Home    |      FER     |      Zesoi    |      PVPRM   
 
 
 
 

Directory Services

 

Uvod

 

Svijet danas, promatrajuci ga iz informaticke perspektive, postaje sve više povezan pa se javlja potreba da informacije budu dostupne u bilo koje vrijeme sa bilo kojeg mjesta i pomocu bilo kojeg uredaja. Vecina današnjih javnih ustanova, tvrtki, korporacija, banaka te bilo kojih drugih organizacija ima izgradenu racunalnu mrežnu infrastrukturu. Ta je mrežna infrastruktura kod velikih korporacija, univerziteta i slicnih glomaznih ustanova veoma razgranata i kompleksna i cesto redundantna. Svaka mreža barata sa odredenim relevantim informacijama koje su brojnije kako mreža ekspandira. Te su informacije, koje primjerice opisuju razlicite korisnike, aplikacije , datoteke, printere i ostale resurse dostupne iz mreže, cesto pohranjene u više specijaliziranih baza podataka. Kako raste broj razlicitih mreža i aplikacija tako raste i broj tih specijaliziranih baza (direktorija) što na koncu rezultira stvaranjem informacijskih "otoka" koje je teško kontrolirati i kojima je teško upravljati. Kada bi se sve ove informacije mogle održavati, kontrolirati te njima upravljati na konzistentan i kontroliran nacin, tada bi one predstavljale "žarišnu tocku" za integriranje distribuirane okoline u konzistentan i cjelovit sustav- directory service

Obilježja racunalnih sustava današnjice :

  • Veliki broj resursa
  • Distribuiranost resursa
  • Razlicitost resursa
  • Konstantan porast u broju i velicini
  • Višestruki izvori nepovezanih resursa
  • Dostupnost 24*7
  • Zajamcena sigurnost
  • Proširivost
  • Low-cost administracija
  • Aplikacijski specificni direktoriji

 

Što je zapravo Direktorij ?

 

Jedna od definicija za direktorij je sljedeca :

"Direktorij je kolekcija otvorenih sustava koji medusobno kooperiraju kako bi cuvali logicku bazu informacija o skupovima objekata iz stvarnog svijeta"

Tehnicki gledano, direktorij je specijalizirana baza podataka u kojoj su pohranjeni razni mrežni objekti (resursi). Svaki takav objekt predstavlja fizicki objekt iz stvarnog svijeta. Primjeri objekata koji postoje u direktoriju su :

  • korisnicki objekt (user object)
  • objekt korisnicke grupe (user group object)
  • printer objekt
  • serverski objekt

Direktorij se razlikuje od ostalih baza podataka po tome što je optimiziran za operacije citanja i pretraživanja (read i search), ali ne i za cesto ažuriranje (write), dok je baza podataka optimizirana upravo za to. Takoder, direktoriji ne podržavaj transakcije kao što to podržavaju baze podataka.Svaki objekt unutar direktorija ima neka svoja svojstva ili atributa i vrijednosti koje su povezane sa tim svojstvima. Primjerice "user object" sadrži sljedeca svojstva:

  • korisnikovo ime i prezime
  • email adresa
  • broj telefona
  • odjel (department) u kojem radi
  • prava ili privilegije koje korisnik ima nad drugim objektima unutar direktorija

Svaki objekt unutar direktorija ima drugaciji skup svojstava (atributa) koji mu je dodijeljen. Primjerice "printer object" nece imati atribut "broj telefona". Direktorijska shema je dio direktorija koji odreduje tipove objekata, svojstva objekata i vrijednosti atributa koji su dozvoljeni u direktoriju.

Direktorij može biti centraliziran ili distribuiran. Ako je direktorij centraliziran onda postoji samo jedan poslužitelj koji omogucava pristup tom direktoriju. Pristup distribuiranom direktoriju je moguc preko više poslužitelja. Kod takvih se direktorija informacija koja je u njima pohranjena može particionirati i replicirati. Tako svaki poslužitelj sadrži svoj podskup ukupne informacije.

Današnji (meta) direktoriji su izgradeni na temelju X.500 i LDAP (Lightweight Directory Access Protocol) standarda odnosno protokola.

 

LDAP (Lightweight Directory Access Protocol)

 

LDAP je directory service protokol koji radi na TCP/IP protokolnom stogu. LDAP definira i nacin pristupa direktorijima ali i logicku organizaciju direktorija.

LDAP na definira informacijski model direktorija. Direktoriji sadrže informacije o objektima iz stvarnog života. Informacije koje opisuju pojedini objekt su pohranjene u jednom zapisu (engl. entry ). Zapis predstavlja osnovnu gradevnu jedinicu direktorija. On je skup tzv. name-value parova koje zovemo atributi . Atributi mogu imati samo jednu vrijednost – single-valued ili pak više vrijednosti – multi-valued atributi.

Objekti u stvarnom životu pokazuju odredenu slicnost pa kažemo da su pojedinog tipa. Princip grupiranja objekata unutar direktorija ostvaren je upotrebom objektnih razreda (engl. object classes ). Objektni razred opisuje koje sve atribute objekt može ( optional atributi) i mora ( mandatory atributi) imati.

Postoji mogucnost nasljedivanja razreda iz postojecih razreda. Podrazredi tako sadrže sve atribute nadrazreda te uz to mogu definirati i neke svoje atribute. Ovaj nam mehanizam omogucava izgradnju hijerarhije objektnih razreda.

LDAP takoder opisuje model imenovanja.Model imenovanja odreduje kako su zapisi organizirani i kako se mogu identificirati. Svi su zapisi unutar direktorija organizirani na hijerarhijski nacin te tako cine stablastu strukturu koja se zove Directory Information Tree ( DIT ). Svi se zapisi unutar DIT-a mogu identificirati pomocu jedinstvenog razlikovnog naziva Distinguished Name ( DN ). DN je dakle jedinstveno ime koje nedvosmisleno odreduje konkretan zapis. DN je sastavljen od serije relativnih razlikovnih zapisa Relative Distinguished Names ( RDN ). Svaki RDN unutar DN-a predstavlja dio DIT strukturepolazeci od korijena stabla pa do tog direktorijskog zapisa.

 

 

Što je Directory Service ?

 

Directory service je pojam koji objedinjuje sam direktorij zajedno sa mrežnim protokolima kojima pristupamo tom direktoriju. On služi za pohranjivanje i dohvacanje informacija u/iz direktorija u ime autoriziranih korisnika. Directory service je i service za lociranje informacija unutar direktorija.

Direktorijski service cine i popratne usluge i mehanizmi– ukratko : Directory service je kompletan sustav izgraden oko direktorija koji nam pruža fizicki distribuiran i logicki centraliziran repozitorij mrežnih objekata koji se koristi za upravljanje cijelom mrežom. Mrežni resursi kojima upravlja takav jedan directory service su : korisnici, aplikacije, pisaci, datoteke,radne stanice,poslužitrelji...

 

 

Zašto koristiti directory service ?

 

Directory Service predstavlja povjerljivi i autoritativni izvor podataka i pruža siguran, lokacijski neovisan pristup široko razbacanim Internet/intranet resursima koji su potrebni današnjim mobilnim korisnicima.

Prednosti directory service-a su sljedeće:

  • Pojednostavljuje mrežnu administraciju
  • Pojednostavljuje menadžment korisničkih naloga i lozinki
  • Unapređuje sigurnost
  • Proširuje interoperabilnost
  • Predstavlja tzv. META direktorij – direktorij opce namjene
  • Predstavlja autoritativni izvor za kontrolu pristupa

 

 

 

Active Directory

 

Active Directory je komercijalna implementacija directory service-a tvrtke Microsoft. Ovaj directory service se isporučuje zajedno sa microsoftovim mrežnim operativnim sustavima Windows 2000 i Windows 2003 te čini njihov temeljni dio. Ova implementacija će biti opisana jer je najzastupljenija na tržištu.

Active Directory ima više uloga: od one da predstavlja kicmu distribuirane sigurnosti unutar operativnog sustava, do mehanizma koji pruža okosnicu za publiciranje mrežnih servisa. Active Directory pruža centralni servis koji administratorima omogucava da organiziraju mrežne resurse i da osiguraju intranet i Internet mrežni pristup.To je mjesto sa kojeg se upravlja korisničkim nalozima,klijentima,serverima i aplikacijama.

U mrežnoj infrastrukturi koja se temelji na zadavanju politika (engl. policy-based network infrastructure), Active Directory dodatno služi kao "skladište" politika, mjesto gdje se one definiraju, održavaju i povezuju sa objektima.

Tvorci Active Directory-a iznose sljedece njegove karakteristike koje smatraju njegovim prednostima:

•  Integracija sa DNS-om. Active Directory koristi Domain Name System kao lokacijski servis. Active directory koristi DNS shemu imenovanja za imenovanje svojih domena.

•  Fleksibilni upiti . Postoji odreden broj standardnih Windows alata pomocu kojih je vrlo jednostavno pronaci bilo koji objekt (na temelji nekih kriterija) koji se nalazi u mreži

•  Mogucnost proširivanja . Active Directory je proširiv u smislu da administratori jednostavno mogu dodati nove razreda objekata u shemu kao i dodati nove atribute postojecim objektima azredima.

•  Policy-based administracija . Grupnu politiku (engl. group policy) cine konfiguracijske postavke koje se primjenjuju na korisnike ili racunala. Sve grupne postavke se nalaze u Group Policy objektima (GPO) i oni se mogu primjeniti na domene, site-ove i organizacijske jedinice

•  Replikacija informacija . Active Directory koristi multimaster replikacij, koja vam dozvoljava da ažurirate direktorij na bilo kojem domeskom kontroleru.

•  Sigurnost informacija . Menadžment korisnickih autentifikacija kao i kontrola pristupa (engl. access control) su potpuno ugradeni u Active Directory i predstavljaju kljucne sigurnosne mogucnosti .

•  Interoperabilnost . Obzirom da je Active Directory izgraden na standardnim protokolima za pristup direktoriju kao što je LDAP, on može medudjelovati sa drugim direktorijskim servisima koji takoder podržavaju ovaj protokol. Postoje i nekoliko API-a koji developerima omogucavaju pristup ovim protokolima

 

Primjer definicije korisničkog objekta (user object) u Active Directory-u.

 

 

Logicka organizacija Active Directory-a

 

 

Logicka struktura Active Directory je izgradena oko koncepta domena. Domena predstavlja logicko grupiranje racunala, korisnika i ostalih resursa zbog administrativnih i sigurnosnih razloga.
Active Directory domena je izgradena od sljedecih komponenata :

  • hijerarhijska struktura objekata i kontejnera (container objects) temeljena na X.500
    standardu (odnosno LDAP-u)
  • DNS servis kao jedinstveni identifikator odnosno servis za lociranje
  • sigurnosni servis kojim se autentificira svaki pristup odredenom resursu putem
  • korisnickog naloga (user account) unutar domene ili putem "trust" odnosa sa drugim
    domenama
  • jedna ili više politika (policy) koje odreduju prava korisnika i racunala unutar te
    domene

Svrha korištenja Active Directory domena je postizanje sljedecih ciljeva kod administriranja mreže:

  • Stvaranje administrativnih cjelina .Domena definira jednu administrativne
    cjelinu.Sigurnosne politike ( security policies ) i ostale postavke ( account policies i
    group policies ) ne prelaze granice jedne domene.Domene nisu u potpunosti izolirane
    jedna od druge i ne predstavljaju sigurnosne cjeline.Samo šuma (forest) stvara
    sigurnosnu cjelinu.
  • Repliciranje informacije. Domena predstavlja Windows direktorijsku particiju.Ove
    direktorijske particije su jedinice repliciranja (replication).Svaka domena sadrži
    informacije samo o objektima koji se u njoj nalaze.
  • Primjenjivanje grupne politike(group policy) .Domena predstavlja jednu od više
    mogucih opsega grupne politike (group policy se može primjeniti i na organizacijske
    jedinice ili site-ove).
  • Odredivanje administrativnih ovlasti (delegate administrative authority). Cilj je
    da se precizno odrede podrucja ovlasti pojedinih administratora.Tako primjerice
    podrucje ovlasti može biti organizacijska jedinica ili pak cijela domena.Obzirom da je
    domena administrativna granica,administrativne dozvole za jednu domenu su
    ogranicene samo na tu domenu.

 

Domenska stabla (domain trees) i šume (forests)

Windows 2000 & 20003 domene su organizirane u domenska stabla ( domain tree ) koja postoje unutar pojedine šume (forest). Kada instalirate Active Directory na prvi domain kontroler ujedno ste kreirali novu Active Directory šumu (forest), novo domensko stablo (domain tree) i korijensku domenu (root domain). Ako kasnije kreirate nove domene onda se one kreiraju ispod korjenske domene.

Domensko stablo možete zamisliti kao strukturu u kojoj se sve domene izvode iz korijenske domene. Ova struktura je u biti skup domena koje su medusobno hijerarhijski povezane i sve koriste jednu kontinuiranu shemu imenovanja odnosno koriste zajednicki prostor imena.

Šuma unutar Active Directory-a predstavlja distribuiranu bazu podataka,tj. bazu podataka koja je sastavljena od više djelomicnih baza podataka koje su rasporedene na više racunala.Svi domenski kontroleri unutar šume pored domenske baze podataka cuvaju i kopiju konfiguracijskih i shematskih kontejnera (Configuration and Schema containers). Domenska baza podataka je dio forest baze podataka.

Druga definicija šume je da je šuma jednostavno kolekcija jednog ili više domenskih stabala.Unutar šume se dakle mogu kreriati više domenskih stabala
Višestruka domenska stabla unutar jedne šume ne dijele zajednicki prostor imena. Iako stabla ne dijele isti imenski prostor, šuma ima jednu korijensku domenu – forest root domain. Ta domena je po definiciji prva domena koja je kreirana unutar šume.

 

Ostale mogućnosti Active Directory-a :

  • Omogućava Single Sign-On putem Kerberos protokola
  • Koristi DNS resource records kao i Dynamic updates
  • Kompatibilnost sa ne-Windows klijentima
  • Multimaster replikacija

 

 

 

Ostale implementacije Direktorijskih servisa

 

 

 

Zaključak

 

Directory service već danas čini okosnicu mnogih računalnih mreža. Za očekivati je da će u budućnosti i svi proizvođači operativnih sustava ugrađivati directory service u svoje proizvode. Obzirom da se računalne mreže neprestano šire i postaju kompleksnije za očekivati je da će u budućnosti biti nemoguće zamisliti modernu računalnu mrežu bez directory service-a.