Службы каталогов. Часть 2 - Реализации служб каталогов

В прошлой статье мы разобрались, что такое служба каталогов и какие преимущества можно получить от ее использования. Сегодня мы расскажем о существующих реализациях служб каталогов, их достоинствах и недостатках, чтобы вы могли осознанно сделать выбрать решение, которое наиболее полно удовлетворит ваши запросы.

Онлайн-курс по устройству компьютерных сетей
На углубленном курсе "Архитектура современных компьютерных сетей" вы с нуля научитесь работать с Wireshark и «под микроскопом» изучите работу сетевых протоколов. На протяжении курса надо будет выполнить более пятидесяти лабораторных работ в Wireshark.

Что такое LDAP?

Начнем, как всегда, с краткого ликбеза. Стандартом доступа к службам каталогов является протокол LDAP, на его базе построены практически все современные реализации служб каталогов. Использование LDAP позволяет унифицировать структуру записей каталога, что необходимо для совместимости продуктов различных производителей, поддержка LDAP гарантирует поддержку базовых возможностей любого современного сервера служб каталогов.

Любая запись каталога имеет уникальное имя - DN, которое в свою очередь состоит из относительного уникального имени - CN, раздела - OU и класса объекта - DC. Например запись:

1cn=SALES, ou=Отдел продаж, dc=example, dc=com

обозначает компьютер SALES, находящийся в Отделе продаж и входящий в домен example.com, при этом не имеет значения какую именно из служб каталогов вы используете, запись будет выглядеть одинаково в любом из них. Однако кроме протокола LDAP, многие реализации имеют собственные расширения, которые могут быть несовместимы с LDAP, что делает невозможным их использование программными продуктами не имеющими полной поддержки конкретной реализации.

Active Directory

LDAP-совместимая реализация службы каталогов от Microsoft, является наиболее функциональной и самой популярной для Windows сетей. Входит в состав Windows Server и не требует дополнительного лицензирования. Active Directory является основополагающей частью инфраструктуры Windows. Помимо LDAP поддерживает большое количество собственных расширений, таких как групповые политики, позволяющие централизованно и единообразно настраивать пользовательское окружение рабочих компьютеров, устанавливать, удалять и обновлять ПО. Легок в администрировании. Наиболее полно все возможности Active Directory раскрываются в сочетании с другими продуктами Microsoft.

OpenLDAP

Открытая, кроссплатформенная реализация LDAP, наиболее полно поддерживает все возможности протокола, в связке с Samba представляет хорошую альтернативу AD, однако не поддерживает расширенные возможности последней (самые значимые из них - групповые политики). Однако все богатые возможности омрачаются сложностью настройки и администрирования, которое производится с помощью конфигурационных файлов, что требует от администратора глубоких знаний и осложняет освоение продукта. Кроме того OpenLDAP имеет ряд проблем совместимости с AD, что затрудняет его использование в "смешанных" сетях, где имеются серверные продукты Microsoft.

OpenLDAP может являться хорошей заменой для AD в небольших сетях, а может стать большой головной болью для системного администратора, поэтому перед внедрением этого продукта мы советуем трезво оценить свои силы и знания, также не будет лишним пробное внедрение в тестовой среде.

389 Directory Server

Сервер каталогов корпоративного уровня разрабатываемый сообществом Fedora при поддержке Red Hat и входящий в коммерческие продукты последней. Ранее это проект назывался Fedora Directory Server, переименование связано с тем, что разработчики позиционируют продукт как универсальный, а не исключительно для Fedora / RHEL. Продукт, кроме всех возможностей LDAP предоставляет довольно удобные графические инструменты администрирования, в том числе и для Windows платформы, что делает его довольно простым в освоении, неплохо вписывается в Windows инфраструктуру.

Если вы собираетесь внедрять данный продукт, то следует помнить, что на сегодняшний день готовые пакеты существуют только для Fedora / RHEL, при использовании других дистрибутивов будьте готовы к решению проблем по установке собственными силами.

Apache Directory

Еще одна открытая реализация сервера каталогов от известного разработчика. Кроссплатформенн, так как написан на Java. Состоит из двух функциональных частей: сервера каталогов ApacheDS и средства администрирования Apache Directory Studio, которое отличительно тем, что поддерживает любой LDAP-совместимый сервер каталогов, а не только "родной". Это позволяет использовать данный продукт например для администрирования OpenLDAP, особенно ценной является возможность запуска средства Apache Directory Studio в среде Windows.

Apache Directory - крайне интересный продукт, предоставляющий администратору весьма широкие возможности, если вы ищете бесплатный сервер каталогов, мы бы советовали обратить внимание именно на него. В дальнейшем мы предполагаем вести цикл публикаций по Службам каталогов в разрезе двух продуктов: Apache Directory и Active Directory.

Заключение

Все реализации служб каталогов рассмотреть в рамках одной статьи невозможно, поэтому мы ограничились на самых интересный и зрелых из них. Что же осталось за кадром? Мы не касались дорогих брендовых систем типа Lotus Domino, имеющих в своем составе сервер служб каталогов, также не затрагивали продукты, будущее которых под вопросом, например Mandriva Directory Server.

Отдельный абазац мы отведем домену Samba, данная реализация позволяет организовать простейший домен уровня Windows NT4, который сложно назвать полноценной службой каталогов, скорее единой точкой авторизации. Кроме того данное решение несовместимо с LDAP, а следовательно при росте инфраструктуры вы столкнетесь с проблемой миграции на полноценную службу каталогов. Поэтому рекомендовать и рассматривать домен Samba мы не будем.

В следующих материалах нашего цикла мы рассмотрим устройство и практическую реализацию служб каталогов на базе Active Directory и Apache Directory.

Онлайн-курс по устройству компьютерных сетей
На углубленном курсе "Архитектура современных компьютерных сетей" вы с нуля научитесь работать с Wireshark и «под микроскопом» изучите работу сетевых протоколов. На протяжении курса надо будет выполнить более пятидесяти лабораторных работ в Wireshark.

Помогла статья? Поддержи автора и новые статьи будут выходить чаще:

Или подпишись на наш Телеграм-канал: