Adresářová služba Novell eDirectory

Ing. Oldřich Přichystal

K nezbytným základním součástem síťových operačních systémů patří adresářové služby a správa identity. Zajišťují totiž v počítačových sítích správu uživatelů a síťových prostředků. Mezi současnými produkty společnosti Novell zastává tuto roli prostředek označovaný Novell eDirectory. Jedná se o špičkovou adresářovou službu, která je mimo jiné multiplatformní, tzn. použitelná v různých operačních systémech. Je tedy zajímavá nejen pro dosavadní uživatele NetWare, ale také pro uživatele platforem Linux/Unix a Windows. Ve všech těchto prostředích je schopna působit jako významný integrující prvek.

Adresářová služba eDirectory i její předchůdce NDS (Novell Directory Services) jsou založeny na celosvětovém standardu X.500 doporučeném organizacemi CCITT a OSI. Služba NDS se objevila poprvé v systému NetWare 4 (rok 1993). eDirectory pak přišla na scénu v NetWare 5.1 (rok 2000) jako alternativa k NDS, přičemž v následujících systémech NetWare 6 a NOES (Novell Open Enterprise Server) již představuje jejich standardní systémový Adresář.

Základní vlastnosti eDirectory

Službu eDirectory je možné chápat jako databázi, která udržuje informace o součástech počítačové sítě (tzn. o uživatelích, serverech, tiskárnách, licencích, aplikacích, politikách apod.). Ty jsou pak přístupné operačnímu systému (různým platformám), administračním nástrojům i kompatibilním aplikacím (např. GroupWise, ZENworks). eDirectory významně zjednodušuje správu sítě. Díky ní lze všechny prostředky sítě spravovat z jednoho místa a jednotnými nástroji. Jedná se o velmi výkonný, vyzrálý a bezpečný prostředek.

K základním rysům eDirectory patří objektovost, otevřenost, hierarchičnost, globálnost, distribuovatelnost a multiplatformnost. Zmíněnou objektovostí se rozumí skutečnost, že informace o součástech sítě jsou udržovány ve formě objektů a jejich vlastností. Množina typů těchto objektů a jim příslušných vlastností (tzv. schéma eDirectory) je přitom otevřená, lze ji tedy rozšiřovat a upravovat dle potřeby. Jednotlivé definované objekty jsou umísťovány do hierarchické struktury nazývané strom eDirectory (obr. 1). Jejich pozice v této struktuře pak není bezvýznamná, vhodné umístění usnadňuje uživatelům přístup k síťovým prostředkům, ovlivňuje čerpání licencí apod. eDirectory má také globální platnost, takže objekty, jež jsou v ní definovány, platí v prostředí celé sítě a nikoli jen na hostitelském serveru. Databázi eDirectory lze též distribuovat. Jednak je možné ji udržovat ve formě několika vzájemně synchronizovaných kopií na různých serverech a zvýšit tak její zabezpečení před haváriemi, jednak ji lze rozdělit na několik menších vzájemně souvisejících částí a snížit tím zatížení sítě od režijní komunikace (důležité především v sítích WAN).

Asi nejvýznamnějším rysem eDirectory je však její multiplatformnost. Je možné ji implementovat a používat jak v původním prostředí NetWare, tak i na jiných operačních platformách. V současnosti se jedná konkrétně o SUSE Linux, Red Hat Linux, Solaris, AIX, HP-UX a Windows NT/2000/2003 Server. eDirectory se tak dostala se do role ojedinělého prostředku, jehož prostřednictvím lze realizovat jednotnou centrální správu heterogenních sítí. Konkrétním příkladem této skutečnosti je heterogenní síťová platforma NOES, jejíž základnu tvoří systémy Novell NetWare 6.5 a SUSE LINUX Enterprise Server 9.

Instalace

Adresářovou službu eDirectory je možné získat jednak jako standardní součást systémů NetWare a NOES, jednak jako samostatný produkt, který lze instalovat i do prostředí Linux/Unix a Windows. Koncepce eDirectory, podstata její správy i poskytované služby jsou na všech platformách stejné, způsob instalace se však poněkud liší.

V případě systémů NetWare a NOES se eDirectory instaluje automaticky v průběhu jejich standardního generování. V rámci instalace se uvádějí základní parametry potřebné při vytváření eDirectory, např. zda se jedná se o generování prvního serveru v síti nebo již síť a její eDirectory existuje, dále se zadává jméno stromu eDirectory, umístění objektu reprezentujícího server ve stromu, jméno a heslo správce sítě, parametry pro synchronizaci času v síti apod.

V případě platformy Windows se v roli adresářových služeb používá standardně Active Directory. Důvodem pro její nahrazení službou eDirectory mohou být přednosti druhé z právě zmíněných, např. vyšší vyzrálost, multiplatformnost a možnost vytvářet ve spojení s Novell DirXML systémový metaadresář. eDirectory se na servery Windows instaluje dodatečně z instalačního CD „Novell eDirectory“ nebo si lze pro účely testování stáhnout příslušný balíček z www.novell.com. Po spuštění instalace autorunem nebo přes setup.bat se zadávají obvyklé parametry. Pro bezproblémový průběh instalace je třeba mít na serveru instalovaného Novell-klienta, součást NICI, v síti konfigurované SLP a instalaci provádět do diskové oblasti NTFS (nikoli FAT).

Na platformě Linux se k instalaci používá utilita nds-install, kterou lze nalézt v adresáři Setup instalačního CD nebo testovací sady stažené z Internetu. Prostřednictvím zmíněné utility se instalují balíčky, jež náleží požadovaným součástem. Takto lze instalovat např. součásti eDirectory server, eDirectory administration utilities apod. V SUSE Linux lze pro účely zmiňované instalace použít v současnosti už i nástroj YaST.

Co se týče nároků, jež klade eDirectory na hardware serverů, lze vycházet z následující informace. Na všech třech zmíněných operačních platformách se za typickou konfiguraci považuje v případě eDirectory spravující 100 000 objektů server s procesorem Pentium III 450–700 MHz, RAM 348 MB a volným prostorem na disku 144 MB. Pro 10 milionů objektů je to pak dvou až čtyřprocesorový server, který má Pentium III 450–700 MHz, RAM alespoň 2 GB a prostor na disku 15 GB.

Správa eDirectory

Činností, které lze v rámci správy eDirectory provádět, je celá řada. Pro získání základní představy si je zde můžeme rozdělit např. do následujících skupin:

• Správa objektů eDirectory,
• správa oblastí a kopií eDirectory,
• údržba eDirectory a řešení problémů.

Do první zmíněné skupiny, tzn. správy objektů eDirectory, řadíme takové činnosti, jako je vytváření a rušení objektů (např. uživatelů, kontejnerů), určování jejich umístění ve stromu, zadávání jejich vlastností, stanovení přístupových práv apod. Jedná se o běžné každodenní operace, jež se týkají informací uložených v eDirectory.

Skupinu správa oblastí a kopií eDirectory tvoří již závažnější činnosti, které se provádí jen občas a ovlivňují především strukturu eDirectory. Najdeme zde operace s oblastmi eDirectory (tzn. jejich vytváření, přemísťování či rušení) i operace s kopiemi (vytváření, změna typu, rušení). Lze sem řadit také operace se servery (např. zařazení serveru do sítě), úpravy schéma apod.

V poslední skupině, tzn. údržbě eDirectory a řešení problémů, pak najdeme činnosti zaměřené na předcházení problémovým stavům eDirectory a jejich řešení v případech, když nastanou. V rámci údržby zde můžeme jmenovat optimalizaci výkonnosti eDirectory, její udržování v korektním stavu, monitorování a zálohování. Při řešení problémů se pak užívají operace, jako je oprava lokální databáze eDirectory, oprava či násilné zrušení kopií, násilné zrušení serveru v síti apod.

Nástroje pro správu

Pro realizaci činností souvisejících se správou eDirectory je k dispozici řada nástrojů. Nejvýznamnější místo mezi nimi zaujímá webová utilita iManager (obr. 2, bližší viz článek „iManager – hlavní nástroj správců sítí NOES“). Jejím prostřednictvím lze spravovat eDirectory umístěnou na libovolné operační platformě (NetWare, Linux/Unix, Windows), a to i na dálku (tzn. přes Internet), odkudkoli (pomocí webového prohlížeče) a komplexně (umožňuje provádět většinu operací týkajících se správy).

Co se týče dalších nástrojů pro správu eDirectory, nejvíce jich nalezneme z historických důvodů na platformě NetWare. Mezi ty nejznámější patří např. klasická Windows utilita NetWare Administrator sloužící ke správě objektů. Komplexnějším nástrojem je pak javová utilita ConsoleOne, která umí navíc i správu oblastí a kopií eDirectory. Pro účely zálohování se používá Enhanced SBackup, diagnostiku umožňuje nlm-modul DSDiag, k řešení problémových stavů slouží DSRepair atd. Nástroje obsažené v systému NetWare jsou pochopitelně k dispozici i v prostředí heterogenní síťové platformy NOES.

Po instalaci eDirectory do prostředí Linux/Unix jsou i zde k dispozici nástroje pro její správu. Jedná se především o příkazy ndsconfig (konfigurace eDirectory), ndsimonitor (monitorování a diagnostika), ndsrepair (řešení problémů) a ndsbackup (zálohování). V SUSE Linux lze pro správu eDirectory použít i známý YaST.

Poté, co je eDirectory umístěna pomocí základního instalačního balíčku na platformu Windows, přibudou i zde prostředky pro její správu. Je to jednak již zmíněná javová utilita ConsoleOne, jednak sada nástrojů ve formě dlm-modulů. Tyto moduly, např. DSBrowse (prohlížení stromu eDirectory), DSRepair (řešení problémů) apod., jsou přístupné přes složku Control Panel a ikonu Novell Directory Services. Pokud se doinstaluje balík eDirectory Web Applications, je k dispozici i iManager.

V závěru tohoto odstavce si zaslouží alespoň kratičkou zmínku ještě několik dalších významných nástrojů. Jedná se např. o utilitu Novell Import Conversion Export Utility (ICE) umožňující importovat a exportovat eDirectory, eDirectory Service Manager poskytující informace o dostupných službách eDirectory včetně jejich stavu a eDirectory Backup eMTool sloužící k zálohování (bližší viz článek „Zajímavý nástroj pro zálohování eDirectory“). Všechny z nich jsou dostupné přes iManager.

Novinky v eDirectory 8.8

V současnosti je eDirectory k dispozici již ve verzi 8.8. Ta obsahuje řadu novinek a zdokonalení. Např. v oblasti instalace a upgrade umožňuje instalaci eDirectory do zadaného adresáře, na platformě Linux/Unix nabízí různé formáty instalačních balíčků apod. Dále přináší možnost realizovat více instancí eDirectory na jednom serveru, autentizaci do eDirectory i prostřednictvím SASL-GSSAPI (tzn. přes LDAP a Kerberos), univerzální hesla s rozlišováním velikosti písmen, prioritní synchronizaci eDirectory (např. pro okamžitou synchronizaci hesel), šifrování dat uložených a přenášených mezi eDirectory servery, zálohování přes LDAP (což poskytuje standardní rozhraní pro zálohovací aplikace třetích výrobců) atd.

Závěr

Adresářová služba Novell eDirectory je na současném softwarovém trhu významným produktem. Předurčuje ji k tomu jak vlastní funkce (tzn. realizace systémového Adresáře), tak i její multiplatformnost, vyzrálost, výkonnost, bezpečnost, otevřenost, podpora standardů atd. V portfoliu produktů společnosti Novell představuje strategickou součást.