Novell eDirectory
Лидирующая в мире служба каталога Novell® eDirectory™ стала еще лучше. Версия eDirectory 8.8 содержит множество усовершенствований и дополнений, которые делают продукт еще более подходящим для сложных систем - как централизованных, так и распределенных - и упрощают установку, миграцию и управление. Novell eDirectory 8.8 предлагает самый полный набор служб каталога для широкого спектра операционных систем и поддерживается на платформах Linux*, UNIX*, Windows* и NetWare®.
Новые функции и возможности:
- Усовершенствования в области установки и обновления - проверки состояния, установка с использованием сценариев, управление исправлениями.
- Улучшения в области импортирования данных - повышенная скорость импортирования большого объема данных.
- Приоритетная синхронизация - изменения важных данных (например, паролей), немедленно заносятся во все реплики одновременно.
- Поддержка множества копий - несколько копий eDirectory может исполняться на одном сервере
- Шифрование - более гибкие опции шифрования.
- Поддержка SASL GSSAPI - аутентификация в eDirectory через LDAP с использованием технологии Kerberos.
- Улучшенный механизм унификации паролей - поддерживает специальные символы в паролях и следит за выполнением правил, требующих чувствительности к регистру.
Novell eDirectory составляет основу крупнейших в мире и наиболее сложных систем управления электронными персонами. Это мощная служба каталога, позволяющая предприятиям управлять учетными данными и безопасным доступом своих сотрудников, заказчиков и партнеров. Благодаря eDirectory любые предприятия, включая малые и средние фирмы, крупные корпорации, поставщиков услуг business-to-business, business-to-consumer и веб-сервисов, могут создать фундамент надежных решений для управления аутентификацией и доступом.
Версия 8.8 служит важной вехой в истории семейства продуктов Novell eDirectory, отвечая повышенным требованиям, которые предъявляют как крупные организации, так и предприятия малого и среднего бизнеса. Внесенные в eDirectory 8.8 усовершенствования существенно облегчают процесс установки и управления обновлениями и исправлениями, сокращают время и стоимость администрирования и значительно упрощают внедрение eDirectory.
Управление электронными персонами на базе Novell eDirectory
Novell eDirectory - уникальная и мощная технология, которая упрощает контроль доступа к тем или иным ИТ-ресурсам компании. Novell eDirectory особенно эффективна для крупных организаций со сложной распределенной структурой, в которой требуется организовать управление на многих уровнях. Будучи очень гибкой структурой, eDirectory может управлять широким спектром ресурсов, включая данные, периферийные устройства, коммуникации и приложения, а также пользователей. Ни одна другая служба управления электронными персонами не обладает подобной гибкостью и не может охватить столь широкий спектр ресурсов точным и детальным управлением. Кроме того, никакая иная служба каталога, кроме Novell eDirectory, не допускает такого масштабирования по размеру и охвату разных систем и множества территорий.
Novell eDirectory служит центральным хранилищем всей идентификационной информации. В число атрибутов электронных персон входят все стандартные переменные, такие как ID пользователя, пароль, местонахождение, подразделение и другие. Этот перечень может быть расширен за счет введения специализированных атрибутов и групповых идентификаторов. Содержимое eDirectory может быть централизованным, распределенным или реплицируемым с автоматической синхронизацией между сегментами данных, репликами и даже другими службами каталога или хранилищами электронных персон.
Вся информация каталога защищена средствами безопасности высочайшего уровня. Атрибуты персоны, а также все коммуникации или обращения за информацией могут быть зашифрованы для обеспечения безопасного доступа. Система Novell eDirectory не привязана к конкретной физической машине и может быть сделана кластерной или реплицируемой, чтобы гарантировать устойчивость к отказам.
Более того, Novell eDirectory не зависит от платформы и может работать на множестве операционных систем (Linux, UNIX, Windows или NetWare) с гарантированным взаимодействием между копиями eDirectory на каждой из платформ. Таким образом услуги по управлению электронными персонами для ресурсов на всех платформах предоставляются одновременно.
Что делает Novell eDdirectory
Чтобы эффективно и рационально управлять доступом к тем или иным ресурсам, требуется полноценная служба каталога.
Novell eDirectory - это гораздо больше, чем просто каталог LDAP или база данных с именами пользователей, паролями и списками управления доступом. Полнофункциональная служба каталога состоит из специализированных элементов в составе сложной архитектуры, которая обеспечивает уникальное сочетание услуг идентификации и управления.
Вкратце, Novell eDirectory представляет собой единое, централизованное хранилище удостоверяющих данных и общую платформу управления, необходимую для контроля доступа к приложениям, системам и службам компании, а также для организации их эффективной работы.
Фундамент для управления электронными персонами
На верхнем уровне каталог Novell eDirectory может служить авторитетным источником электронных персон. Он позволяет точно определить все связанные с конкретным человеком атрибуты, необходимые для любого доступа, проверки, авторизации или разрешения. Novell eDirectory позволяет создать индивидуальный объект пользователя, а затем присвоить этому объекту все атрибуты или свойства, которые точно его определяют. Эту индивидуальную информацию можно расширять и кастомизировать, добавляя новые атрибуты, в том числе данные (имя, местонахождение, подразделение, допуски и т.п.) и отношения. К отношениям относятся положение в иерархиях, членство в группах, условия, политики и другое. Сочетание определения электронной персоны с информацией отношений обеспечивает возможность индивидуального и детального управления, а также служит мощным средством общего управления организацией. Те же средства идентификации (определение и отношения) применяются и к сетевым ресурсам, таким как периферийные устройства, приложения, устройства хранения данных, коммуникационные каналы и т.д. Четкое определение ресурсов позволяет осуществлять их идентификацию и локализацию, а их отношения определяют, как ресурсы могут взаимодействовать друг с другом. Novell eDirectory управляет тем, как ресурсы могут обращаться к другим ресурсам с теми же уровнями безопасности или на базе тех же типов политик, что и пользователи. Электронные персоны индивидуальны, четко определены, защищены от уязвимостей и доступны для доверительного, управляемого доступа ко всем видам ресурсов.
Хранилище данных
Конкурентным преимуществом Novell eDirectory является уникальная архитектура хранилища удостоверений личности. Согласно модели "один источник/все виды доступа", для одной электронной персоны хранятся разные удостоверения личности для разных служб. Концепция сегментов и реплик позволяет создавать широко распределенные и масштабируемые каталоги без узких мест или снижения производительности. eDirectory может распределяться по многим серверам, что исключает зависимости или условия, делающие службу недоступной в случае отказа отдельного сервера. Сегменты обеспечивают масштабируемость по размеру и географическому охвату без снижения производительности, а синхронизация реплик гарантирует быстрый локальный доступ к данным электронных персон.
Данные атрибутов каталога могут извлекаться из eDirectory и предоставляться для высокоскоростного доступа в приложениях (таких как справочник "белые страницы") для внутреннего или внешнего использования. API и стандартные протоколы доступа, такие как LDAP, гарантируют высокую степень гибкости при вводе или выводе информации объектов каталога и атрибутов.
Независимость Novell eDirectory от платформы гарантирует беспрецедентную гибкость в смешанной среде. Копии eDirectory, сегменты, реплики и подсоединенные службы могут работать на Linux, UNIX, Windows и NetWare или любом сочетании этих платформ, гладко взаимодействуя между собой с возможностью создания отказоустойчивых решений, кластеров и резервируемых систем. Ни одно другое хранилище данных для управления электронными персонами не обладает такой гибкостью, безопасностью или масштабируемостью.
Управление
Общая платформа управления обеспечивает упрощенное управление содержимым каталога и его отображение. В состав Novell eDirectory входит Novell iManager - интерфейс управления, обеспечивающий системных администраторов комплексным и глобальным представлением всех ресурсов и связей с использованием обычного веб-браузера, а также ряд других инструментов мониторинга, диагностики и управления. Задачи администрирования можно делегировать, что позволяет легче администрировать глобально распределенную сеть. Естественно, eDirectory предлагает также опции клиента и управления на основе командной строки.
Благодаря своей уникальной архитектуре и многолетней эволюции во многих крупнейших в мире организациях Novell eDirectory обеспечивает беспрецедентный выбор фундаментальных служб управления электронными персонами. Ниже перечислены концепции этих служб.
Хранение данных
Содержимое Novell eDirectory всегда находится в безопасности, благодаря следующим характеристикам:
- Устойчивость - нечувствительность к отказам аппаратуры
- Целостность - гарантированная проверка всех операций синхронизации
- Сегментация - возможность подразделять хранилище каталога на отдельные сегменты
- Распределение - сегменты или реплики могут распределяться по другим местам
- Индексация - индексация контента обеспечивает скоростной доступ для разных целей.
Отношения
Уникальная идентификация и мощное управление достигаются благодаря следующим характеристикам отношений:
- Иерархия - обеспечивает идентификацию на основе положения, занимаемого в иерархии
- Роли - обеспечивает привилегии в соответствии с должностными обязанностями, интересами или предпочтениями
- Ссылки - сохраняют целостность связей между множеством копий объекта/электронной персоны
- Предположения - назначают привилегии и политики доступа в зависимости от контекста
Безопасность
Ресурсы доступны только тогда, когда пользователь идентифицирован. Обеспечиваются следующие характеристики безопасности:
- Аутентификация - процесс удостоверения личности в системе
- Квалификация - множество элементов управления, используемых в процессе аутентификации
- Полномочия - делегирование, распространение или распределение процесса аутентификации
- Принуждение - механизмы обеспечения соответствующих правил доступа
- Аудит - отслеживание и историческая регистрация всех транзакций для проверок.
Представление
Представление - это возможность для пользователя или приложения просматривать или использовать содержимое каталога. К числу характеристик представления относятся:
- Публикация - редактирование и распространение содержимого каталога
- Оповещение - подача сигналов внешним системам о событиях, происходящих в каталоге
- Поиск - извлечение из каталога определенной информации
- Выборка - позволяет обращаться к информации строго определенным образом.
Эти и другие характеристики Novell eDirectory делают его гораздо большим, чем база данных пользователей или простой каталог LDAP. Полнофункциональный каталог позволяет администраторам безопасно и надежно управлять сетью и контролировать ее в то время, когда в организации происходят изменения, связанные с ростом или интеграцией, а также в процессе освоения новой технологии. Novell eDirectory - единственный полнофункциональный каталог, который упрощает, автоматизирует и защищает информацию, используя все преимущества новой информации и технологий.
Новое в eDirectory 8.8
Novell eDirectory 8.8 содержит усовершенствования в области производительности, безопасности, консолидации и инсталляции. Данный раздел настоящего документа содержит обзор новых функций и усовершенствований, появившихся в eDirectory 8.8. За более подробным описанием всех функций и сценариев установки, а также за документацией обращайтесь, пожалуйста, на веб-сайт Novell eDirectory по адресу: http://www.novell.com/products/edirectory.
Усовершенствования в области производительности
Несколько усовершенствований, сделанных в версии eDirectory 8.8, позволили повысить производительность определенных функций. В их число входят:
- Приоритетная синхронизация - дополняет существующий процесс репликации eDirectory, позволяя администраторам присваивать электронной персоне определенные атрибуты для синхронизации приоритетов при внесении изменений. При обычном процессе репликации изменения синхронизируются в том же порядке, в каком они вносятся. При приоритетной синхронизации определенные изменения или операции можно сделать более приоритетными по сравнению с другими.
Эта функция часто применяется с паролями; если установлены определенные атрибуты приоритетной синхронизации, изменение пароля пользователя может вступить в силу практически сразу по всей системе. В этом случае не будет задержки с доступом или окна уязвимости, когда два пароля предъявляются для доступа к одним и тем же данным.
- Повышенная производительность при импортировании данных - каталог Novell eDirectory всегда позволял вносить массовые изменения с использованием разных инструментов, включая инструменты OpenLDAP и утилиту Novell Import Convert Export (ICE). При разработке eDirectory 8.8 Novell уделила особое внимание повышению производительности импорта для рационализации процесса консолидирования содержимого каталога.
Усовершенствования в области инсталляции
Процесс физической установки Novell eDirectory на любой из поддерживаемых платформ стандартизирован и прост. В крупных организациях со многими ИТ-центрами, расположенными в разных местах, процесс конфигурирования компонентов eDirectory и гарантирования безошибочного функционирования всего каталога может потребовать времени и трудозатрат. Несколько новых функций Novell eDirectory 8.8 упрощают и рационализируют процесс установки и конфигурирования.
- Полная поддержка сценариев - можно составить сценарий процесса установки с введенными в него переменными или запросами на ввод данных. Это позволяет администраторам автоматизировать и упростить задачи инсталляции и конфигурирования. В сценарии можно вводить разные переменные для управления конфигурацией, включая местонахождение файлов и лицензий, а также местонахождение приложений, данных и файлов конфигурации.
- Местонахождение DIB - администраторы могут указывать местонахождение информационной базы каталога (DIB) (раньше она могла располагаться лишь в одном определенном месте). Это дает большую гибкость при конфигурировании кластерных и отказоустойчивых решений.
- Проверка состояния перед обновлением - так как eDirectory может функционировать в качестве "центральной нервной системы" предприятия, храня идентификационную информацию по каждому ресурсу, объекту или пользователю, конфигурация каталога может оказаться довольно сложной. Процесс проверки состояния перед обновлением выявляет аномалии, которые могут привести к сбою при обновлении, и информирует о них. Администраторы могут обеспечить гладкую установку обновлений, и не переносить существующие проблемы в новую среду. Проверка состояния перед обновлением выполняется автоматически при установке eDirectory 8.8, но может быть инициирована и вручную.
- Конфигурирование - время, необходимое для конфигурирования eDirectory, значительно уменьшилось, и администраторы могут решать, какие опции конфигурации нужно инициировать. Проверка схемы, индексация и проверка достоверности - все эти опции можно включать или отключать в зависимости от обстоятельств и ограничений по времени.
- Возможности установки исправлений - во многих случаях сервер или приложение можно обновить без переустановки всего пакета программного обеспечения. Novell eDirectory 8.8 не только позволяет обновлять систему посредством исправлений (добавляя новые файлы, а затем перезапуская процесс), но и допускает откат к состоянию перед установкой исправления. Это упрощает своевременное обновление приложений каталога.
- Распространение с применением ZENworks® Linux Management (Ximian® Red Carpet®) - Novell eDirectory 8.8 можно устанавливать и обновлять дистанционно на Linux-серверах с использованием Novell ZENworks Linux Management (прежнее название - Ximian Red Carpet). ZENworks Linux Management позволяет администраторам дистанционно устанавливать Linux-серверы и рабочие станции и управлять ими. Благодаря ZENworks Linux Management каталог eDirectory можно легко установить, сконфигурировать и управлять им из любого удаленного места.
- Права супервизора - до сих пор для установки eDirectory требовались права супервизора для доступа к корню дерева, что в условиях распределенного предприятия иногда может служить помехой. В eDirectory 8.8 права супервизора для доступа к корню дерева больше не требуются.
- Права сервисов - в версии 8.8 службы eDirectory могут работать как обычный (non-root) пользователь. Это также обеспечивает гибкость при конфигурировании и помогает организовать работу множества копий eDirectory на одном и том же сервере, что гарантирует более высокий уровень безопасности.
Усовершенствования в области консолидации
В Novell eDirectory 8.8 включены следующие функции, которые позволяют администраторам легко консолидировать другие каталоги и обеспечивают стандартизацию на общей платформе:
- Импортирование большого объема данных - позволяет администраторам импортировать данные каталога и электронных персон из других источников. При этом возможны проверка и расширение схемы, и весь процесс рационализирован с целью упрощения и облегчения консолидации каталогов или импортирования информации из других источников. Как уже отмечалось, в версии eDirectory 8.8 производительность импортирования большого объема данных существенно повышена.
- Поддержка нескольких копий - прежние версии eDirectory поддерживали исполнение только одной копии eDirectory на сервер. В Novell eDirectory 8.8 на одном и том же сервере могут работать несколько копий eDirectory. Это позволяет администраторам конфигурировать пробные деревья, отдельные деревья подразделений или проектов, разные деревья для внутреннего и внешнего применения и любые из сотен других возможных сценариев. Множество копий eDirectory можно консолидировать на одном сервере высокого уровня. Можно использовать учебные конфигурации и испытывать их, не оказывая влияния на производственные системы.
- Резервное копирование на базе LDAP - позволяет сторонним приложениям или разработчикам создавать резервные копии eDirectory на всех поддерживаемых платформах. Доступны высокопроизводительные способы резервного копирования, а также резервное копирование и восстановление на основе объектов. Объекты могут поддерживаться с использованием поэтапных резервных копий, что позволяет создавать резервные копии, содержащие только те объекты, которые были изменены с момента последнего полного резервного копирования.
Усовершенствования в области безопасности
Будучи центром управления доступом ко всем ресурсам, служба каталога должна быть надежно защищена. Novell eDirectory 8.8 продолжает традицию обеспечения повышенной безопасности, добавляя в систему ряд новых функций:
- Шифрованные атрибуты - предыдущие версии eDirectory защищали данные посредством управляемого доступа, шифрованных пар ключей для паролей и множества других функций. Версия 8.8 добавляет еще один уровень безопасности с возможностью шифрования данных атрибутов в базе данных информации каталога (DIB). Это становится тем важнее, чем больше информации (такой как, например, номера кредитных карт) включается в профили пользователей.
- Репликация с шифрованием - хотя обычно репликация каталога производится под защитой межсетевого экрана или по виртуальной частной сети (VPN), некоторые организации хотели бы иметь возможность использовать в качестве средства репликации открытый интернет, без какой-либо дополнительной инфраструктуры защиты. Чтобы удовлетворить эту потребность и создать еще один уровень безопасности каталога, Novell eDirectory 8.8 поддерживает возможность шифрования сеансов репликации для каталогов целиком и для отдельных сегментов как внутри, так и вне организации.
- Универсальные пароли - Novell продолжает предоставлять дополнительные механизмы соблюдения политик работы с паролями посредством унификации паролей (Universal Password). В Novell eDirectory 8.8 администраторы получают поддержку для локализации паролей и могут использовать в паролях специальные символы. Они могут также вводить правила, требующие использования паролей, чувствительных к регистру.
- Аутентификация Kerberos - для организаций, использующих модель безопасности Kerberos со сторонними доверенными поставщиками услуг, Novell eDirectory 8.8 поддерживает процесс регистрации через LDAP с применением Kerberos. Механизм SASL - GSSAPI (Simple and Authentic Security Layer-Generic Security Services API) для Novell eDirectory 8.8 допускает аутентификацию в eDirectory через LDAP с использованием мандата Kerberos и без необходимости вводить пароль пользователя eDirectory. Такая возможность особенно полезна для пользователей LDAP-приложений в среде, где уже имеется инфраструктура Kerberos.
Поддерживаемые функции
Некоторые из перечисленных выше функциональных возможностей являются специфическими для Linux или UNIX. Ниже приводится таблица поддерживаемых функций с указанием того, какие из функций Novell eDirectory 8.8 на каких платформах поддерживаются:
| ФУНКЦИЯ | NETWARE | LINUX | UNIX | WINDOWS |
| ПРОИЗВОДИТЕЛЬНОСТЬ | ||||
| Приоритетная синхронизация | X | X | X | X |
| Контроль состояния | X | X | X | X |
| УСТАНОВКА | ||||
| Форматы пакетов | X | X | ||
| Установка посредством ZENworks Linux Management | X | |||
| Настройка местонахождения файлов приложений | X | X | X | |
| Настройка местонахождения файлов данных | X | X | X | |
| Настройка местонахождения файлов конфигурации | X | X | ||
| Установка в режиме non-root | X | X | ||
| Расположение файла лицензии | X | X | ||
| Контроль состояния сервера | X | X | X | X |
| КОНСОЛИДАЦИЯ | ||||
| Множество копий | X | X | ||
| Усовершенствованный импорт большого объема данных | X | X | X | X |
| Резервное копирование на базе LDAP | X | X | X | X |
| БЕЗОПАСНОСТЬ | ||||
| Расширение возможностей универсального пароля | X | X | X | X |
| Шифрование атрибутов | X | X | X | X |
| Шифрование репликации | X | X | X | |
Заключение
Novell eDirectory 8.8 обеспечивает расширенные и усиленные возможности управления электронными персонами. Очередная версия самой популярной в мире службы каталога, eDirectory 8.8 продолжает традицию мощного управления пользователями и ресурсами с усовершенствованиями в области безопасности, управляемости и повышенной производительностью.
Организации, в которых уже установлены службы каталогов Novell, получат преимущества поддержки нескольких копий, новых опций резервного копирования, более гибких и мощных средств безопасности и ряда других усовершенствований в eDirectory 8.8. Эти заказчики, а также организации, впервые внедряющие eDirectory, получат также выгоды от существенного упрощения и усовершенствования процессов установки и обновления ПО, благодаря функциям предварительной проверки состояния системы, поддержке ZENworks Linux Management и повышенной производительности с ускорением импортирования большого объема данных и новой функции приоритетной синхронизации.
Novell eDirectory 8.8 еще больше повышает качество самого популярного в мире решения для управления электронными персонами и ресурсами, предоставляя безопасные и масштабируемые службы каталога для малых, средних и крупных организаций. eDirectory представляет собой кросс-платформенную, высокопроизводительную, гибкую службу каталога, которая подходит для любой организации, серьезно рассматривающей возможности решения критически важной задачи управления доступом к ресурсам изнутри предприятия или извне.