с Windows NT Server 5.0, поддержит "самую лучшую из всех возможных реализаций LDAP". Несмотря на то что служба каталогов не будет основываться на DNS, она поддержит также стандарт X.500 в части протоколов DAP, HTTP, DHCP и DNS и, возможно, Kerberos, хотя Microsoft пока не делала никаких заявлений относительно средств безопасности.

IBM: LDAP порожден необходимостью

IBM при разработке службы каталогов выбрала подход, ориентированный не только на широкую поддержку LDAP, но и на использование DCE/X.500 для компьютерной техники высшего класса. В отличие от Microsoft и Netscape фирма IBM также планирует создание собственных метакаталогов на основе технологии Soft-Switch.

Большинство начинаний IBM в области LDAP все еще находятся на стадии разработки. Например, до сих пор неясно, будут ли каталоги X.500, поддерживающие LDAP по определению, теми самыми, которые IBM намерена использовать в своих метакаталогах. Филис Бирн, вице-президент подразделения IBM Software по службам для распределенных систем, говорит, что IBM рассматривает возможность приобретения программных кодов для каталогов X.500. По ее словам, вероятными партнерами IBM могут быть фирмы Digital Equipment, ICL, Siemens и Telstra.

Почему же из всех служб каталогов, поддерживающих LDAP, выбрана именно X.500? Причину этого вице-президент видит в требованиях к безопасности и масштабируемости: "Если масштабы деятельности очень велики, как, например, в коммерции, информация должна быть обязательно защищена". Действительно, X.500 в основном используется в тех случаях, когда в рамках государственных заказов к продуктам предъявляются высокие требования и необходим орган сертификации - один из важнейших механизмов аутентификации.

Будущее LDAP

Что же ждет нас через год - LDAP победит или падет жертвой ODSI? По ряду причин этот протокол имеет многообещающие перспективы. По-видимому, с самого начала он был гораздо лучше воспринят поставщиками, чем ODSI. Преимущество LDAP - широта его применения. Своевременность появления LDAP - именно в тот момент, когда, как никогда, потребовалось объединение ресурсов Интернет и интрасетей, - трудно переоценить.

Как предсказывает Горовиц из Netscape, LDAP будет развиваться, но никогда не станет таким же громоздким, как X.500, поскольку X.500 уже имеет все, что только можно пожелать.


распечатать статью




  
4 '1997
СОДЕРЖАНИЕ

колонка редактора

• Lucent открывает для сетей врата ада

локальные сети

• Серверы с процессорами Pentium Pro

• Телекоммуникационные системы: электромагнитные помехи и электромагнитная совместимость

• Сетевые операционные системы

• Самая легкая в мире оптимизация сервера

• Оборудование и ПО: проблема выбора фирмы-поставщика

корпоративные сети

• Как снять синдром технологического "похмелья"

• Развитие систем электронных сообщений

услуги сетей связи

• Учрежденческие системы внутренней связи

• Построение транспортных сетей на основе Синхронной Цифровой Иерархии

• Инверсное мультиплексирование линий ISDN

• Управляемые модемные шасси

интернет и интрасети

• СУБД-технологии для российских Web-узлов

• Настройка DNS: внутренние и внешние серверы

• Система R/3: структура и перспективы развития

• 32-разрядные пакеты программ TCP/IP

защита данных

• ИБП для серверных комнат

• "Керберос": деталь в головоломке сетевой безопасности

новые продукты

• Модуль VoicePlus для коммутаторов ForeRunner, Сетевой анализатор — это все, чего я хочу; Symmetra: масштабируемость и надежность; NetEye 200 — компактная фотокамера с Web-сервером;

только на сервере

• Доступ к информации по протоколу LDAP

• Война браузеров, или Почему Microsoft победит Netscape



 Copyright © 1997-2007 ООО "Сети и Системы Связи". Тел. (495) 234-53-21. Факс (495) 974-7110. вверх