Службы каталогов. Часть 2 - Реализации служб каталогов.

  • Автор:

Directory-Service-2-000.jpg

В прошлой статье мы разобрались, что такое служба каталогов и какие преимущества можно получить от ее использования. Сегодня мы расскажем о существующих реализациях служб каталогов, их достоинствах и недостатках, чтобы вы могли осознанно сделать выбрать решение, которое наиболее полно удовлетворит ваши запросы.

Онлайн-курс по устройству компьютерных сетей
На углубленном курсе "Архитектура современных компьютерных сетей" вы с нуля научитесь работать с Wireshark и «под микроскопом» изучите работу сетевых протоколов. На протяжении курса надо будет выполнить более пятидесяти лабораторных работ в Wireshark.

Что такое LDAP?

Начнем, как всегда, с краткого ликбеза. Стандартом доступа к службам каталогов является протокол LDAP, на его базе построены практически все современные реализации служб каталогов. Использование LDAP позволяет унифицировать структуру записей каталога, что необходимо для совместимости продуктов различных производителей, поддержка LDAP гарантирует поддержку базовых возможностей любого современного сервера служб каталогов.

Любая запись каталога имеет уникальное имя - DN, которое в свою очередь состоит из относительного уникального имени - CN, раздела - OU и класса объекта - DC. Например запись:

cn=SALES, ou=Отдел продаж, dc=example, dc=com

обозначает компьютер SALES, находящийся в Отделе продаж и входящий в домен example.com, при этом не имеет значения какую именно из служб каталогов вы используете, запись будет выглядеть одинаково в любом из них. Однако кроме протокола LDAP, многие реализации имеют собственные расширения, которые могут быть несовместимы с LDAP, что делает невозможным их использование программными продуктами не имеющими полной поддержки конкретной реализации.

Active Directory

Directory-Service-2-Acnive_Directory.jpgLDAP-совместимая реализация службы каталогов от Microsoft, является наиболее функциональной и самой популярной для Windows сетей. Входит в состав Windows Server и не требует дополнительного лицензирования. Active Directory является основополагающей частью инфраструктуры Windows. Помимо LDAP поддерживает большое количество собственных расширений, таких как групповые политики, позволяющие централизованно и единообразно настраивать пользовательское окружение рабочих компьютеров, устанавливать, удалять и обновлять ПО. Легок в администрировании. Наиболее полно все возможности Active Directory раскрываются в сочетании с другими продуктами Microsoft.

Если вы используете инфраструктуру на базе продуктов Microsoft, то лучшим решением будет использование Active Directory в качестве службы каталогов. В тоже время поддержка LDAP позволяет без особых проблем интегрировать в каталог многие открытые решения на базе Linux / UNIX, однако они не смогут в полной мере использовать все возможности AD, например групповые политики.

OpenLDAP

Directory-Service-2-OpenLDAP.jpgОткрытая, кроссплатформенная реализация LDAP, наиболее полно поддерживает все возможности протокола, в связке с Samba представляет хорошую альтернативу AD, однако не поддерживает расширенные возможности последней (самые значимые из них - групповые политики). Однако все богатые возможности омрачаются сложностью настройки и администрирования, которое производится с помощью конфигурационных файлов, что требует от администратора глубоких знаний и осложняет освоение продукта. Кроме того OpenLDAP имеет ряд проблем совместимости с AD, что затрудняет его использование в "смешанных" сетях, где имеются серверные продукты Microsoft.

OpenLDAP может являться хорошей заменой для AD в небольших сетях, а может стать большой головной болью для системного администратора, поэтому перед внедрением этого продукта мы советуем трезво оценить свои силы и знания, также не будет лишним пробное внедрение в тестовой среде.

389 Directory Server

Directory-Service-2-389_Directory_Server.jpgСервер каталогов корпоративного уровня разрабатываемый сообществом Fedora при поддержке Red Hat и входящий в коммерческие продукты последней. Ранее это проект назывался Fedora Directory Server, переименование связано с тем, что разработчики позиционируют продукт как универсальный, а не исключительно для Fedora / RHEL. Продукт, кроме всех возможностей LDAP предоставляет довольно удобные графические инструменты администрирования, в том числе и для Windows платформы, что делает его довольно простым в освоении, неплохо вписывается в Windows инфраструктуру.

Если вы собираетесь внедрять данный продукт, то следует помнить, что на сегодняшний день готовые пакеты существуют только для Fedora / RHEL, при использовании других дистрибутивов будьте готовы к решению проблем по установке собственными силами.

Apache Directory

Directory-Service-2-Apache-Directory.jpgЕще одна открытая реализация сервера каталогов от известного разработчика. Кроссплатформенн, так как написан на Java. Состоит из двух функциональных частей: сервера каталогов ApacheDS и средства администрирования Apache Directory Studio, которое отличительно тем, что поддерживает любой LDAP-совместимый сервер каталогов, а не только "родной". Это позволяет использовать данный продукт например для администрирования OpenLDAP, особенно ценной является возможность запуска средства Apache Directory Studio в среде Windows.

Apache Directory - крайне интересный продукт, предоставляющий администратору весьма широкие возможности, если вы ищете бесплатный сервер каталогов, мы бы советовали обратить внимание именно на него. В дальнейшем мы предполагаем вести цикл публикаций по Службам каталогов в разрезе двух продуктов: Apache Directory и Active Directory.

Заключение

Все реализации служб каталогов рассмотреть в рамках одной статьи невозможно, поэтому мы ограничились на самых интересный и зрелых из них. Что же осталось за кадром? Мы не касались дорогих брендовых систем типа Lotus Domino, имеющих в своем составе сервер служб каталогов, также не затрагивали продукты, будущее которых под вопросом, например Mandriva Directory Server.

Отдельный абазац мы отведем домену Samba, данная реализация позволяет организовать простейший домен уровня Windows NT4, который сложно назвать полноценной службой каталогов, скорее единой точкой авторизации. Кроме того данное решение несовместимо с LDAP, а следовательно при росте инфраструктуры вы столкнетесь с проблемой миграции на полноценную службу каталогов. Поэтому рекомендовать и рассматривать домен Samba мы не будем.

В следующих материалах нашего цикла мы рассмотрим устройство и практическую реализацию служб каталогов на базе Active Directory и Apache Directory.

Дополнительные материалы:


  1. Службы каталогов. Часть 1 - Общие понятия
  2. Службы каталогов. Часть 2 - Реализации служб каталогов
  3. Службы каталогов. Часть 3 - Структура Active Directory
  4. Active Directory - от теории к практике. Часть 1 - общие вопросы
  5. Active Directory - от теории к практике. Часть 2 - разворачиваем доменную структуру
  6. Active Directory - от теории к практике. Часть 3 - настройка DHCP
  7. Active Directory - от теории к практике. Часть 4 - перенос учетных записей в домен
  8. Настраиваем высокодоступный DHCP-сервер в Windows Server 2012
  9. Быстрое развертывание Active Directory с отказоустойчивой конфигурацией DHCP
  10. Синхронизация времени Active Directory с внешним источником
  11. Обновление схемы Active Directory
  12. Управление ролями FSMO при помощи Ntdsutil
  13. Управление ролями FSMO с помощью PowerShell
  14. Восстанавливаем доверительные отношения в домене
  15. Очистка метаданных контроллера домена в Active Directory

Онлайн-курс по устройству компьютерных сетей
На углубленном курсе "Архитектура современных компьютерных сетей" вы с нуля научитесь работать с Wireshark и «под микроскопом» изучите работу сетевых протоколов. На протяжении курса надо будет выполнить более пятидесяти лабораторных работ в Wireshark.


Loading Comments