Дерево каталогів
Рис. 13.2. Типова структура дерева каталогів NDS
Логічно структура бази даних NDS передається у вигляді дерева (рис. 13.2), тому часто поряд із поняттям служби каталогів використовують і поняття дерева каталогів (directory tree).
Структурно дерево каталогів складається з таких частин:
· корінь ([Root]);
· об’єкти-контейнери (container objects);
· об’єкти-листи (leaf objects).
Вершина ієрархічного дерева каталогів називається його коренем і відображається об’єктом [Root]. Для даного об’єкта визначено єдину властивість, що задається при інсталяції — ім’я дерева. Об’єкт [Root] — це найперший об’єкт у дереві каталогів, який не може бути вилучений, хоча може бути перейменований. Усі інші об’єкти містяться всередині об’єкта [Root].
Об’єкти, за допомогою яких формуються гілки дерева каталогів, називаються контейнерами, оскільки єдиним призначенням таких об’єктів є розміщення інших об’єктів (зокрема користувачів, серверів, дискових томів і мережевих принтерів). Інакше кажучи, вони використовуються для структурування дерева каталогів і логічного впорядкування інших об’єктів. Контейнерам даються імена, які допомагають ідентифікувати і класифікувати вміщені у них об’єкти. Наприклад, контейнер, у якому зібрана інформація про користувачів, сервери і принтери відділу маркетингу, може називатися MRKTNG. Контейнер, що містить об’єкти з третього поверху будинку компанії, може називатися 3RD_FLOOR.
Для правильного сприйняття ієрархічної структури дерева каталогів важливо засвоїти поняття контекст об’єкта в NDS, під яким розуміється його місцезнаходження у дереві каталогів, тобто фактично об’єкт-контейнер, у якому в даний момент знаходиться даний об’єкт.
У NetWare 4.1 існує три типи об’єктів-контейнерів: Country (Країна), Organization (Організація) і Organizational Unit (Підрозділ).
У NetWare 5 з’явилася можливість використовувати додаткові контейнери — Location (Місцезнаходження) і Licensed Product (Ліцензований продукт).
Контейнер Country, що скорочено позначається C, — це необов’язковий об’єкт, який можна використовувати у мережах кількох країн.
Контейнери Organization (O) розміщуються рівнем нижче за об’єкти Country (якщо вони використовуються) або безпосередньо у корені дерева каталогів. У будь-якому дереві NDS має бути хоча б один такий контейнер. У мережах невеликих і середніх підприємств рекомендується використовувати тільки один об’єкт Organization, а два, три і більше — лише за умови, що кожний об’єкт Organization є цілком окремою і незалежною одиницею. Контейнер Organization може містити як контейнери Organization Unit, так і об’єкти-листи. Використовуючи у дереві NDS один об’єкт Organization і розміщуючи всі мережеві ресурси у такий контейнер, одержують плоску структуру мережі за зразком NetWare 3.x. Перевага такої структури полягає у тому, що мережа здатна підтримувати певну кількість серверів і надавати їхні ресурси всім користувачам, які використовують єдиний вхід у систему.
Об’єкт Organizational Unit (OU) не є обов’язковим, але дуже корисний для групування об’єктів-листів. Якщо у дереві знаходиться єдиний об’єкт Organization, то Organizational Unit будуть корисними для розміщення тих ресурсів, що належать визначеним користувачам. Якщо є кілька об’єктів Organization і підприємство достатньо велике, то варто розбити кожний Organization на кілька Organizational Unit. У невеликих мережах найчастіше створюються дерева з єдиним контейнером Organization і множиною об’єктів-листів у ньому. Незручність подібної структури полягає у тому, що пошук об’єктів, особливо за великої їх кількості, ускладнюється.
Контейнери Organizational Unit можуть створюватися всередині Organization або інших Organizational Unit. У свою чергу, вони можуть містити інші Organizational Unit та об’єкти-листи.
Контейнер Location є необов’язковим, але корисним у разі об’єднання географічних областей. Створюючи об’єкт Location, можна задати його форму: звичайний Location (L) або State/Region (S). Якщо існує єдиний регіон, то найімовірніше потреба у використанні цього об’єкта ніколи не виникатиме. Якщо ж є кілька регіонів, то об’єкти Location можна використовувати для подання географічних регіонів, держав, округів чи індивідуального місцезнаходження. Контейнер Location може розміщуватися у будь-якому з розглянутих раніше контейнерів і, у свою чергу, містити будь-який контейнер, крім Country.
Контейнер Licensed Product призначений для відстеження ліцензій на різноманітні програми, а також на операційну систему. Ліцензії, що купуються для програм, вміщуються у цьому контейнері як об’єкти-листи License Certificate (Ліцензійний сертифікат). Цей тип контейнера, а також пов’язані з ним об’єкти-листи, мають спеціальне призначення і не надаються у загальне користування.
Для кожного об’єкта задаються правила, які визначають його місце знаходження та вміст.
Об’єкти-листи не містять інших об’єктів. Вони використовуються для зображення кінцевих мережевих ресурсів, таких як комп’ютери, томи, принтери, користувачі та групи користувачів. У NDS визначено безліч об’єктів-листів різноманітних типів.
Об’єкти User (Користувач) відповідають кінцевому користувачеві мережі. Об’єкт User має дуже багато змінюваних властивостей, серед яких — обмеження входу в систему, сценарії входу в систему, пароль і обмеження пароля, а також еквівалентність захисту. Об’єкти User створюються у будь-якому місці дерева NDS, але для доступу в мережу користувачі повинні знати своє місцезнаходження. З появою нової служби каталогів система, яка повідомляє, що ім’я користувача не відповідає вхідному в систему, дає змогу вивести список можливих контекстів і правильно визначити місце перебування користувача. Краще створювати об’єкт User у контейнері, в якому користувач працюватиме найбільше.
Об’єкт Group (Група) — це список об’єктів User, розташованих у будь-якому місці дерева NDS. Обмежень на реальне місцезнаходження членів об’єкта Group не існує, тобто до однієї групи можуть входити користувачі, які перебувають у різних контейнерах. Об’єкт Group створюється для полегшення керування користувачами, що мають однакові властивості. Наприклад, замість того, щоб надавати однакових властивостей кожному з користувачів, можна їх надати відразу всім користувачам групи, використовуючи об’єкт Group.
Об’єкт NetWare Server (Сервер NetWare) або NCP Server (NetWare Core Protocol — Протокол ядра системи NetWare) являє собою певний комп’ютер, на якому запущено мережеву операційну систему. У мережах NetWare 4.x підтримувалася лише операційна система NetWare, у мережі NetWare 5 з’явилася можливість використання NetWare, Unix, NT або іншої операційної системи, яка містить вбудовану підтримку NDS. Об’єкт NetWare Server створюється автоматично при встановленні програмного забезпечення сервера NetWare. Даний об’єкт використовується як опорний для деяких інших об’єктів, наприклад, Volume (Том). Властивості об’єкта NetWare Server містять безліч даних, таких як фізичне місцезнаходження визначеного сервера, запропонованих служб і файлів реєстрації помилок.
Об’єкт Volume (Том) — це фізичний том NetWare у мережі, який створюється автоматично під час інсталяції сервера NetWare. Крім того, можна створити об’єкт Volume за допомогою утиліт адміністрування, наприклад, NWADMIN. Властивостями об’єкта Volume є ім’я сервера, якому належить том, розташування тому, обмеження на дисковий простір для збереження даних користувачів, доступний дисковий простір тощо.
Об’єкт AFP Server (Сервер AFP) відповідає серверу AFP (AppleTalk Filing Protocol — Файловий протокол AppleTalk).
Об’єкт Computer (Комп’ютер) — це будь-який комп’ютер у мережі, крім сервера (наприклад, робоча станція, маршрутизатор, шлюз електронної пошти).
Об’єкт Directory Map (Карта каталогу) пов’язаний із визначеним каталогом на томі. Він дає можливість спростити використання ресурсів томів серверів NetWare, пропонуючи довге ім’я шляху до каталогу як таке, що легко запам’ятовується. Об’єкти Directory Map допомагають керувати сценаріями входу в систему. У сценарії входу можна використовувати об’єкт Directory Map для звернення до потрібного каталогу. У разі зміни місцезнаходження каталогу зникає необхідність модифікувати кожний сценарій входу в систему для користувачів, які використовують цей каталог.
Об’єкт Profile (Профіль) містить сценарій входу в систему, призначений для користувачів із загальними потребами, з невеликими відмінностями у деталях. Якщо об’єкт Profile є однією з властивостей об’єкта User, то при вході користувача у систему виконується сценарій входу об’єкта Profile. Об’єкт Profile можна призначити для користувачів, що працюють у різних контейнерах.
Об’єкт Organizational Role (Список організації) — позиція або роль у межах організації. Він містить список прав доступу користувачів до мережевих ресурсів. Можна надати користувачам права доступу, з`єднавши їх з цим об’єктом, який використовується для роботи, що має чіткі вимоги, але виконується змінною групою осіб, а не однією людиною. Наприклад, керівник групи може потребувати деяких прав доступу, яких не має інша частина робочої групи. Надання цих прав Organizational Role, а не конкретним особам, полегшить пошук людини, яка має додаткові права. За умови, що керівник групи змінюється, об’єкту може бути призначено іншу особу Organizational Role. Цей користувач негайно одержує усі права керівника групи.
Об’єкт Alias (Псевдонім) указує на інший об’єкт у дереві NDS, що міститься, як правило, в іншому контейнері. Завдяки використанню псевдонімів будь-який об’єкт може зустрічатися у декількох місцях дерева каталогів, причому в тих місцях, де він реально не існує. Використання об’єкта Alias — простий спосіб звернутися до об’єкта з іншого контексту.
Для підтримки служби друку в NetWare 4.х існує кілька об’єктів, які забезпечують можливість друку, використовуючи черги.
Проведемо аналогії між деревом каталогів NDS і реальними об’єктами. Перший приклад — картотека у бібліотеці. Кожний об’єкт у бібліотеці описаний у відповідній картці, що знаходиться у картотеці. Якщо читачеві потрібен якийсь ресурс (наприклад, книги, часописи або карти), то пошук потрібно розпочати з картотеки. Для більш чіткої аналогії картотеку треба інтерпретувати як облікову книгу об’єктів і базу даних.
Другий приклад — дерево. Стовбур дерева — [Root], гілки — контейнери (із багатьма контейнерами, вкладеними у [Root]), листки — об’єкти-листи. Одне дерево може містити багато гілок, на кожній з яких може бути дуже багато листків. Так само один об’єкт [Root] може містити багато об’єктів Organization і Organizational Unit, що можуть, у свою чергу, містити багато об’єктів-листів.
Кожен об’єкт у дереві каталогів повинен мати своє ім’я. Імена деяких об’єктів задаються однозначно (наприклад, об’єкту [Root] відповідає ім’я «.», а імена об’єктів Country позначаються, відповідно до рекомендації X.500, як дві літери коду країн). Власні імена інших об’єктів можуть містити до 64 символів, але, як правило, такі довгі імена не використовуються, і адміністратор обмежується іменами завдовжки 4…8 символів.
У різних контейнерах дерева каталогів можуть зустрічатися об’єкти, імена яких є однаковими, але повне ім’я має бути обов’язково унікальним. Повне ім’я формується склеюванням власного імені об’єкта та його контексту в дереві каталогів, і не може перевищувати 256 символів.
Для розмежування прав доступу використовується такий засіб керування деревом каталогів, як права доступу до об’єкта (object rights). Права доступу до об’єкта пропонуються для контролю за тим, хто має дозвіл на перегляд різноманітних розділів дерева каталогів та керування ними. За допомогою прав доступу до об’єкта деяким користувачам можна надати право адміністратора для доступу до розділу дерева каталогів, тобто ці користувачі зможуть створювати або вилучати об’єкти у цьому розділі, а також повністю керувати ними. Іншим користувачам можна надати обмежений доступ до розділу дерева каталогів, що дасть їм змогу бачити об’єкти, але не змінювати їх будь-яким чином. Нарешті, за допомогою прав доступу до об’єкта деяким користувачам можна відмовити у доступі до розділу дерева каталогів. Ці користувачі не зможуть бачити даний розділ і навіть не знатимуть про його існування.
У NetWare є п’ять видів прав, що керують доступом до розділів дерева каталогів (табл. 13.1).
Права доступу до атрибута (property rights) використовуються для контролю за тим, хто і як може працювати зі значеннями атрибутів конкретного об’єкта. Можна надати права доступу відразу до всіх атрибутів, пов’язаних із даним об’єктом; крім того, можна призначити права доступу до кожного окремого атрибута. Припустимо, потрібно, щоб користувачі мережі могли бачити значення атрибутів DEPARTMENT, POSTAL ADDRESS, MAILBOX ID, TELEPHONE NUMBER і FAX TELEPHONE NUMBER, але не могли бачити більш секретні атрибути —LOGIN SCRIPT або PASSWORD EXPIRATION TIME. Можна надати користувачам права доступу до атрибутів таким чином, щоб вони бачили першу групу атрибутів, і при цьому заборонити доступ до другої — секретної групи.
Таблиця 13.1. Права доступу до об’єктів
Право доступу | Опис |
SUPERVISOR (Адміністратор) | Надає повний контроль над об’єктом |
BROWSE (Переглянути) | Надає можливість переглядати список об’єктів у дереві каталогів |
CREATE (Створити) | Надає можливість створювати нові об’єкти у дереві каталогів |
DELETE (Вилучити) | Надає можливість вилучати об’єкти з дерева каталогів |
RENAME (Перейменувати) | Надає можливість змінювати ім’я об’єкта |
У NetWare 4.1 існує п’ять видів прав доступу до атрибутів, які можна надати або заборонити. Їхні описи наведено у табл.13.2.
Таблиця 13.2. Права доступу до атрибутів
Право доступу | Опис |
SUPERVISOR | Надає повний контроль над значенням конкретного атрибута |
COMPARE | Надає можливість перевірити значення атрибута на рівність заданому значенню |
READ | Надає можливість побачити значення атрибута |
WRITE | Надає можливість додавати, змінювати або знищувати значення атрибута |
ADD OR DELETE SELF | Надає можливість додати свій власний об’єкт до атрибута, що є списком об’єктів, або видалити його |
Дата добавления: 2015-08-11; просмотров: 2746;