Открытые стандарты службы Active Directory

Чтобы удовлетворить растущие запросы службы каталога в неизменно плюралистической вычислительной среде современного предприятия, Microsoft должен был включить открытые вычислительные стандарты в свои NOS и в свою реализацию службы каталога. Представляется все более вероятным, что, в конечном счете, серверное пространство средних и больших организаций будет содержать разнообразные системы NOS, выполняющиеся на различных типах серверных аппаратных средств. Серверное пространство может включать серверы Windows и Novell Netware, выполняющиеся на платформах Intel, UNIX-платформы, выполняющиеся на базе аппаратных средств RISC (компьютеры с сокращенным набором команд), и серверы рабочих групп семейства Linux, выполняющиеся на любых платформах, к которым могут приложить руки администраторы. Для реализации этих систем NOS должны взаимодействовать с помощью общего языка или языков. Потребность в общих языках является основой для вычислительной техники открытых стандартов. Вместо напряженных усилий, прилагаемых в рамках старой парадигмы однородной серверной среды, использующей закрытые (лицензированные) реализации службы каталога, вычислительная среда современных предприятий стремится быть объединенной сетевой службой.
В следующих двух разделах рассматривается пара открытых стандартов, на которых основана Active Directory: иерархия пространства имен Х.500 и протокол LDAP.


Иерархии Х.500

Стандарт пространства имен Х.500 (namespace) определяет то, как объекты сохраняются в Active Directory. Пространство имен Х.500 представляет собой иерархическую структуру имен, которая идентифицирует уникальный путь к контейнеру службы каталога. Он обеспечивает также уникальный идентификатор для каждого объекта в этом контейнере. Используя имя в стандарте Х.500 или идентификатор объекта (OID -Object Identifier), все объекты во всех структурах службы каталога могут быть уникально идентифицированы. Служба каталога Active Directory основана на стандарте Х.500, и Microsoft включил в нее все основные (или оригинальные) заданные стандартом классы.
Этот пространство имен можно представлять или в точечной (dotted), т.е. числовой нотации, или в строковой (string). Например, идентификатор Х.500 OID, равный 2.5.4.10, является эквивалентом атрибута Organization-Name(Название организации) (с отображаемым LDAP-именем - «о»). Числовое представление класса этого объекта уникально
идентифицирует его в пределах иерархии Х.500, и таким образом объект становится уникальным. Объекты Active Directory могут быть также уникально идентифицированы с помощью строковой нотации Х.500, известной также как каталог взаимодействия открытых систем (OSI - Open Systems Interconnection). В строковой нотации пользовательский объект может быть представлен как:
cn=Karen Friske, cn=Users, dc=Contoso, dc=com
Чтобы удовлетворить требованию уникальности в пространстве имен Х.500, в контейнере Users (Пользователи) в домене Contoso.com может быть только одно имя Karen Friske. Однако могут существовать другие учетные записи пользователя Карен Фриск в организации Contoso. Имя Х.500 включает название контейнера, в котором найдена учетная запись пользователя (типа OU), и дает возможность названию учетной записи пользователя быть уникальной. Строковое представление пространства имен Х.500 определено в документе Request for Comments (RFC) 1779, который доступен на сайте http://www.faqs.org/rfcs/rfcl779.html.
Чтобы посмотреть идентификатор Х.500 OID, можно использовать или оснастку (snap-in) Active Directory Schema (Схема Active Directory), или оснастку ADSI Edit (Редактор ADSI). Чтобы посмотреть идентификатор Х.500 OID для атрибута Organization-Name, откройте контейнер схемы с помощью ADSI Edit и прокрутите вниз до названия атрибута: CN=Organization-Name. На рисунке 1-3 показан идентификатор attributelD (имя Х.500) атрибута http://Organization-Name.

Гетерогенныесетевыесреды

Должным образом спроектированная и сконструированная гетерогенная сетевая среда невидима для конечных пользователей. Другими словами, пользователи не должны замечать, что сетевые услуги, на которые они полагаются в своей работе, выполняются на разнообразных серверных платформах. Они должны иметь возможность использовать общий набор инструментальных средств и приложений для взаимодействий как в частной, так и в общественной сети (интернет). Одним из ключевых моментов в реализации невидимой гетерогенной сетевой среды является выбор центральной службы каталога, которая поддерживает единую регистрацию, например, службы Active Directory Windows Server 2003. В противном случае пользователи должны обеспечивать верительные грамоты учетной записи для каждой операционной системы, к которой они хотят обратиться. Типичными примерами гетерогенной вычислительной среды являются:

  • операционные системы для настольных компьютеров семейства Windows, выполняющие разнообразные совместимые приложения, которые все дают одно и то же впечатление и ощущение от своей работы, и поэтому не требуют, или требуют в незначительной степени, переподготовки для своего использования;
  • сетевые операционные системы семейства Windows или Novell, выполняющиеся на серверных аппаратных средствах Intel или в гибридной среде с одним поставщиком NOS для службы каталога и другим - для серверов приложений и членов системы. Для традиционной модели обработки данных типа клиент-сервер, популярной в современных отделах корпоративных информационных технологий (IT), предпочтительны основные системы NOS. Выбирая версию этих операционных систем так, чтобы она удовлетворяла открытым стандартам, можно получить успешную гетерогенную среду обработки данных. Windows 2000 Active Directory, Windows Server 2003 Active Directory, Novell Directory Services в системе Novel Netware 5 и более поздние основаны на архитектуре открытого стандарта для инфраструктур службы каталога;
  • доменная система имен (DNS) под UNIX, протокол DHCP (Dynamic Host Configuration Protocol - протокол динамической конфигурации хоста), брандмауэр/прокси (firewall/proxy) или сервер NAT (Network Address Translation - преобразование сетевых адресов), выполняющийся на серверных аппаратных средствах RISC. Некоторые (или все) виды обеспечения интернет-взаимодействий на предприятии могут поддерживаться UNIX-серверами. Так как службы интернета выполнены в открытом стандарте, то нет никакого основания требовать, чтобы службы, поддерживающие доступ к интернету, имели определенный тип;
  • файлы под Linux или прикладной сервер, выполняющийся на сервере с младшей моделью Intel или RISC. Среда Linux, часто развертываемая в объеме, нужном для разработки или тестирования, предлагает возможный маршрут для обеспечения сетевых услуг, не являющихся критически важными и ответственными. Такая Linux-среда была бы доступна тем, кто использует Windows-приложения через протокол SMB (Server Message Block - блок серверных сообщений). Конечный пользователь не осознавал бы, что эти ресурсы находятся не на Windows-сервере.