დირექტორიების სერვისების გამართვა

კატალოგების სამსახურების ძირითადი დანიშნულებაა ქსელური უსართხოების მართვა. ქსელური უსაფრთხოების საფუძველია მომხმარებელთა, მომხმარებელთა ჯგუფებისა და კომპიუტერების სააღრიცხვო ჩანაწერების მონაცემთა ბაზა (accounts), რომელთა საშუალებითაც ხორციელდება დაშვებების მართვა ქსელურ რესურსებზე

კატალოგური სერვისის ზოგადი სქემა

კატალოგური სქემის აგება აუცილებელია შედარებით დიდი ზომის ლოკალურ ქსელებში, სადაც ვერ გამოიყენება მოდელი სამუშაო  ჯგუფი“, რომელიც ყველა სხვა მოდელზე პრიმიტიულია.

„სამუშაო ჯგუფი“ დანერგვა მცირე ქსელებშია მიღებული (3–10 კომპიუტერი). იგი ეფუძნება არქიტექტურას, რომელშიც ქსელის ყოველ კომპიუტერს (ოპერაციული სისტემებით Windows NT/2000/XP/2003/Vista/2008/7/8/ 8.1/10) გააჩნია სააღრიცხვო ჩანაწერთა საკუთარი, ლოკალური მონაცემთა ბაზა და მისი დახმარებით ხორციელდება  დაშვებების მართვა მოცემული, კონკრეტული კომპიუტერის რესურსებზე. სააღრიცხვო ჩანაწერების ლოგიკური მონაცემთა ბაზა (SAM – Security Account Manager) ინახება ოპერაციული სისტემის რეესტრში და იგი სრულებით იზოლირებულია სხვა კომპიუტერების ანალოგიური ბაზებისგან.

მოდელი „სამუშაო ჯგუფი“ შედარებით მარტივი აგებულებით გამოირჩევა და ადმინისტრირების მინიმალურ ხარჯებს მოითხოვს, მაგრამ იმ ქსელებში, სადაც მრავალი კომპიუტერი გამოიყენება, ქსელური რესურსების მართვის პროცესი რთულდება.  მომხმარებლებს უწევთ ყოველ კომპიუტერზე საკუთარი სააღრიცხვო ჩანაწერების ხელით შექმნა ერთი და იგივე პაროლებით, რაც ინფორმაციის შენახვისა და მასთან მიმართვის სიცხადეს მეტად ამცირებს.

შედარებით დიდი ქსელების სამართავად დამუშავებულია დომენური მოდელი, რომელიც მოიცავს კატალოგურ სერვისს და ამ სერვისის ერთიან მონაცემთა ბაზას. დომენური მოდელის სამოქმედო სივრცე შეიძლება იყოს მთლიანი კორპორაციული ქსელის ან სულაც ქსელთა სიმრავლე დომენური მოდელი იყენებს სპეციალიზებულ სერვერებს, რომელთაცდომენის კონტროლერები ეწოდებათ.

დომენური მოდელის ძირითადი ტერმინოლოგია მოცემულია ქვემოთ:

ერთიანი კატალოგი წარმოადგენს ინფორმაციის ნაკრებს ცალკეულ მომხმარენბელტა და მათი ჯგუფების, ქსელში შემავალი კომპიუტერების, ქსელური პრინტერების, საერთო ფაილური რესურსებისა და სხვა ელემენტების შესახებ – ყველა ამ ელემენტს ობიექტი ეწოდება. ობიექტებს გააჩნიათ თვისებები (ატრიბუტები). მაგალითად, მომხმარებლის კატალოგში შენახულ ატრიბუტები შეიძლება იყოს  სახელი, ტელეფონის ნომერი, მისამართი, სახელი სისტემაში შესასვლელად, პაროლი, ჯგუფები, რომლებშიც მოხმარებელი შედის და სხვა.

Windows-ბაზირებულ ოპერაციულ სისტემებში დომენური სისტემის სამართავად გამოიყენება სისტემა Active Directory (AD), რომელიცარამარტოსაბაზო

(მომხმარებელი, მომხმარებელთა ჯგუფი, კომპიუტერი), არამედ კომპლექსური ობიექტების, ეგრეთ წოდებული „ორგანიზაციული ქვედანაყოფების“ შექმნისა და მართვის საშუალებას, აგრეთვე კატალოგური სისტემის ფიზიკური და ლოგიკური დეკომპოზიციის საშუალებას იძლება (ე.წ. „საიტების“ სახით).

კორპორაციული ქსელის კატალოგური სერვისი Active Directory უზრუნველყოფს

შემდეგ ფუნქციონალობას: 

  • ერთიანი რეგისტრაცია ქსელში. მომხმარებლები შეიძლება დარეგისტრირდნენ ქსელში ერთი სახელითა და პაროლით და ამასთან მიიღონ დაშვება ყველა ქსელურ რესურსებთან და სამსახურთან (ქსელური ინფრასტრუქტურების სამსახური, ფაილების სამსახური და შეჯგუფების სამსახური, დანართების და მონაცემთა ბაზის სერვერები და ა.შ. )
  • ინფორმაციის უსაფრთხოება. აუთენტიფიკაციის საშუალებები და რესურსებთან დაშვების მართვა.
  • ცენტრალიზებული დაცვა. ქსელის ადმინისტრატორებს შეუძლიათ ერთიანად მართონ ყველა კორპორაციული რესურსი.
  • ადმინისტრირება ჯგუფური პოლიტიკის გამოყენებით. კომპიუტერის დატვირთვისას ან მომხმარებლის რეგისტრაციისას სისტემაში ხორციელდება ჯგუფური პოლიტიკის მოთხოვნები, მათი კონფიგურაცია ინახება ჯგუფური პოლიტიკის ობიექტებში (GPO – Group Policy Objects) და გამოიყენება კომპიუტერების მომხმარებლების სააღრიცხვო ჩანაწერებში.
  • ინტეგრაცია DNS-თან. კატალოგების სამსახურის ფუნქციონირება მთლიანად დამოკიდებულია დომენურ სახელთა სერვისის (DNS) სერვისების მუშაობაზე. თავის მხრივ სერვერების DNSებს შეუძლია შეინახონ ზონების ინფორმაცია  Active Directory-ის მონაცემთა ბაზაში.
  • კატალოგის გაფართოებადობა. ადმინისტრატორებს შეუძლიათ დაუმატონ კატალოგების სქენაში ახალი ობიექტების კლასები ან დაუმატონ ახალი ატრიბუტები არსებულ კლასებს.
  • მასშტაბირება. Active Directoryის სამსახურმა შეიძლება მოიცვას როგორც ერთი დომენი, ასევე მრავალი დომენი. დომენების ხეთა გაერთიანება ქმნის ტყეს.
  • ინფორმაციის რეპლიკაცია. მოცემული სერვისის წყალობით დომენური ინფორმაცია რამდენიმე დომენის კონტროლერზე ინახება სინქრონულად. რამდენიმე კონტროლერის არსებობა დომენებში უზრუნველყოფს მტყუნებათა მიმართ მდგრადობას და ქსელური დატვირთვების განაწილების შესაძლებლობას იძლევა.

კატალოგური სერვისის მონაცემთა ბაზა

დომენის კონტროლერებზე კატალოგური ინფორმაცია ინახება სპეციალური ფორმატის მონაცემთა ბაზის სახით. სერვისის განვითარების საწყის ეტაპზე კატალოგების სამსახურებისათვის შემუშავებულ იქნა სტანდარტი X.500, რომელიც ხის სტრუქტურის მქონე, იერარქიული, მასშტაბირებადი ცნობარების შესაქმნელად იყო გათვალისწინებული, ობიექტთა კლასებისა და მათი ატრიბუტების ნაკრების გაფართოების შესაძლებლობით.

X.500 სტანდარტის პრაქტიკული რეალიზაცია არაეფექტური გამოდგა არასაკმარისი მწარმოებლურობის გამო, ამიტომ აღნიშნული სტანდარტის ბაზაზე შემუშავებული იქნა კატალოგის მონაცემთა ბაზის გამარტივებული ვერსია, LDAP (Lightweight Directory Access Protocol), რომელშიც შენაჩუნდა X.500-ის ყველა ეფექტური ფუნქცია და ამასთან სტანდარტის პრაქტიკული რეალიზების საშუალება მისცა მომხმარებელს.

სადღეისოდ LDAPარმოადგენს ქსელური კატალოგების მონაცემებთან დაშვების სტანდარტულ მეთოდს და მრავალი პროდუქტის საფუძველს წარმოადგენს (აუტენტიფიკაციის სისტემები, ელექტრონული ფოსტის პროგრამები, ელექტრონული კომერციის სისტემები და სხვა). LDAPსერვისები დამუშავებულია პრაქტიკულად ყველა გავრცელებული ოპერაციული სისტემისთვის და ბუნებრივია მისი დიდი როლი ღრუბლოვან ტექნოლოგიებშიც, რადგან ეს უკანასკნელი კატალოგურ სერვისს ინტენსიურად საჭიროებს.

დღეისათვის ბაზარზე LDAP-ის 60–ზე მეტი კომერციული სერვერია წარმოდგენილია. მათი 90% წრმოადგენს LDAP-კატალოგების ავტონომიურ სერვერებს, ხოლო დანარჩენები სხვა დანართების კომპონენტების სახით არიან წარმოდგენილნი. ჩვენს ნაშრომში გამოყენებულია ერთერთი მათგანი – Active Directory

კატალოგური სერვისის დომენური სტრუქტურა მოცემულ ქვეთავში შევეხოთ კატალოგური სერვისის სტრუქტურულ ერთეულებს (დომენი, ხე, ტყე, ორგანიზაციული ერთეული, გლობალური კატალოგი), აგრეთვე განვიხილოთ კატალოგის ობიექტთა სახელდების წესები.

დომენი კატალოგური სერვისის ძირითად ერთეულს წარმოადგენს. იგი აყალიბებს ადმინისტრაციული პასუხისმგებლობის სფეროს. დომენის მონაცემთა ბაზა შეიცავს მომხმარებლის სააღრიცხვო ჩანაწერებს, ჯგუფებსა და კომპიუტერებს. კატალოგური სერვისის ფუნქციების დიდი ნაწილი სწორედ დომენურ დონეზე მუშაობს, კერძოდ: მომხმარებლის აუტენტიფიკაცია, რესურსებთან დაშვების მართვა, სამსახურების მართვა, რეპლიკაციების მართვა, უსაფრთხოების პოლიტიკა.

დომენების სახელები  Active Directory-ში ფორმირდება იმავე სქემით, როგორც

დომენურ სახელთა სივრცის (DNS) სახელები და ეს არ არის შემთხვევითი ფაქტი.  DNSის სამსახური წარმოადგენს კომპონენტ დომენების ძებნის პროცესის საინიციალიზაციო მოვლენას დომენის კონტროლერებზე.

დომენის კონტროლერები — სპეციალური სერვერებია, რომლებიც ინახავენ Active Directory-ის მონაცემთა ბაზის დომენური ნაწილის შესაბამის მონაცემებს. მათი ძირითადი ფუნქციებია:

  • Active Directoryის მონაცემთა ბაზის შენახვა (კატალოგურ ინფორმაციასთან წვდომა, მართვა და მოდიფიკაცია);
  • Active Directory-ში ცვლილებათა სინქრონიზაცია. კერძოდ, კატალოგში ცვლილების შეტანა შეიძლება დომენის ნებისმიერი კონტროლერიდან; ნებისმიერი ცვლილება სინქრონულად დაფიქსირდება დომენის სხვა კონტროლერებზეც;
  • მომხმარებლის აუტენტიფიკაცია – ნებისმიერი დომენის კონტროლერი ანხორციელებს კლიენტ-სისტემაზე დარეგისტრირებული მომხმარებლის უფლებამოსილების შემოწმებას;

ხე წარმოადგენს დომენების კრებულს, რომლებიც გამოიყენებენ ერთიან

დამაკავშირებელ სივრცეს. ამ შემთხვევაში „შვილობილი“ დომენი მემკვიდრეობით იღებს „მშობელი“ დომენის სახელს.

შვილობილი დომენი ავტომატურად აყენებს ორმხრივ, ტრანზიტულ, ნდობით დამოკიდებულებებს მშობელ დომენთან, რაც ნიშნავს, რომ ერთი დომენის რესურსები შეიძლება გამოყენებულ იქნას სხვა დომენების მომხმარებელთა მიერაც.

ტყე მეტნაკლებად მსხვილი სტრუქტურაა Active Directoryში. ტყე აერთიანებს დომენურ ხეებს სხვადასხვა სახელთა სივრცეებით და ამით უზრუნველყოფს ობიექტთა ერთიან სქემის არსებობას (სქემა – განსაზღვრული ტიპების ან კლასების კრებულია). ტყეში ყველა დომენს შორის ორმხრივი, ტრანზიტული ნდობითი დამოკიდებულებაა დამყარებული, რაც ნებისმიერი დომენის მომხმარებლებს ყველა დანარჩენ დომენებზე დაშვებით უზრუნველყოფს შესაბამისი დაშვების უფლების არსებობის შემთხვევაში. სტანდარტულად, ტყეში შექმნილი პირველი დომენი ფესვურ დომენად ითვლება. სწორედ მასში ინახება ე.წ. AD-სქემა.

ორგანიზაციული ერთეული (Organiazational Units, OU) მოთავსებულია Active Directoryის ერთერთი დომენის ფარგლებში და უფლებათა დელეგირების ამოცანას ემსახურება. ორგანიზაციული ერთეული დომენის გარეთ არ არსებობს. მისი გამოყენება განსაკუთრებით მოხერხებულია დიდი ორგანიზაციის ერთიანი დომენის აგებისას, როდესაც დომენის ადმინისტრატორს ფიზიკურად აღარ შეუძლია მთლიანი დომენის ყველა სააღრიცხვო ჩანაწერის მომსახურება. ამ დროს დომენის ადმინისტრატორი ასრულებს დელეგირებას, ანუ საკუთარი უფლებების გადაცემას სხვა მომხმარებლებზე, რომელთაც შემდგომ დომენში საკუთარი „წილი“ ეძლევათ მასში ცვლილებების შეტანის უფლებით. ორგანიზაციული ერთეული მთლიანად დომენს დაქვემდებარებული სტრუქტურაა, მას არ შეუძლია კატალოგური ინფორმაციის მიღება სხვა დომენიდან. გლობალური კატალოგი წარმოადგენს დომენური სივრცის ყველა ობიექტის ერთიან ბაზას. სტანდარტულად, დომენების კონტროლერები შეიცავენ ინფორმაციას მხოლოდ საკუთარი ობიექტების შესახებ, მაშინ, როდესაც გლობალური კატალოგის სერვერი წარმოადგენს დომენის კონტროლერს, რომელშიც განთავსებულია ინფორმაცია დომენთა ტყის ყოველი ობიექტის შესახებ. ამასთან, უნდა აღინიშნოს, რომ გლობალურ კატალოგში ობიექტთა ატრიბუტების მხოლოდ ნაწილი ხვდება ყველაზე მნშვნელოვანი ატრიბუტების სახით.

კატალოგურ სერვისში მნიშვნელოვანიაობიექტებისსახელებისგანმასხვავებელი

მექანიზმი (Distinguished Name, DN), რომელიც კატალოგის ნებისმიერი ობიექტის დომენთა ტყის მასშტაბით ცალსახად იდენტიფიცირების საშუალებას იძლევა. DN წარმოადგენს ქვესახელების ერთობლიობას, რომელთა კომბინაცია გვაძლევს სწორედ ობიექტის უნიკალურ იდენტიფიკატორს.

მაგალითისთვის ავიღოთ მომხმარებელი testuser დომენიდან sangu.ge, რომელიც განთავსებული დომენის მომხმარებელთა სტანდარტულ კონტეინერში „Users“.  მომხმარებლის უნიკალური სახელი შემდეგი ფორმით იქნება წარმოდგენილი:

DC=ge, DC=sangu, OU=Professors, CN=Users, CN=testuser

სადაც

  • DC (Domain Component) — პირველი და მეორე დონის დომენური სახელები

(საპატრიარქოს უნივერსიტეტის დომენი).

  • OU (Organizational Unit) — ორგანიზაციული ერთეული (უნივერსიტეტის პროფესორები)
  • CN (Common Name) — მომხმარებელთა სტანდარტული ჯგუფი (Users) და მასში შემავალი მომხმარებლის სახელი (testuser).

Active Directory-ის  სახელთა განაწილების ეფექტური სქემის დაპროექტება ძალიან საპასუხისმგებლო საქმეა კორპორაციული ქსელის უსაფრთხოების თვალსაზრისითა და იმ ფაქტორის გათვალისწინებით, რომ უკვე ჩამოყალიბებული სახელთა სტრუქტურის შეცვლა ძნელ, ხანდახან კი შეუძლებელ ამოცანას წარმოადგენს. ამიტომ სახელთა სივრცის დაპროექტებისას შემდეგი ფაქტორები უნდა იქნეს გათვალისწინებული:

  • ზედა დონის დომენების სახელების გულდასმით შერჩევა.
  • კომპანიაში კომუნიკაციების     ხარისხი       (კავშირი      ცალკეულ ქვედანაყოფებთან და ფილიალებთან).
  • კომპანიის ორგანიზაციული სტრუქტურა.
  • კომპიუტერებისმომხმარებელთა რაოდენობის ზრდისტემპების პერსპექტივა.

ავტ:ვ.ოთხოზორია, დ.გულუა, შ. სვანიშვილი

კომენტარი

This site uses Akismet to reduce spam. Learn how your comment data is processed.