Rozdział 7. u Usługi Active Directory 59
Spróbuj wyobrazić sobie idealny sieciowy system operacyjny. System taki pracowałby na w pełni kompatybilnym sprzęcie, bez potrzeby ciągłego monitorowania i korygowania ustawień. Udostępniałby stabilne, bezpieczne i elastyczne środowisko, wymagające od użytkownika minimalnego nakładu pracy potrzebnej do zarządzania aplikacjami. Dodatkowo wszystkie aplikacje mogłyby pracować na każdym typie komputera — serwerze plików, serwerze aplikacji, serwerze sieci Web, serwerze bazy danych, stacji roboczej, stacji sieciowej przechowującej dane, laptopie, komputerze podręcznym, bramce zdalnego dostępu, głównej bramce sieciowej i ekspresie do kawy.
Klasyczny system NT z pewnością nie jest systemem idealnym, lecz posiada pewne zalety, których nie można nie docenić. Nie jest on oczywiście tak stabilny jak NetWare, skalowalny jak UNIX, przyjemny w zarządzaniu jak Banyan i tani jak LANtastic, lecz z pewnością nie można mu zarzucić braku elastyczności. Klasyczny system NT może pracować zarówno na komputerach przenośnych 486, jak i na olbrzymich stacjach wartych 200 tysięcy dolarów. Dzięki swojej elastyczności NT jest ulubieńcem menedżerów różnych korporacji przemysłowych — jest stosunkowo niedrogi, może pracować na różnych stacjach roboczych, a przede wszystkim zapewnia odpowiednie rozwiązania.
Będąc administratorem klasycznego systemu NT, nie mogę powiedzieć, że zarządzanie nim jest bliskie ideału. Głównym tego powodem jest jego „zdolność” do skalowania. Sieciowy system operacyjny nie może być uznawany za skalowalny, jeżeli wraz ze wzrostem liczby serwerów i użytkowników sieci zwiększa się ilość koniecznych czynności administracyjnych. Teoretycznie jedna domena NT może obsługiwać 20 albo 30 tysięcy użytkowników i ich stacji roboczych. Natomiast sieć z wieloma domenami głównymi może obsługiwać cztery albo pięć razy więcej użytkowników. Dzięki temu sieciowe systemy NT mogą być wykorzystywane w olbrzymich organizacjach. Patrząc jednak na tę właściwość z punktu widzenia administratora, z łatwością można znaleźć różnice pomiędzy pojęciem skalowania i rozciągania sieci komputerowych.
W klasycznym systemie NT można zauważyć wiele cech, które ograniczają jego skalowalność. Jeżeli kiedykolwiek przystępowałeś do egzaminu ubiegając się o certyfikat znajomości systemu NT, z pewnością pamiętasz arkana modeli domeny NT bazujących na bizantyjskim sposobie zaufania i scenariuszach implementacji przypominających operę mydlaną — „Dział Sprzedaży ma zaufanie do działu Kadr, lecz nie ma zaufania do działu Księgowości; w jaki sposób możesz udostępnić księgowej dane sprzedaży tak, aby mogła zdać relację dyrektorowi firmy?”.
Można śmiało powiedzieć, że jedną z głównych rzeczy brakujących w klasycznym NT jest usługa katalogowa, wspomagająca obsługę sieci zawierającej setki tysięcy użytkowników. Właśnie ta właściwość, pod nazwą Active Directory (aktywny katalog), została udostępniona wraz z Windows 2000. Spróbujmy zapoznać się zatem ze środowiskiem oraz szczegółami architektury i interfejsów usługi Active Directory.
Usługi katalogowe można porównać do sportowych samochodów BMW — nie zauważasz ich, dopóki sam nie zaczynasz marzyć o zakupie BMW. Z usługami katalogowymi spotykamy się na co dzień. Przykładowo, jedną usługą katalogową, która stale leży obok mojego telefonu, jest książka telefoniczna. Usługa katalogowa książki telefonicznej zawiera wpisy wszystkich organizacji w województwie. Każdy wpis posiada atrybuty główne, jak Nazwa, Adres, Numer telefoniczny oraz atrybuty dodatkowe dostarczające szczegóły takie, jak produkty, mapy, slogany itp.
Każda usługa katalogowa bazuje na pewnych zasadach określających rodzaj informacji, które mogą być przechowywane w katalogu oraz sposób ich przechowywania. Na przykład, wpisy w książce telefonicznej podzielone są na kategorie typu „Adwokaci i radcy prawni”, „Restauracje”, „Teatry” itp. Określone są również zasady dotyczące sposobu dostępu do usługi katalogowej. Przykładowo, może istnieć zasada typu: „Jeżeli po awarii samochodu na autostradzie użytkownik próbuje uzyskać dostęp do katalogu znajdującego się w budce telefonicznej na przydrożnej stacji benzynowej, przy czym użytkownik posiada jedynie 10 groszy, wszystkie wpisy w części „Motoryzacja — serwis i naprawa” powinny zostać usunięte”.
Sieciowe usługi katalogowe są trochę bardziej skomplikowane niż książka telefoniczna, lecz główna koncepcja zostaje zachowana. Katalog przechowuje, organizuje i odzyskuje informacje dotyczące danego obiektu w sieci. Oznacza to, że zawiera odpowiednie wpisy dla użytkowników, grup, stacji roboczych, serwerów, założeń, skryptów, drukarek, kwerend, przełączników, ruterów i wszystkich pozostałych rzeczy związanych z siecią komputerową. Przykładowo, rozproszone aplikacje przechowują w usłudze katalogowej informacje o użytkownikach i stacjach roboczych, tak aby bezproblemowo można było z nich korzystać na różnych komputerach sieciowych. Narzędzia umożliwiające współpracę grupową bazują właśnie na Active Directory. Zadaniem usługi katalogowej jest określenie założeń kontrolujących prawa dostępu, protokoły, ścieżki przesyłu danych i jakość usługi. W trakcie działania usług katalogowych, my, administratorzy, możemy usiąść spokojnie w fotelu jak George Jetson i przyglądać się postępowi całej operacji.
I to wszystko? Cóż... generalnie tak, z wyjątkiem tylko faktu, że George Jetson nie musi diagnozować i naprawiać zniszczonych baz danych, które mogą być przyczyną nieprawidłowej pracy całego systemu. Zanim będziemy się rozkoszować działaniem usług katalogowych, należy je jednak najpierw utworzyć. W tym celu z pewnością warto odpowiedzieć sobie na kilka pytań: w jaki sposób działa usługa katalogowa? dlaczego działa akurat w ten sposób? w jaki sposób może ulec awarii i jak należy ją wówczas naprawić? Rozpocznijmy jednak od przedstawienia krótkiej historii powstania usługi katalogowej.
Historia rzeki Mississippi rozpoczyna się od niewielkiego jeziorka leżącego w górnych partiach stanu Minnesota. Historia usług katalogowych rozpoczyna się od niewielkiego dokumentu X.500 — Katalog Dane Sieciowe i Otwarty System Komunikacyjny(Data Networks and Open System Communications — Directory). Do rozwoju usług katalogowych przyczyniło się wielu producentów z całego świata. Przede wszystkim należy w tym miejscu wymienić Międzynarodową Unię Telekomunikacyjną (ITU — International Telecommunication Union). Zadaniem Unii jest osiągnięcie globalnej spójności telekomunikacyjnej. Jej członkami są producenci i dostawcy z ponad 130 krajów.
Gałęzią Unii odpowiedzialną za usługi katalogowe jest Sektor Standaryzacji Telekomunikacji (Telecommunication Standarization Sector) nazywany w skrócie ITU-T. Natomiast pełna nazwa sektora brzmi Comite Consultatif International Telephonique et Telegraphique (CCITT). Sektor ITU-T rozsyła zalecenia do wszystkich telekomunikacyjnych placówek Unii. Zalecenia dotyczą bardzo szerokiego pola działania — począwszy od wymagań transmisji, a skończywszy na testach dla urządzeń faksujących. Wszystkie zalecenia są grupowane w serie. Na przykład seria V zawiera dane dotyczące komunikacji poprzez sieć telefoniczną i opisuje przy tym takie znane standardy jak V.34 (Wideband Analog Modem Communication — Szerokopasmowa komunikacja analogowa poprzez modem) czy V.90 (Connecting Analog to Digital Modems — Łączenie analogowych i cyfrowych modemów). Seria X, w skład której wchodzi dokument X.500, zawiera natomiast zalecenia dotyczące usług katalogowych i udostępnia przy tym szereg różnych danych sieciowych i otwartych systemów komunikacyjnych, jak np. X.25 (sieci wymiany pakietów), czy X.400 (systemy przesyłania komunikatów). Pełna lista zaleceń Unii jest dostępna pod adresem www.itu..int/publications/itu-t/itutx.htm.
Sektor ITU-T nie ustala standardów, lecz jedynie określa ich zalecenia. Określenie międzynarodowego standardu wymaga zgody ISO (International Organization for Standarization — Międzynarodowa Organizacja Normalizacyjna). W przeciwieństwie do Unii (ITU), której członkami są dostawcy przemysłowi, członkami ISO są przedstawiciele narodowych organów standaryzacji. Jednym z członków jest na przykład Amerykański Narodowy Instytut Normalizacji (ANSI — American National Standards Institute). ISO posiada swoją witrynę internetową pod adresem www.ISO.ch. Rozszerzenie ch oznacza, że witryna znajduje się w Szwajcarii.
Źródło nazwy ISO
Być może zaciekawił Cię fakt, że skrót ISO nie pasuje do nazwy „International Organization for Standarization”. Otóż ISO nie jest skrótem. Pochodzi od greckiego wyrazu isos, oznaczającego równy. Nazwa nie została zaczerpnięta od amerykańskiego skrótu, aby uniknąć w ten sposób pewnego zamieszania. Gdyby każde państwo tłumaczyło na swój język nazwę International Organization for Standarization, a następnie próbowało utworzyć z niego skrót, mogłoby powstać naprawdę spore zamieszanie.
Zadaniem ISO jest ustalenie standardów prawie we wszystkich dziedzinach przemysłowych — począwszy od standardu jakości ISO 9000, a skończywszy na standardzie rozmiaru papieru ISO 216. W przemyśle sieciowym najbardziej znanym jest ISO 7498, Information Technology — Open System Interconnection — Basic Reference Model (Technologia informacyjna – Połączony system otwarty — Podstawowy model odniesienia), lepiej znany jako model OSI. Standardy ISO dotyczące technologii komunikacyjnej są często publikowane wraz z zaleceniami ITU-T. Na przykład, standardem ISO równoległym do zalecenia ITU-T X.500 dla usług katalogowych jest ISO 9594, Information Technology — Open System Interconnection — The Directory (Technologia informacyjna — Połączony system otwarty — Katalog). Ponieważ ISO określa standard, a ITU-T określa zalecenia, nazwa „Standard X.500” wydaje się być niewłaściwa. Jednak z tego powodu, że oba dokumenty są niemalże identyczne, nazwa jest powszechnie używana. W tej książce zamieszczone zostały informacje związane ze standardem X.500/ISO 9594.
ISO jest wiodącym standardem na świecie, lecz należy pamiętać, że nie jest jedynym standardem. W dziedzinie komunikacji dominują dwa standardy — ISO oraz IEC (International Electrotechnical Commision — Międzynarodowa Komisja Elektrotechniczna). IEC określa standardy jedynie dla produktów elektronicznych, magnetycznych, elektromagnetycznych, elektroakustycznych, telekomunikacyjnych oraz podziału energii. ISO i IEC ustalają terminologię, symbole, projekty, rozwój i bezpieczeństwo, standardy środowiskowe, miary, wydajności i niezawodności. Instytut ANSI jest również członkiem IEC. Zarówno ISO, jak i IEC mają swój wkład w publikacji ITU dotyczących standardu usługi katalogowej. Więcej informacji dotyczących IEC znajdziesz pod adresem www.IEC.ch.
W Stanach Zjednoczonych głównym organem określającym standardy jest ANSI, jakkolwiek istnieje wiele mniejszych organów doradczych. Nie powinno to nikogo dziwić w kraju, w którym miliony ludzi codziennie dzwoni do telewizji, udzielając rad kompletnie obcym osobom na temat ich życia seksualnego. W związku ze standardem X.500/9594 najbardziej wpływowym organem doradczym jest IETF (Internet Engineering Task Force — Grupa robocza ds. technicznych sieci Internet). Więcej informacji na temat IETF można znaleźć w Internecie pod adresem www.IETF.org. W skład grupy IETF wchodzą dostawcy, badacze, projektanci i „szaleni” indywidualiści, którzy pracują nad udoskonaleniem działania Internetu. Część grupy zajmuje się tzw. przetwarzaniem standardów internetowych (Internet Standards Process). Jej działalność polega na próbach obalenia nowo powstałych pomysłów internetowych — te pomysły, które pomyślnie przechodzą próby, zostają zaakceptowane.
Przebieg przetwarzania standardów internetowych jest dostępny w dokumentach RFC (Request for Comments). Tylko niewielka część nowych pomysłów internetowych zostaje uznana za standardy. W RFC 2400 „Internet Official Protocol Standards” znajdziesz wykaz dokumentów RFC śledzących przyznawanie standardów. Oprócz RFC w Internecie dostępne są również inne dokumenty, jak Internet Draft, Standard Track itp. Wiele dokumentów znajdziesz na stronie IETF. Osobiście polecam mechanizm wyszukiwania dokumentów zlokalizowany pod adresem www.normos.org.
Grupa IETF może omijać wiele standardów ISO/IEC i zaleceń ITU, jeżeli stwierdzi, że konieczne jest rozesłanie w świat pomocnych protokołów. Przykładem jest protokół LDAP (Lightweight Directory Access Protocol — protokół prostego dostępu do katalogu). Protokół LDAP jest uproszczoną wersją usługi katalogowej X.500. Daje on podstawy dla usługi Active Directory, jak również dla innych usług katalogowych, takich jak np. Netscape Directory Services. Nie ma natomiast standardu ISO dla protokołu LDAP oraz zaleceń ITU. LDAP bazuje na dokumentacji stricte internetowej. Usługa katalogowa Active Directory zawiera najaktualniejszą wersję protokołu LDAP — wersję 3. — udokumentowaną w RFC 2251 „Lightweight Directory Access Protocol v3”. W dokumencie tym zostały rozszerzone informacje z RFC 1777 — „Lightweight Directory Access Protocol”, dotyczące pierwotnej wersji protokołu LDAP.
Pomimo że LDAP nie jest dokładną implementacją X.500, jego większa część pochodzi właśnie z X.500. Dlatego też przed dokładnym przedstawieniem protokołu LDAP zapoznajmy się z X.500.
Celem zaleceń ITU i standardu X.500/ISO-IEC 9594 jest przedstawienie uniwersalnej strategii dotyczącej przechowywania, rozprzestrzeniania i uzyskiwania dostępu do informacji użytkownika. W usłudze katalogowej X.500/9594 znajdują się wszystkie niezbędne informacje o użytkownikach, systemie informacyjnym oraz usługach wspomagających system.
Rozprzestrzeniony charakter przechowywania informacji w usłudze katalogowej jest niezbędny do udostępniania informacji wszystkim uprawnionym klientom sieci. Praca z jedną bazą danych powielaną do wielu serwerów byłaby prawie niemożliwa. W usłudze katalogowej X.500 serwery zawierają części informacji całej bazy danych oraz bardzo złożony system odniesień do pozostałych serwerów, dzięki czemu możliwy jest dostęp do wszystkich informacji w bazie.
Struktura rozprzestrzenionego przechowywania informacji w usłudze katalogowej jest podporządkowana pewnej ustalonej organizacji. Prawidłowo zaprojektowane usługi katalogowe można przyrównać do uczelni, organów rządowych, przedsiębiorstw, czy też firm telekomunikacyjnych. Porównanie usługi do ligi piłki nożnej albo klubu brydżowego nie byłoby prawdopodobnie najtrafniejsze. Usługa katalogowa nie jest bazą danych ogólnego przeznaczenia. Możesz jednak oczywiście zastanowić się nad implementacją usługi zarządzającej trzema tysiącami sprzedawców, logujących się do terminali w punktach sprzedaży.
Magia protokołu X.500 polega na jego elastyczności w zarządzaniu przechowywanych informacji. Elastyczność jest jednak uzyskana kosztem złożoności usługi. Niestety, chcąc graficznie przedstawić organizację protokołów komunikacyjnych usługi katalogowej, trzeba posłużyć się „okropnym” żargonem informatycznym i olbrzymią ilością akronimów (skrót utworzony z pierwszych liter wyrazów dających pełną nazwę). Dokumentacja protokołu LDAP i usługi Active Directory jest pełna trzyliterowych skrótów i przedziwnych terminów informatycznych. Dzięki korzystaniu z tej terminologii można jednak w miarę przejrzysty sposób przedstawić organizację usług. Spójrz na rysunek 7.1.
Rysunek 7.1.
Składniki X.500 i ich protokoły komunikacyjne
n Informacje w katalogu X.500 są przechowywane w Katalogowej bazie informacyjnej (DIB — Directory Information Base).
n Baza DIB jest podzielona na części, które są uporządkowane według pewnej struktury hierarchicznej nazywanej Katalogowym drzewem informacyjnym (DIT — Directory Information Tree).
n Każda część bazy DIB jest przechowywana na serwerze nazywanym Katalogowym agentem usługi (DSA — Directory Service Agent).
n Użytkownik, chcąc uzyskać informacje z katalogu, wysyła żądanie poprzez interfejs aplikacji zwany Katalogowym agentem użytkownika (DUA — Directory User Agent).
n DUA komunikuje się z DSA za pomocą Katalogowego protokołu dostępu (DAP — Directory Access Protocol).
n DSA komunikują się pomiędzy sobą za pomocą Katalogowego protokołu systemowego (DSP — Directory System Protocol).
n Wymiana informacji administracyjnych pomiędzy agentami DSA jest kontrolowana przez zasady zdefiniowane w Katalogowym protokole zarządzania połączeniami operacyjnymi (DOP — Directory Operational Binding Management Protocol).
n Jedna Katalogowa organizacja zarządzania (DMO — Directory Management Organization) korzysta z Katalogowej domeny zarządzania (DMD — Directory Management Domain), zawierającej jednego albo kilku agentów DSA.
n Informacje przetrzymywane przez agenta DSA są replikowane do innych agentów DSA w tej samej domenie DMD za pomocą Katalogowego protokołu przepisywania informacji (DISP — Directory Information Shadowing Protocol).
n DAP, DSP, DISP i wszystkie pozostałe protokoły komunikacyjne wyższego poziomu w X.500 bazują na sieciowym modelu OSI zdefiniowanym w standardzie ITU X.200/OSI-EUI 7498.
Rysunek 7.2.
Diagram prostej warstwy X.500
Powyżej przedstawiony został sposób, w jaki elementy katalogu X.500 współpracują pomiędzy sobą. Wyobraźmy sobie, że właściciel komisu samochodowego zdecydował się na skorzystanie z X.500, aby za jego pomocą starannie przechowywać informacje o samochodach. W takiej sytuacji informacje dotyczące marki samochodu, modelu, roku produkcji, numerów identyfikacyjnych oraz najniższej ceny, za którą samochód może zostać sprzedany, będą przechowywane w bazie DIB. Każdy dealer jest przypisany do organizacji zarządzania DMO kontrolującej domenę DMD. Baza DIB w każdej domenie DMD jest utrzymywana przez przynajmniej jednego agenta DSA, który wymienia informacje z agentami DSA w innych domenach DMD za pomocą protokołu DOP. Dealerzy działający w tym samym rejonie posiadają osobnych agentów DSA, którzy replikują kopie własnych baz DIB pomiędzy sobą za pomocą protokołu DISP. Wszyst...
djmathew18