Ж у р н а л   о   к о м п ь ю т е р н ы х   с е т я х   и   т е л е к о м м у н и к а ц и о н н ы х   т е х н о л о г и я х
СЕТИ И СИСТЕМЫ СВЯЗИ on-line
  ПОИСК: ПОДПИСКА НА НОВОСТИ: НОМЕР:
    ДОМОЙ • Архив: Новостей | Конференций | НомеровПодписка
 
   
 
   
    
РЕДАКЦИЯ
 
Все о журнале
Подписка
Как проехать
Где купить
Отдел рекламы
График выхода журнала
Адреса в Интернет

РУБРИКАТОР
   
• Инфраструктура
• Информационные
   системы

• Сети связи
• Защита данных
• Кабельные системы
• Бизнес
• Колонка редактора
• Электронная
   коммерция

• Только на сервере
• Системы
   учрежденческой
   связи

• Новые продукты


Rambler's Top100

  

Метасправочники обеспечат синхронизацию информации о пользователях

Дэн Бэкман

Концепция организации метасправочника сравнительно проста: с одной стороны, для этого достаточно объединить различные информационные источники в единый справочник, с другой — обеспечить тиражирование вносимых в него изменений в пределах корпоративной сети.

Одни информационные источники, в частности сетевые ОС и приложения, снабжены собственными средствами управления учетной информацией. Другие — подобно справочникам серверов сообщений, представляют собой довольно сложные службы. Одним словом, синхронизированное хранение информации о пользователях в масштабах предприятия может оказаться весьма трудной задачей. Для решения ее и предназначены метасправочники.

Наиболее очевидным применением метасправочника является синхронизация паролей и атрибутов пользователей между службами справочника различных сетевых ОС (и/или корпоративных служб обмена сообщениями). Несколько заманчивым представляется его использование для интеграции вышеперечисленных служб с информационными системами отделов кадров, списками абонентов офисных АТС и другими источниками данных для обеспечения полностью автоматизированного обращения информации обо всех корпоративных пользователях. Последним веянием стало объединение различных служб справочника для хранения большинства относящихся к сетевому уровню данных. Кроме того, в службах Windows 2000 Active Directory Service (ADS) фирмы Microsoft, NDS фирмы Novell и VIA Server 2.0 фирмы Zoomit набор встроенных функций справочника дополнен поддержкой IP и DNS.

Технически простейший метасправочник можно легко реализовать, в частности, посредством синхронизации пользователей NDS и Windows NT/Exchange с помощью продукта NetVision Synchronicity. Вместе с тем в больших организациях попытка связать различные справочники между собой неизбежно вызовет не только технические, но и политические проблемы.

Метасправочники должны отображать реальные события деловой жизни, например, принимая на работу нового сотрудника, следует немедленно создать пользовательскую учетную запись. Если же ваши планы предусматривают объединение двух БД — абонентов офисных АТС и персональных данных из отдела кадров, — помните, что при воплощении их в жизнь можно легко переступить границы дозволенного доступа, следовательно, необходимо обеспечить защиту критичной информации, в частности персональных данных.

Кроме того, в “обязанности” метасправочников входит удаление устаревших и корректировка противоречивых данных. В самом худшем случае, если в организации в должной мере не обеспечиваются назначение и поддержка уникальных пользовательских идентификаторов, отдельный пользователь может быть представлен под разными именами в разных справочниках. Чтобы избежать подобных недоразумений, в матасправочниках, таких, как VIA Server фирмы Zoomit, используется функция join, которая объединяет эти разрозненные атрибуты и привязывает их к одному логическому псевдониму данного пользователя. После этого метасправочник тиражирует все объединенные справочные объекты, а также последующие изменения в них.

В современных корпоративных сетях отчетливо прослеживается тенденция образования групп производителей, ориентированных на использование общей службы справочника. Например, фирма Novell и ее партнеры предлагают NDS, в то время как в сертифицированных Microsoft приложениях BackOffice поддерживается служба Windows NT Domain. Такой подход значительно упрощает процесс управления несколькими серверами одного и того же производителя, в частности, посредством NDS можно управлять всеми серверами NetWare. Вместе с тем недостаток взаимопонимания между поставщиками ПО приводит к тому, что компании-заказчики одновременно поддерживают у себя одно или несколько деревьев NDS, несколько доменов Windows NT для простых файловых служб и сетевой печати, приложения Windows NT BackOffice или NDS-совместимые, а также, вполне вероятно, Unix-службу NIS и службу справочника Lotus Notes и/или LDAP для поддержки приложений SuiteSpot фирмы Netscape Communications (приобретена компанией AOL).

Сегодня производители справочников и совместимых с ними приложений все как один превозносят LDAP, считая его универсальной панацеей для решения всех проблем поддержки этих служб, хотя сам по себе LDAP является всего лишь обобщенным протоколом доступа к ним. Он обеспечивает минимум стандартных возможностей для нахождения информации о пользователях, помимо тех базовых, которые предлагает упрощенная схема персоналий Интернет (Lightweight Internet Person Schema — LIPS). И хотя почти каждая служба справочника поддерживает теперь LDAP как наименьший общий знаменатель, слишком мало принято стандартов, определяющих, каким образом информация должна сохраняться в справочнике или какие виды информации должны быть представлены в нем.

К несчастью, усилия по разработке общепринятой, базирующейся на стандартах спецификации службы справочника, такой, как X.500 или DCE (Distributed Computing Environment), не нашли требуемой поддержки у производителей корпоративных сетевых ОС и приложений. Напротив, поставщики стараются всячески блокировать интероперабельность, настаивая на применении патентованных алгоритмов хэширования паролей, что делает их синхронизацию практически невозможной (см. “Проблемы синхронизации паролей”).

Синхронизация или объединение?

На сегодняшний день имеется два типа продуктов: службы синхронизации справочников с трансляцией соответствующих элементов и средства объединения справочников.

Хотя самый простой способ синхронизации — это не что иное, как непосредственное копирование элементов и связанных с ними объектов из одного справочника в другой (или другие), осуществить этот процесс беспрепятственно удается далеко не всегда. Основной проблемой здесь становится обеспечение уникальности атрибутов. Те усилия, которые ранее были затрачены на раздачу уникальных пользовательских имен в масштабах организации, в целом немедленно найдут свое отражение в том, насколько простой окажется синхронизация разных служб справочника. В лучшем случае пользовательское имя “jsmith” в контекстах NDS и Windows NT Domain должно представлять одного и того же пользователя. Синхронизирующее ПО предполагает, что это имя принадлежит одному и тому же пользователю в обоих справочниках и обмен данными производится между ними.

Но что же произойдет в случае конфликта имен? С помощью продукта Synchronicity фирмы NetVision администратор может указать, как поступать в подобных ситуациях: заменить объект назначения, создать новый объект с новым именем или выдать сообщение об ошибке.

В более сложных случаях, возникающих чаще всего в сравнительно крупных корпоративных сетях, происходят коллизии имен между несколькими системами. Здесь на помощь приходит концепция объединения. Создав объединенное логическое пространство пользовательских объектов, можно связать между собой разноименные объекты, относящиеся к одному и тому же пользователю. Такие ассоциации гарантируют наличие единой концепции доступа к пользовательской информации посредством соответствующих клиентских программ (направляющих запрос не службе справочника сетевой ОС, а службе метасправочника), а также обеспечивают среду, связывающую между собой пользовательские объекты, которые хранятся в различных справочных службах.

Хотя на первый взгляд данная концепция представляется достаточно простой (при условии стандартизации пользовательских идентификаторов во всех управляемых справочниках), функцию объединения трудно реализовать, когда разные справочники имеют разные соглашения о назначении пользовательских имен. Например, допустим, что операция объединения должна связать имя “jsmith” в контексте NDS с именем “smithj” в контексте Windows NT Domain. Если для этого требуется перенести инициал “j” из начала имени в его конец и наоборот, то продукт Zoomit VIA Server автоматизирует этот процесс с помощью языка сценариев. Тем не менее на стадии отладки метасправочника вам, скорее всего, придется потратить много времени на корректировку объединенных объектов вручную.

Планируя установку метасправочника для предварительной оценки степени точности получаемых с его помощью пользовательских данных, выясните сначала согласованность между собой разных систем. И если вы намереваетесь использовать для этого продукт Synchronicity фирмы NetVision, то во всех справочниках имена пользователей должны быть стандартизованными и уникальными.

Synchronicity фирмы NetVision

Опираясь на NetWare 4.x и NDS как на базовые платформу и службу справочника соответственно, ПО Synchronicity осуществляет на удивление эффективную синхронизацию ограниченного числа справочников, имеющихся в сравнительно небольших организациях. Спроектированный для работы со службами Novell NDS, NetWare 3.x Bindery, Windows NT Domain, Microsoft Exchange и Lotus Notes, продукт Synchronicity тиражирует обновления посредством NLM-брокера Global Event Services (GES). Последний запускается на играющем роль диспетчера сервере NetWare, который рассылает информацию об обновлениях каждому управляемому справочнику.

Главное достоинство ПО Synchronicity заключается в простоте его инсталляции. В нашей испытательной схеме оно было сконфигурировано таким образом, чтобы обеспечивалось согласование пользовательских бюджетов домена Windows NT, “белых страниц” сервера Microsoft Exchange 5.5 и разделов NDS. Для этого всего-навсего потребовалось установить управляющие агенты Synchronicity на серверах Windows NT и NetWare и выбрать соответствующие разделы NDS для отображения данных о пользователях Windows NT. Уже через час после инсталляции ПО Synchronicity на нашем сервере IntranetWare 4.11 и агента для Windows NT Domain пользовательские бюджеты Windows NT синхронизировались с указанными разделами NDS.

Нет ничего странного в том, что администрирование Synchronicity основывается на средствах NetWare. В процессе инсталляции этого продукта в утилиту-администратор NetWare добавляется встраиваемый модуль, а схема NDS дополняется новыми объектными типами, например такими, как “пользователь Windows NT”. С помощью интегрируемых приложений фирмы NetVision можно импортировать доменную информацию Windows NT в NDS как для непосредственного управления ею, так и для связывания с соответствующими разделами NDS. Поскольку каждый домен Windows NT представляет собой исключительно плоское пространство имен (в отличие от иерархического пространства имен NDS), то для обеспечения синхронизации он должен быть связан с определенным разделом NDS. Помимо привязывания домена Windows NT к контексту NDS, ПО Synchronicity управляет доменными объектами в рамках пространства NDS. Последнее облегчает управление бюджетами пользователей домена Windows NT с помощью утилиты NWAdmin и NDS, позволяя выполнять это независимо от остальных пользователей.

Zoomit VIA Server фирмы Zoomit

Как первый в истории метасправочник, продукт Zoomit VIA Server до последнего времени стоял как бы обособленно, всячески подчеркивая свою “объединительную” сущность. Однако воспользоваться его уникальными и гибкими возможностями управления справочниками оказывается не всегда просто. Будучи по существу независимым сервером, поддерживающим LDAP-совместимые справочники, Zoomit VIA Server содержит сложную логику сценариев синхронизации и служит базовым хостом для агентов управления, которые предназначены для связи с различными внешними службами справочника. Zoomit VIA Server представляет собой мощный инструментарий для реализации сложных стратегий управления службами справочника и их унификации, требующий, однако, весьма глубокого изучения и дополнительного настраивания по месту установки.

Не концентрируясь исключительно на синхронизации объектов справочника, фирма Zoomit позиционирует свой продукт как “портал доступа” к службам справочника. Благодаря созданию отдельного справочного пространства вне рамок какого-либо приложения или службы справочника сетевой ОС Zoomit VIA Server выстраивает логическую структуру справочника без соответствующих ограничений. В идеале такой метасправочник должен функционировать как некая абстракция, отображающая тем не менее реальную организационную иерархию. Используя псевдонимы для обозначения первичных объектов-пользователей, импортированных из разных управляемых справочников, Zoomit VIA Server объединяет полученные из них идентичные объекты (такие, как индивидуальные объекты-пользователи) в единый объект метасправочника. После объединения с помощью Zoomit VIA Server возможно управлять объектами и тиражировать изменения как самих объектов, так и их атрибутов.

Для пересылки атрибутов между справочниками в Zoomit VIA Server применяются агенты управления. Именно здесь и начинаются все сложности. Используя это ПО, можно организовать несколько параллельных потоков для пересылки атрибутов из различных источников. В отличие от простых средств синхронизации служб справочника, в которых внесенные в один справочник изменения тиражируются и пересылаются всем остальным, в Zoomit VIA Server учтена специфика крупных организаций, имеющих несколько первичных источников информации, и предоставлена возможность применять их для назначения соответствующих атрибутов.

Предположим, вашей организации необходимо автоматизировать процесс создания пользовательских бюджетов в нескольких службах, включая Windows NT/Exchange, NDS и Lotus Notes. Основная информация о новых и уволенных сотрудниках поступает от отдела кадров, он и будет играть роль первичного источника информации при создании/удалении бюджетов, назначении персональных идентификационных номеров, проверке правописания личных имен и т. д. Другая информация, например о расположении рабочих мест, поступает от службы эксплуатации зданий и сооружений, о номерах телефонов — от службы связи (чаще всего из списка абонентов офисной АТС), индивидуальные сведения о каждом сотруднике, например номер его домашнего телефона, — непосредственно от самих пользователей.

Каждый агент управления справочником Zoomit VIA Server может работать в одном из трех режимов: отражения, создания или ассоциации, которые определяют основные направления информационных потоков по отношению к агенту. Кроме того, Zoomit VIA Server поддерживает параллельные потоки данных (пользовательских атрибутов), что облегчает управление входящей и исходящей информацией метасправочника.

Для наших целей — тиражирования информации между NDS, Windows NT и Microsoft Exchange — возможности Zoomit VIA Server оказались избыточными. К тому же приверженность фирмы Zoomit протоколу LDAP как средству доступа к NDS вместо использования для этого “родных” протоколов вызвала у нас раздражение, поскольку нам пришлось прибегнуть к помощи LDAP-шлюза фирмы Novell. Наконец, пользовательский интерфейс программы показался нам несколько запутанным — на экране то и дело появлялись фрагменты макрокода и сценариев функционирования агентов управления.

Не успели мы завершить тестирование, как фирма Zoomit выпустила бета-версию второго поколения своего продукта Zoomit VIA Server 2.0 с улучшенными интерфейсом пользователя и средствами управления DNS и DHCP.





  
5 '1999
СОДЕРЖАНИЕ

колонка редактора

• С компьютерным новым годом!

локальные сети

• Об NT по существу: «Ну перенесите же приложения на Linux!»

• Тестируем консолидированные серверные системы

• Эти разные, разные устройства FC-AL

• Комфорт для людей и машин

• Наведение порядка в распределительных шкафах

• Огнеупорные материалы — необходимый атрибут любой сетевой инфраструктуры

интернет и интрасети

• Его величество потребитель

• Четыре среды разработки Java для проектов уровня предприятия

• Механизмы, балансирующие нагрузку Web-узлов

защита данных

• Когда лекарство опаснее самой болезни

• Не слишком ли хороши биометрические устройства?

корпоративные сети

• Беда нечаянно нагрянет...

• Метасправочники обеспечат синхронизацию информации о пользователях

• Анализаторы протоколов АТМ и Gigabit Ethernet: главные баталии еще впереди

• Средства системного мониторинга уровня предприятия

услуги сетей связи

• Интегрированные сети — технологии и политика

• Службы многоадресной рассылки факсов: экономия плюс эффективность

• Системы LMDS: хороший шанс и

• Война параллельных миров: научная конференция под эгидой Госкомсвязи

новые продукты

• Новые анализаторы спектра новой измерительной компании; Драйвер персональной сетевой защиты IP-LIR; NSG-500 мал да удал!



 Copyright © 1997-2007 ООО "Сети и Системы Связи". Тел. (495) 234-53-21. Факс (495) 974-7110. вверх