[an error occurred while processing this directive] [an error occurred while processing this directive]  
NOVELL CONNECTION KEZDőLAP  
Novell conNection
A hálózati szakértők magazinja
 
 

Az informatikai rendszerek automatizált működtetése

A DirXML 2.0 – amely jelenleg béta verzióban van – számos új funkcióval bővíti a metacímtár által kínált szolgáltatásokat

A két éve történt termékbejelentés után a Novell DirXML eszköze a számos referencia megvalósítás során szerzett információkkal bővítve, megújult formában további funkciókkal felvértezve segíti az informatikai rendszerek automatizált működtetését. Természetes módon az alapkoncepció, miszerint a felhasználó felügyeletre, egy platformfüggetlen, eseményvezérelt nyílt szabványokon alapuló megoldás szükséges, nem változott, de a funkcionalitás és az üzembiztosság újabb és újabb modulokkal bővült. A jelenlegi verzió – 1.1a – továbbfejlesztett meghajtókkal és kibővített funkciókkal segíti az 1-es verzión alapuló rendszerek mindennapos működtetését, míg a jelenleg még béta fejlesztési fázisban lévő 2.0-ás verzió további szolgáltatásokat is nyújt.

DirXML 1.1a

A DirXML 1.1a verziójának két legfontosabb újítása a Novell iManager alapú felület, amely követve az informatikai világ trendjeit WEB alapú felügyeletet biztosít, valamint a Report and Notification Service (RNS), amely a DirXML rendszerek üzemeltetéséhez biztosít felügyeleti megoldást.

1. ábra, SAP meghajtó áttekintő ábrája

Novell iManager

A DirXML 1.1a verziójától kezdve a DirXML rendszerek felügyelete és fejlesztése a böngészővel elérhető Novell iManager segítségével is elvégezhető. Az új felület számos varázsló segítségével segíti az eszköz konfigurálásának feladatait, mint új meghajtó létrehozása, importálása vagy szabályok definiálása. Az eszköz könnyen áttekinthető grafikus felületen jeleníti meg a fedolgozás munkafolyamatát, az egyes feldolgozó modulokat és az azok között fellépő kapcsolatot. Az iManager-rel például egy SAP meghajtó munkafolyamata az alábbi könnyen áttekinthető 1. ábrán jeleníthető meg. Az iManager-rel a teljes metacímtár rendszerről is lehetséges grafikus felületen az adatfolyam egészére vonatkozó információkat elérni. (2. ábra)

Az iManager minden olyan funkciót biztosít, amelyet az eddig használt felügyeleti eszközben fellelhetünk (ConsoleOne), oly módon hogy ezek a funkciók kliens telepítése nélkül elérhetőek a hálózat bármely pontjáról. Az iManagerrel nem csupán a DirXML rendszer felügyelete valósítható meg, hanem az összes Novell eszköz integrált módon vezérelhető.

Report and Notification Service

Egy komplex, sok rendszerrel integrált metacímtár működése közben annak ellenőrzése és felügyelete, hogy mind a metacímtár mind a csatolt rendszerek szinkronban vannak nem egyszerű feladat. A gondos tervezés a hibákat kiszűrheti, de még a legkörültekintőbb előkészületek esetén is előfordulhat, hogy egy adatelem szinkronizációja meghiúsul. A Report and Notification Service (RNS) segítségével a DirXML rendszer működésével kapcsolatos státusz információk megfelelő és nagy biztonságú kezelése valósítható meg:

Kibővített üzenetkezelési funkció: Az RNS-sel DirXML meghajtónként lehetséges a naplózás és értesítés módjának és szintjének meghatározása.

A kibővített üzenetkezeléssel elérhető, hogy meghajtónként más és más csatornán kerüljenek naplózásra az üzenetek (hibák, figyelmeztetések), valamint az üzenetek kezelésével foglalkozó szakemberek csak megfelelő szűrés után kapják meg a valóban fontos információkat.

Automatikus értesítés: Az RNS-sel nem szükséges a működés közben létrejövő naplók rendszeres figyelése és elemzése, mivel a kritikus események esetén az RNS e-mail vagy SNMP üzenet formájában képes értesítést küldeni, amely alapján a hibák kezelése megvalósítható.

Üzenetirányítás: Az RNS lehetőséget bitosít arra, hogy szűrők segítségével az egyes üzenetek feldolgozására tetszőleges munkafolyamatot építsünk, amely az üzenet tartalma, jellege szerint más módon más irányba irányítja a feldolgozást.

2. ábra, 7 meghajtót tartalmazó metacímtár áttekintő térképe

Naplózó eszköz: Az RNS kialakításakor fő szempont volt, hogy a szervezet meglévő napló és értesítő mechanizmusaihoz illeszthető rendszer kerüljön kialakításra, ezért az RNS képes számos naplózó eszköz (logging device) használatára. Az alap konfiguráció file, snmp, smtp alapú vagy ldap címtárba irányított naplózást valósít meg, de várható, hogy rövidesen megvalósításra kerül az adatbázis alapú naplózó eszköz interfész is.

Folyamatos figyelés: Az RNS-sel nem csupán a hibák és figyelmeztetések esetén történő értesítés valósítható meg, amely az üzembiztonságot növeli, hanem az adatmozgások folyamatos naplózása is beállítható. Az RNS-el írt napló állományok alapján visszamenőlegesen minden adatmozgás visszakereshető, a helyes működés ellenőrizhető.

Workflow Request Service Driver

A Workflow Request Service Driver célja, hogy adatváltozás esetén lehetőség nyíljon a felhasználók értesítésére, esetleges kézi adatrögzítés megvalósítására. A meghajtó segítségével olyan adatok karbantartása és legyűjtése is megvalósítható, amely nem kerül tárolásra informatikai rendszerben, ezért automatikus adatkezelése nem valósítható meg.

3.ábra, üzenetirányítás RNS-sel

Például: egy esemény lehet egy felhasználó rögzítése, és egy kézi adatrögzítési feladat lehet a szobaszám rögzítése. Egy másik folyamat lehet például az adminisztrátor értesítése új felhasználó rögzítésekor, vagy szervezeti egység változásakor.

A Workflow Request Service Driver abban különbözik a többi DirXML meghajtótól, hogy nem rendszerspecifikus, bármely, a DirXML-el szinkronizált rendszerrel képes együttműködni, magának a rendszermagnak a része.

Működési típusok

A meghajtó két módon képes bevonni a felhasználókat az adatfolyamba:

  • Közvetlen adatbekérés esetén egy e-mail kerül elküldésre a felhasználónak, amelyben az adatrögzítést megkérjük. A címzett az üzenetre oly módon válaszol, hogy az üzenet törzsében feltüntetett URL-re kattintva egy böngészőben authentikál a címtárba, majd a web oldalon a megjelenített információk alapján elvégzi az adatrögzítést. A felvitt adatok közvetlenül a metacímtárba kerülnek rögzítésre, lehetőséget biztosítva további folyamatok elindítására.
  • &Eeacute;rtesítés üzemmódban csak egy elektronikus üzenet kerül elküldésre, amely az adatváltozásról értesíti a felhasználót. Ebben az esetben más csatolt rendszerek bevonásával történhet az adatrögzítés.

Példa: Közvetlen adatbekérés

Tipikus folyamat lehet az, amikor egy új alkalmazott rögzítésekor a vezető megjelöli a munkahelyét:

  • Új felhasználó részére létrejön az objektum a metacímtárban (pl. a személyügyi rendszer csatolása révén)
  • A Workflow Request Service Driver egy SMPT üzenetben értesíti a vezető asszisztensét. Az SMTP üzenet a felhasználó neve és egyéb személyügyi rendszerben tárolt adatai mellett tartalmaz egy URL-t, amelyen keresztül az adatrögzítés végrehajtható.
  • A vezető asszisztense az URL-re kattintva authentikálja magát, majd egy HTML oldalon kitölti a szobaszámot.
  • A szobaszám automatikusan rögzítésre kerül az eDiretory-ban.

DirXML 2.0 (béta)

A DirXML 2.0 – amely jelenleg béta verzióban van – számos új funkcióval bővíti a metacímtár által kínált szolgáltatásokat. Ezen szolgáltatások nem csupán az fejlesztést és üzemeltetést egyszerűsítik, hanem szolgáltatásaiban is bővíti a DirXML rendszereket.

4. ábra, Irányelv alapú jelszóbeállítás

Felhasználó szerepkörök kezelése

A funkcióval lehetőség nyílik a szerepkörök automatikus kezelésére a metacímtárban. A metacímtárban tárolt egyes szerepkörökhöz hozzárendelt felhasználók esetében, a szerepkör beállításainak függvényében a csatolt rendszerekben a jogosultság beállítások azonnal végrehajtásra kerülnek.

Irányelv alapú jelszó beállítás

A felhasználó vagy az adminisztrátor a metacímtárban történő adminisztrációval beállíthatja a jelszavakat az összes csatolt rendszerben. Szükség esetén a jelszóbeállítás irányelvekhez rendelhető.

Az irányelv kiterjedhet a jelszavak minimális-maximális hosszára, kis-nagy betűk számára, numerikus karakterek felhasználására, jelszólejáratra, jelszavak újrafelhasználhatóságára, nem használható jelszavak listájára, „grace” bejelentkezések támogatására.

A funkcióval támogatott platformok: NetWare, AD, NT, RedHat, SunOne, Solaris, Secureway, GroupWise, Exchange 2000 & 5.5, Notes web kliens. (4. ábra)

Elfelejtett jelszavak

A DirXML 2.0-val lehetőség nyílik az üzemeltetés – és a felhasználó – számára oly kellemetlen elfelejtett jelszavakkal kapcsolatos jelenségek automatikus kezelése. Az adminisztrátor által meghatározott kérdésre adott válasszal WEB-en keresztül lehetősége nyílik a felhasználónak új jelszó beállítására, vagy az eredeti jelszó e-mail-ben történő megigénylésére. (5. ábra)

5. ábra, Elfelejtett jelszavak kezelése

Kiajánlható adminisztráció

A funkció segítségével a metacímtárral kapcsolatos adminisztráció különböző szerepkörökhöz rendelhető. Meghatározható, hogy ki milyen feladatot hajthat végre és a felhasználók mely csoportján.

Alapértelmezett feladatok:

  • Jelszóváltoztatás
  • Attribútum és jogosultság beállítás
  • Felhasználó letiltása csatolt rendszerekben

Minden funkció az iManager 2.0 keretrendszerrel integrált módon, webfelületen kerül megvalósításra.

Régi meghajtók új funkciók

Novell DirXML Driver 1.6.1 for JDBC

Az új JDBC driver nem inkább funkcióiban, hanem felhasználhatóságában bővebb mint elődje. Az újraírt meghajtó immáron minden JDBC interfészen elérhető és a dokumentációban feltüntetett feltételeknek megfelelő adatbázishoz felhasználható.

Maga a Novell is számos adatbázison tesztelte, és az alábbiakhoz konkrét felhasználási dokumentációval rendelkezik:

  • IBM* DB2 Universal Database 7.2 vagy magasabb verziójú
  • Informix* Dynamic Server (IDS) 9.30 vagy magasabb verziójú
  • Microsoft* SQL Server 2000 Service Pack 2 vagy magasabb verziójú
  • Microsoft SQL Server 7 Service Pack 4-gyel
  • MySQL 3.23
  • Oracle* 8i release 3 (8.1.7)
  • Oracle 9i release 2 (9.2.0.1) vagy magasabb verziójú
  • Sybase Adaptive Server Enterprise (ASE) 12.5 vagy magasabb verziójú

A javasolt JDBC illesztők köre is kibővült az alábbiakra:

  • BEA* Weblogic* Type 4 jDriver for Microsoft SQL Server 7/2000 5.1.0 Service Pack 11 vagy magasabb verziójú
  • IBM Type 3 JDBC driver for DB2 UDB 7.2 vagy magasabb verziójú
  • Informix JDBC Driver 9.3 vagy magasabb verziójú
  • Oracle* 8i JDBC Driver 8.1.7.1
  • Oracle 9i JDBC Driver 9.2.0.1 vagy magasabb verziójú
  • Microsoft SQL Server 2000 Driver for JDBC 2.2 vagy magasabb verziójú
  • MySQL Connector/J 2.0.14
  • Sybase jConnect JDBC Driver 2.2 vagy magasabb verziójú

Novell DirXML Driver 1.5.2 for Lotus Notes

A meghajtó számos új funkcióval rendelkezik:

  • DATETIME típusú attribútumok támogatása
  • MailFile létrehozási helyének rugalmas konfigurációja
  • MailFile ACL Control funkcióval a mailfile-ra kiadott ACL-ek szabályozhatóak.
  • Fejlett naplókezelés: Az új meghajtó által megvalósított naplókezelés, a Notes adatbázisban vezeti az átadott információk pontos naplóját, amely így akár Notes felületen keresztül is feldolgozható és megjeleníthető.
  • Fejlett kapcsolatkezelés: Az újraírt driver más módon kapcso- lódik a Notes adatbázishoz mint a korábbi. A felhasznált kapcsolódási mód (connection mangement model) mind sebesség- ben mind megbízhatóságban jobb működést tanúsít.
  • NDSRep debug információk: Az új verziójú NDSRep program a Notes adatbázissal történő kommunikációról bővebb naplózást készít, amely a nyomonkövetést és hibakeresést nagymértékben segíti.
  • RNS-sel integrált működés: Az új meghajtó a Report and Notification Service-szel integrált módon támogatja a működtetést.

Új meghajtók

DirXML Driver for NIS

A NIS meghajtó lehetőséget biztosít a metacímtárban tárolt információk szinkronizációjára a UNIX környezetben authentikációra használt rendszerekkel: jelszó és csoport állományokkal, NIS(YP) vagy NIS+ adatbázisokkal.

File alapú, NIS és NIS+ authentikáció

A felhasználók authentikációjára három elterjedt mód kerül általában felhasználásra UNIX környezetekben:

- File alapú authentikáció során a rendszeren tárolt állományokban kerülnek rögzítésre a felhasználók, valamint a jelszó hash-ek. Ezekben a ASCII szöveges állományokban kell módosítani a fel- használók adatait, innen kell törölni a megfelelő sort a hozzáférés visszavonásához. A felhasználókhoz tartozó információk ebben az esetben az /etc/passwd valamint /etc/group állmányokban lelhetők fel.

- Network Information Service (NIS(YP)): A helyileg adminisztrált állományok már nem megfelelő megoldást nyújtanak a számos klienst, valamint több szervert üzemeltető környezetekben. Ezekre az esetekre került kialakításra a NIS(YP), amely a felhasználói információk elosztott kezelését teszi lehetővé. A NIS(YP) az információk tárolására MDB formátumú állományokat használ.

- Network Information Service Plus (NIS+): A NIS(YP) megoldás olyan kliens szerver környezetekre került kialakításra, ahol pár ezer felhasználó és számos több célra felhasználható szerver működik. Felhasználhatósági korlátainak átlépésére került kialakításra a NIS+, amely skálázhatóságában felülmúlja elődjét. A NIS+ elosztott, hierarchikus adatbázisa domain struktúrában kezeli akár több ezer felhasználó adatát is. A felhasználó és csoport információk relációs adatszerkezetekben kerülnek tárolásra. A NIS+ működését tranzakciós logok teszik biztonságossá.

6. ábra, NIS meghajtó felépítése

A meghajtó architektúrája

A driver a felhasználó és csoport információk megfeleltetését és szinkornizációját valósítja meg az eDirectory valamint a UNIX rendszer között. (6. ábra)

A DirXML Driver for NIS kétirányú kommunikációt valósít meg a DirXML motor, valamint a különböző típusú UNIX adatbázis állományok között. A Driver az eDirectoryban – a megszokott módon – objektumok formájában jelenik meg, amely objektumok ConsoleOne eszközzel, vagy iManager-rel érhetőek el. A meghajtó két fő komponense az előfizetői csatorna (Subscriber channel), amely az eDirectoryban történt változásokat közvetíti a UNIX rendszer felé (/etc/passwd, /etc/shadow és /etc/group állományok, vagy a NIS(YP) vagy NIS+ táblák), valamint a kiadói csatorna (Publisher channel), amely a UNIX rendszer adatbázisainak pollozásával aktualizálja a metacímtár tartalmát.

Előfizetői csatorna

Az előfizetői csatorna üzenetek formájában értesül a metacímtárban történt eseményekről: felhasználó vagy csoport felvételéről, módosításáról, törléséről vagy átnevezésétől. Az üzenetek típusának és tartalmának megfelelően a meghajtó azonnal végrehajtja a változásokat a UNIX rendszereken.

(7. ábra)

7.ábra, NIS meghajtó előfizetői csatorna

Kiadói csatorna

A kiadói csatorna a UNIX adatbázisok pollozásával érzékeli az adatmódosításokat, amelyeket eseménnyé alakítva azonnal átvezet a metacímtár adatszerkezetein.

(8. ábra)

8.ábra, NIS meghajtó kiadói csatorna

DirXML Password Synchronization for Windows

A DirXML Password Synchronization meghajtó segítségével lehetőség nyílik a metacímtárban tárolt jelszavak szinkronizációjára Microsoft NT domain-be, illetve Microsoft Active Directory-ba. A szinkronizációval a felhasználóknak csupán egy helyen kell karbantartaniuk a jelszavakat, azok automatikusan szinkronba kerülnek a metacímtárban és a Microsoft rendszerekben. A jelszóváltást is elegendő egyetlen rendszerben végrehajtani, utána a váltás az összes csatolt rendszerben megtörténik. A DirXML Password Synchronization for Windows meghajtóprogram a DirXML 1.1a rendszerek által megvalósított AD és domain csatolók egy olyan kiterjesztése, amely a leíró adatok kétirányú szinkronizációja mellett a jelszavak szinkronban tartásához is ad támogatást.

Password Synchronization felépítése

A PasswordSync architektúrájában gyökeresen eltér a többi DirXML meghajtótól. Egy olyan szolgáltatásként képzelhető el a legjobban, amely a jelszót cserélő alkalmazás és a jelszót tároló adatbázis határán egy ügynök segítségével elkapja a jelszóváltást, amelyet egy esemény formájában más rendszerek részére is eljuttat. A PasswordSync Agent a más rendszerekkel való kommunikációhoz titkos és authentikált csatornákat használ, amelyet a 9. ábrán nyilak jeleznek.

Az alkalmazások oldalán telepített alkalmazás úgynevezett jelszó filterek segítségével érzékelik a jelszóváltást a rendszerekben. A filterek a jelszóváltásról üzenetet küldenek a PasswordSync ügynöknek, amely az esemény alapján végrehajtja a jelszóváltást a csatolt rendszerekben. A PasswordSync ügynök egy szolgáltatásként fut a Windows NT vagy Windows 2000 szervereken. Az ügynökökből kellő számú telepítető, hogy az összes domain lefedhető legyen illetve a kellő redundancia létrejöjjön. A PasswordSync filter az NT domainek és Active Directory-k esetében a tartományvezérlőn futnak és két feladatot látnak el: nyilvántartják a PasswordSync ügynökök listáját, illetve észreveszik a jelszóváltást, amit továbbítanak.

9.ábra, PasswordSync architekturája

Password Synchronization működése

A Microsoft kliens egy jelszóváltási kérést küld a domain kontrollernek feldolgozásra. A PasswordSync filter még a titkosítás előtt megkapja a jelszót, és az ügynöknek továbbítja. Mivel a jelszóváltást bármelyik Active Directory domain kontroller vagy NT elsődleges domain kontroller végrehajthatja, ezért mindegyikre telepíteni kell a filtert. A PasswordSync telepítésekor lehetőség nyílik a filter távoli telepítésére az egyszerűbb implementáció végett. A PasswordSync-hez a Microsoft kliensekre egyéb komponens telepítése nem szükséges, a feladatokat teljes egészében elvégzi a szerverre telepített filter. Az eDirectory-hoz tartozó filter a Novell kliens részét képezi. A Microsoft klienssel ellentétben a Novell kliensen kezdeményezett jelszóváltás nem szerver oldalon kerül feldolgozásra. A PasswordSync filter a Novell kliensre telepítve, automatikusan, titkosan és transzparensen küldi el a váltásra vonatkozó információkat az ügynöknek. Ahhoz, hogy minden kliensről működjön a szinkronizált jelszóváltás, minden kliens frissítése szükséges. A telepítés egyszerűsítése végett Novell ZENworks, vagy login script használható fel.

DFTM

Nagy megbízhatóságú DirXML rendszerek kialakítására ad lehetőséget a DirXML Fault Tolerance Manger 1.1-es verziója. A DFTM segítségével lehetőség nyílik több szerveres környezet esetében a DirXML meghajtók automatikus és folyamatos monitorozására, valamint szükség esetén az automatikus beavatkozásra. Szerverleállás, hálózati kapcsolat megszakadása esetén a DFTM detektálja a szinkronizáció megszakadását, és a tartalék szerveren elindítja a szinkronizációt. A magas rendelkezésre állás biztosítása mellett a DFTM a meghajtók rotálásával terhelés megosztást is képes megvalósítani a szerverek között, valamint intuitív felületén egypontos felügyeletet nyújt a komplex rendszer karbantartója részére.