Службы каталогов для хранения учетных записей пользователей
This article examines the directory service, their characteristics and additional features tools for centralized storage facilities network.
Gespeichert in:
| Veröffentlicht in: | Збірник наукових праць Інституту проблем моделювання в енергетиці ім.Г.Є.Пухова НАН України |
|---|---|
| Datum: | 2010 |
| Hauptverfasser: | , , |
| Format: | Artikel |
| Sprache: | Russian |
| Veröffentlicht: |
Інститут проблем моделювання в енергетиці ім. Г.Є. Пухова НАН України
2010
|
| Online Zugang: | https://nasplib.isofts.kiev.ua/handle/123456789/27083 |
| Tags: |
Tag hinzufügen
Keine Tags, Fügen Sie den ersten Tag hinzu!
|
| Назва журналу: | Digital Library of Periodicals of National Academy of Sciences of Ukraine |
| Zitieren: | Службы каталогов для хранения учетных записей пользователей / Б.Я. Корниенко, Н.Н. Марутовская, Е.О. Шелепов // Збірник наукових праць Інституту проблем моделювання в енергетиці ім. Г.Є. Пухова НАН України. — К.: ІПМЕ ім. Г.Є. Пухова НАН України, 2010. — Вип. 54. — С. 23-30. — Бібліогр.: 4 назв. — рос. |
Institution
Digital Library of Periodicals of National Academy of Sciences of Ukraine| id |
nasplib_isofts_kiev_ua-123456789-27083 |
|---|---|
| record_format |
dspace |
| spelling |
Корниенко, Б.Я. Марутовская, Н.Н. Шелепов, Е.О. 2011-09-27T15:46:43Z 2011-09-27T15:46:43Z 2010 Службы каталогов для хранения учетных записей пользователей / Б.Я. Корниенко, Н.Н. Марутовская, Е.О. Шелепов // Збірник наукових праць Інституту проблем моделювання в енергетиці ім. Г.Є. Пухова НАН України. — К.: ІПМЕ ім. Г.Є. Пухова НАН України, 2010. — Вип. 54. — С. 23-30. — Бібліогр.: 4 назв. — рос. XXXX-0067 https://nasplib.isofts.kiev.ua/handle/123456789/27083 004.056.5 (076.5) This article examines the directory service, their characteristics and additional features tools for centralized storage facilities network. ru Інститут проблем моделювання в енергетиці ім. Г.Є. Пухова НАН України Збірник наукових праць Інституту проблем моделювання в енергетиці ім.Г.Є.Пухова НАН України Службы каталогов для хранения учетных записей пользователей Article published earlier |
| institution |
Digital Library of Periodicals of National Academy of Sciences of Ukraine |
| collection |
DSpace DC |
| title |
Службы каталогов для хранения учетных записей пользователей |
| spellingShingle |
Службы каталогов для хранения учетных записей пользователей Корниенко, Б.Я. Марутовская, Н.Н. Шелепов, Е.О. |
| title_short |
Службы каталогов для хранения учетных записей пользователей |
| title_full |
Службы каталогов для хранения учетных записей пользователей |
| title_fullStr |
Службы каталогов для хранения учетных записей пользователей |
| title_full_unstemmed |
Службы каталогов для хранения учетных записей пользователей |
| title_sort |
службы каталогов для хранения учетных записей пользователей |
| author |
Корниенко, Б.Я. Марутовская, Н.Н. Шелепов, Е.О. |
| author_facet |
Корниенко, Б.Я. Марутовская, Н.Н. Шелепов, Е.О. |
| publishDate |
2010 |
| language |
Russian |
| container_title |
Збірник наукових праць Інституту проблем моделювання в енергетиці ім.Г.Є.Пухова НАН України |
| publisher |
Інститут проблем моделювання в енергетиці ім. Г.Є. Пухова НАН України |
| format |
Article |
| description |
This article examines the directory service, their characteristics and additional features tools for centralized storage facilities network.
|
| issn |
XXXX-0067 |
| url |
https://nasplib.isofts.kiev.ua/handle/123456789/27083 |
| citation_txt |
Службы каталогов для хранения учетных записей пользователей / Б.Я. Корниенко, Н.Н. Марутовская, Е.О. Шелепов // Збірник наукових праць Інституту проблем моделювання в енергетиці ім. Г.Є. Пухова НАН України. — К.: ІПМЕ ім. Г.Є. Пухова НАН України, 2010. — Вип. 54. — С. 23-30. — Бібліогр.: 4 назв. — рос. |
| work_keys_str_mv |
AT kornienkobâ službykatalogovdlâhraneniâučetnyhzapiseipolʹzovatelei AT marutovskaânn službykatalogovdlâhraneniâučetnyhzapiseipolʹzovatelei AT šelepoveo službykatalogovdlâhraneniâučetnyhzapiseipolʹzovatelei |
| first_indexed |
2025-11-24T07:22:56Z |
| last_indexed |
2025-11-24T07:22:56Z |
| _version_ |
1850843511294787584 |
| fulltext |
23 © Б. Я. Корниенко, Н.Н. Марутовская, Е.О. Шелепов
6. Сороко В. М. Автоматизовані навчаючі системи з елементами штучного інтелекту /
В. М. Сороко, О. В. Журавльов. – К.: НМК ВО, 1992. – 244 с.
7. Ус М. Ф. Адаптивне управління інформаційними процесами в гібридних
інтелектуальних системах : [монографія] / М. Ф. Ус. – Черкаси: Східноєвропейський
університет економіки і менеджменту, 2008. – 258 с.
8. Riding R. Cognitive styles and learning strategies. Understanding style differences in
learning and behaviour / R. Riding, S. Rayner. – London: David Fulton Publishers, 1999. –
217 p.
Поступила 28.01.2010р.
УДК 004.056.5 (076.5)
Б. Я. Корниенко, к.т.н., НАУ, г. Киев
Н.Н. Марутовская, к.т.н., НАУ, г. Киев
Е.О. Шелепов, НАУ, г. Киев
СЛУЖБЫ КАТАЛОГОВ ДЛЯ ХРАНЕНИЯ УЧЕТНЫХ ЗАПИСЕЙ
ПОЛЬЗОВАТЕЛЕЙ
This article examines the directory service, their characteristics and additional
features tools for centralized storage facilities network.
В ходе роста и развития локальной сети необратимо растет количество
рабочих станций и пользователей. Перед системными администраторами
данной сети встает вопрос оптимизации методов управления учетными
записями пользователей. В небольших сетях можно допустить хранение
учетных записей пользователей на локальных рабочих станциях. Однако в
случае с крупной сетью есть смысл использовать центральное хранилище
учетных записей. Таким образом, облегчается работа системных
администраторов по поддержке пользователей, изменению паролей и т.д.
Также данный подход облегчает работу по аудиту безопасности в сети, так
как все пользователи и их права хранятся в одном месте, и все видно как на
ладони. Для централизованного хранения пользователей удобно
использовать службы каталогов [1].
Постановка задачи
В данной статье исследуются службы каталогов, их характеристики и
дополнительные функции, средства для централизованного хранения
объектов сети.
Служба каталогов (Directory Service) — это средство иерархического
представления ресурсов, принадлежащих некоторой отдельно взятой
организации, и информации об этих ресурсах. Под ресурсами могут
пониматься материальные ресурсы, персонал, сетевые ресурсы [2].
24
Каждый ресурс может принадлежать одному или более классам.
Каждый класс показывает, что ресурс является определённым типом
сущности, и имеет определённый набор свойств. Совокупности классов
могут объединяться в схемы, которые описывают типы ресурсов,
применяемые в отдельно взятой предметной области.
Служба каталогов (Directory Service) в контексте компьютерных сетей –
программный комплекс, позволяющий администратору работать с
упорядоченным по ряду признаков массивом информации о сетевых ресурсах
(общие папки, сервера печати, принтеры, пользователи и т.д.), хранящимся в
едином месте, что обеспечивает централизованное управление, как самими
ресурсами, так и информацией о них, а также позволяющий контролировать
использование их третьими лицами [3].
Все службы каталогов ориентированы на поддержку стандартов для
службы распределенного каталога X.500, протокола DAP(Directory Access
Protocol) и облегченного его варианта LDAP(Lightweight Directory Access
Protocol) [4].
LDAP (Lightweight Directory Access Protocol — «облегчённый протокол
доступа к каталогам») — это сетевой протокол для доступа к службе
каталогов X.500, разработанный IETF как облегчённый вариант
разработанного ITU-T протокола DAP. LDAP — относительно простой
протокол, использующий TCP/IP и позволяющий производить операции
аутентификации (bind), поиска (search) и сравнения (compare), а также
операции добавления, изменения или удаления записей. Обычно LDAP-
сервер принимает входящие соединения на порт 389 по протоколам TCP или
UDP. Для LDAP-сеансов, инкапсулированных в SSL, обычно используется
порт 636.
Всякая запись в каталоге LDAP состоит из одного или нескольких
атрибутов и обладает уникальным именем (DN — Distinguished Name).
Уникальное имя может выглядеть, например, следующим образом:
«cn=Иван Петров, ou=Сотрудники, dc=example, dc=com».
Уникальное имя состоит из одного или нескольких относительных
уникальных имен (RDN — Relative Distinguished Name), разделённых
запятой. Относительное уникальное имя имеет вид
ИмяАтрибута=значение. На одном уровне каталога не может
существовать двух записей с одинаковыми относительными уникальными
именами. В силу такой структуры уникального имени записи в каталоге
LDAP можно легко представить в виде дерева.
Запись может состоять только из тех атрибутов, которые определены в
описании класса записи (object class), которые, в свою очередь, объединены в
схемы (schema). В схеме определено, одни атрибуты являются для данного
класса обязательными, а другие — необязательными. Также схема
определяет тип и правила сравнения атрибутов. Каждый атрибут записи
может хранить несколько значений.
25
Функциональное описание протокола
В протоколе LDAP определены следующие операции для работы с
Каталогом:
Операции подключения/отключения
Подключение (bind) - позволяет ассоциировать клиента с определённым
объектом Каталога (фактическим или виртуальным) для осуществления
контроля доступа для всех прочих операций чтения/записи. Для того, чтобы
работать с Каталогом, клиент обязан пройти аутентификацию как объект,
отличительное имя (Distinguished Name) находится в пространстве имён,
описываемом Каталогом. В запросе операции bind клиент может не
указывать отличительное имя, в таком случае будет осуществлено
подключение под специальным псевдонимом anonymous (обычно это что-то
наподобие гостевой учетной записи с минимальными правами)
Отключение (unbind) - позволяет клиенту в рамках сеанса соединения с
LDAP-сервером переключиться на аутентификацию с новым отличительным
именем. Команда unbind возможна только после аутентификации на сервере с
использованием bind, в противном случае вызов unbind возвращает ошибку
Поиск (search) - чтение данных из Каталога. Операция сложная, на вход
принимает множество параметров, среди которых основными являются:
База поиска (baseDN) - ветка DIT, от которой начинается поиск данных
Глубина поиска (scope) - может иметь значения (в порядке увеличения
охватываемой области): base, one, sub
base - поиск непосредственно в узле - базе поиска
one - поиск по всем узлам, являющимся прямыми потомками базового в
иерархии, т.е. лежащим на один уровень ниже него
sub - поиск по всей области, нижележащей относительно базы поиска
(baseDN)
Фильтр поиска (searchFilter) - это выражение, определяющее критерии
отбора объектов каталога, попадающих в область поиска, задаваемую
параметром scope. Выражение фильтра поиска записывается в обратной
(префиксной) польской нотации, состоящей из логических (булевых)
операторов и операндов, в свою очередь являющихся внутренними
операторами сопоставления значений атрибутов LDAP (в левой части) с
выражениями (в правой части) с использованием знака равенства.
Службы каталогов имеют целый ряд коммерческих и свободных
программных реализаций:
Коммерческие:
• MS Active Directory
• Novell NDS
Некоммерческие:
• OpenLDAP
• Apache Directory Server
• Fedora Directory Server в 2009 году переименован в 389 Directory
26
Server
• Mandriva Directory Server (MDS)
В начале внедрения централизованного хранения учетных записей в
локальной сети перед администратором или архитектором сети постает
вопрос выбора службы каталогов. Разные програмные реализации имеют
разные наборы функций и распространяются под разными лицензиями.
Проведем анализ продуктов представленных сейчас на рынке.
Active Directory — LDAP-совместимая реализация интеллектуальной
службы каталогов корпорации Microsoft для операционных систем семейства
Windows NT. Active Directory позволяет администраторам использовать
групповые политики (GPO) для обеспечения единообразия настройки
пользовательской рабочей среды, развёртывать ПО на множестве
компьютеров (через групповые политики или посредством Microsoft Systems
Management Server 2003 (или System Center Configuration Manager)),
устанавливать обновления ОС, прикладного и серверного ПО на всех
компьютерах в сети (с использованием Windows Server Update Services
(WSUS); Software Update Services (SUS) ранее).
Active Directory хранит данные и настройки среды в централизованной
базе данных. Сети Active Directory могут быть различного размера: от
нескольких сотен до нескольких миллионов объектов.
Представление Active Directory состоялось в 1996 году, продукт был
впервые выпущен с Windows 2000 Server, а затем был модифицирован и
улучшен при выпуске сначала Windows Server 2003, затем Windows Server
2003 R2.
В отличие от версий Windows до Windows 2000, которые использовали в
основном протокол NetBIOS для сетевого взаимодействия, служба Active
Directory интегрирована с DNS и TCP/IP. DNS-сервер, обслуживающий
Active Directory, должен быть совместим c BIND версии 8.1.2 или более
поздней, сервер должен поддерживать записи типа SRV (RFC 2052) и
протокол динамических обновлений (RFC 2136).
Широкое распространение операционных систем MS Windows делает
данную службу каталогов распространенной. К недостаткам Active Directory
можно отнести его коммерческое происхождение, неудобство
администрирования, отсутсвие хорошей системы логирования событий,
работа только под ОС MS Windows.
OpenLDAP Software — открытая реализация LDAP, разработанная
проектом OpenLDAP Project. Распространяется под собственной лицензией,
называемой OpenLDAP Public License. LDAP — платформенно-независимый
протокол. В числе прочих есть реализации для различных модификаций BSD,
а также GNU/Linux, AIX, HP-UX, Mac OS X, Solaris, Microsoft Windows
(2000, XP) и z/OS.
Начало OpenLDAP Project было положено в 1998 Куртом Зейленгой
(Kurt Zeilenga). Изначальный код OpenLDAP был скопирован с реализации
27
LDAP Мичиганского университета, где в конечном счёте и была продолжена
разработка и эволюция протокола LDAP.
OpenLDAP состоит из трёх главных компонентов:
• slapd — независимый демон LDAP и соответствующие оверлеи и
инструменты,
• библиотеки реализующие протокол LDAP и
• примеры клиентов: ldapsearch, ldapadd, ldapdelete и других.
OpenLDAP, работающий в связке с файловым сервером Samba, является
полноценной заменой Microsoft Active Directory и файловых серверов под
Windows. Единственное, что может заставить UNIX-администратора
отказаться от внедрения такого решения – сложность настройки сервера
OpenLDAP. Существуют также определенные проблемы совместимости,
затрудняющие эксплуатацию продукта в «смешанных» корпоративных сетях,
где используются «серверные» продукты компании Microsoft и различные
UNIX-системы. Службы каталогов, о которых говорится ниже, в той или
иной степени позволяют справиться с этими затруднениями.
Novell eDirectory (ранее служба каталогов Novell, Novell Directory
Services) — это совместимая с X.500 служба каталогов, выпущенная в 1993
году компанией Novell, Inc. для централизованного управления доступом к
ресурсам на множестве сетевых серверов. Этот продукт широко используется
и конкурирует с Active Directory компании Майкрософт и 389 Directory
Server компании Red Hat.
eDirectory представляет собой иерархическую, объектно-
ориентированную базу данных, которая представляет все ресурсы
организации в виде логического дерева. Ресурсами могут быть сотрудники,
должности, серверы, рабочие станции, приложения, принтеры, службы,
группы и т. д. Эффективное управление глобальным и точным доступом к
ресурсам достигается за счёт использования динамического наследования
прав и использования механизмов эквивалентности по правам. Права доступа
для объектов в дереве определяются во время выполнения запроса и зависят
от того, какие права назначены объекту явно, через эквиваленты по правам и
благодаря местонахождению (контексту) объекта в дереве.
Поддерживаемые платформы:
• Windows 2000
• Windows Server 2003
• SUSE Linux Enterprise Server
• Red Hat Enterprise Linux
• Novell NetWare
• Sun Solaris
• IBM AIX
• HP-UX
Компания Mandriva выпустила свой вариант свободно
распространяемого сервера каталогов. В отличие от 389 Directory Server,
28
официальные бинарные сборки которого поставляются только для
дистрибутива Fedora, на сайте проекта доступны пакеты для Mandriva Linux
2008.1 и 2009.0, Mandriva Corporate Server 4, а также Debian (Etch и Lenny).
Кроме того, продукт включен в Mandriva Enterprise Server 5.
Mandriva Directory Server способен заменить контроллер домена Active
Directory. Он позволяет администрировать пользователей, DNS и DHCP-
серверы, а также почтовые и прокси-серверы. Архитектура MDS наглядно
представлена на рисунке 1. Сервис состоит из двух основных блоков – веб-
интерфейса администратора (MMC web interface) и модуля управления
сервисами с плагинами, написанными на Python (MMC Agent). Остановимся
подробнее на структуре веб-интерфейса. MMC Web interface включает
несколько модулей:
• базовый модуль (base module);
• модуль файловых серверов SAMBA (SAMBA module);
• модуль прокси-серверов Squid/Squidguard (Web proxy);
• модуль почтового сервера PostFix (Mail service);
• модуль серверов ISC DHCP и BIND (DNS/DHCP).
MMC Web interface взаимодействует с MMC Agent через XML-RPC.
Агент управляет сервисами через собственный API и работает с каталогом
LDAP (поддерживаются OpenLDAP и FDS). Сервисы локальной сети в свою
очередь являются клиентами службы каталогов.
Таким образом, мы видим, что MDS нельзя назвать полноценным
сервером каталогов – скорее это административная надстройка над
существующими решениями. Его основная задача – управление каталогом
LDAP и сервисами локальной сети. Что же касается масштабирования –
Mandriva Directory Server спроектирован с поддержкой от десятков до тысяч
записей. Основное преимущество MDS перед аналогичными продуктами –
простота установки и настройки. Кроме того, компания Mandriva предлагает
коммерческую и техническую поддержку MDS, а также включает его в свои
продукты для корпоративных клиентов.
389 Directory Server (ранее Fedora Directory Server, а до того Netscape
Directory Server) — служба каталогов уровня предприятия с открытым
исходным кодом, предназначенная для централизованного управления
доступом к ресурсам на множестве сетевых серверов.
Ключевые особенности:
• Поддержка протокола LDAP v3.
• До четырёх полностью равноправных мастер-серверов.
• Высокая масштабируемость.
• Возможность синхронизации пользователей, групп и паролей с
контроллерами домена Active Directory 2000/2003.
• Консоль администрирования с графическим интерфейсом,
управления из командной строки, и через веб-интерфейс.
• Безопасные аутентификация и транспорт (SSL/TLS и SASL).
29
• Мощный механизм разграничения доступа вплоть до уровня
отдельных атрибутов.
Apache Directory Server - еще один сервер каталогов с открытым
исходным кодом разрабатывает Apache Software Foundation. Apache Directory
Server полностью написан на Java и распространяется под лицензией Apache.
В 2006 году он был сертифицирован Open Group как совместимый с
протоколом LDAPv3. Кроме LDAP, Apache DS поддерживает Kerberos5 и
Change Password Protocol.
Разработчик позиционирует сервер как встраиваемое решение,
предназначенное для интеграции в другие Java-приложения и работающее с
ними в контексте одной VM. На сегодняшний день он встроен в такие
продукты, как Apache Geronimo, JBoss и другие. Тем не менее, Apache DS
можно запустить автономно, например, как службу Windows.
Поскольку программа полностью написана на Java, она успешно
компилируется и работает на огромном количестве аппаратных и
программных платформ. На сайте проекта доступны инсталляторы для
GNU/Linux, Windows и MacOS, а также бинарные пакеты для Debian, Fedora
и Solaris (для платформ SPARC и Intel), но на самом деле набор
поддерживаемых ОС значительно шире.
Помимо стандартного функционала сервера LDAP, в Apache DS
реализованы такие интересные расширения, как хранимые процедуры и
триггеры. Автор проекта Алекс Карасулу (Alex Karasulu) в 2001 году
предложил включить в сервер OpenLDAP поддержку этих объектов, которые
давно используются в реляционных базах данных, но отсутствуют в
спецификациях LDAP. Его попытка провалилась из-за сложности
существующего программного обеспечения. В октябре 2002 года Алекс
начинает разработку собственного сервера каталогов, написанного на Java.
Затем, в октябре 2003 года, он передает права на код своей разработки в
Apache Software Foundation.
К моменту написания данной статьи, на сайте проекта доступны две
версии Apache DS: 1.0.2 и 1.5.4. Кроме того, в рамках проекта
разрабатывается Apache Directory Studio, которая включает LDAP-браузер,
браузер схем, редактор LDIF, редактор DSML и другие клиентские
программы, необходимые для администрирования сервера каталогов.
Выводы
Таким образом, реализаций служб каталогов не так уж и много. Каждая
из них предлагает необходимые средства для централизованного хранения
объектов сети. Некоторые предлагают так же дополнительные функции,
которые могут существенно облегчать жизнь системному администратору.
Практически невозможно однозначно сказать, что какая-либо из реализаций
службы каталогов превосходит остальные. Ясно одно – для избежания
всяческих недоразумений и конфликтов при использовании той или иной
службы каталогов при ее выборе необходимо прогнозировать направление
30 © В.С. Василенко
будущего развития сети и учитывать, какие сервера и рабочие станции будут
в ней использоватся. К примеру, если сеть построена полностью на базе
решений Microsoft, то проще всего использовать Active Directory. В случае
же со смешанной сетью (Unix, Windows) лучше использовать одну из
свободно распространяемых служб каталогов.
1. Laura E. Hunter, Robbie Allen Active Directory Cookbook, 2006. - 532 p.
2. Tom Jackiewicz Deploying OpenLDAP, 2007. - 620 p.
3. Родерик В. Смит. Сетевые средства Linux. : Пер. с англ. - М. : Издательский дом
"Вильямc", 2003. - 672 с.
4. Олсен, Гэри Л. Служба Active Directory Windows 2000: разработка и внедрение :
Вильямс, 2001. -624 с.
Поступила 11.02.2010р.
УДК 681.3
В.С. Василенко, к.т.н., НАУ, м. Київ
МОДЕЛЬ ЗАГРОЗ В ІНФОРМАЦІЙНИХ МЕРЕЖАХ
Summary: More detailed and perfect model of threats to the informative
resources is offered in the distributed computer networks.
В [1-3] на основі досить детального аналізу множини можливих загроз
[4-9] наведено приклад та методику побудови їх моделі, що є певним кроком
у визначенні сукупності потрібних засобів захисту інформаційних об’єктів
відповідної розподіленої обчислювальної мережі (РОМ) та побудові системи
захисту. Але запропонована в [3] модель не дає відповіді на питання щодо
механізмів реалізації кожної із множини можливих загроз, а отже не дозволяє
конкретизувати склад засобів такої системи захисту. Тому нижче
запропоновано більш досконалий варіант моделі загроз. В цій моделі, як і в
[3] визначені властивості захищеності інформаційних об’єктів, які можуть
бути порушеними – конфіденційність (к), цілісність (ц), доступність (д) та
якісна оцінка ймовірності здійснення загроз та рівнів збитків (шкоди) по
кожному з видів порушень.
Як і в попередніх матеріалах, методика розроблення такої моделі
полягає в тому, що в один із стовпчиків таблиці заноситься по можливості
повний перелік видів загроз; в наведеному прикладі такий перелік наведено в
стовпчику 2. Надалі для кожної із можливих загроз шляхом їх аналізу
(можливо і методом експертних оцінок) необхідно визначити:
ймовірність виникнення таких загроз. Як перший крок визначення такої
|