Использование каталога

Next: Анализ распределенных систем теоретико-модельными Up: Анализ требований к информационным Previous: Корпоративная справочная система Contents

Использование каталога

При соблюдении всеми организациями требований, определяющих корпоративный стандарт построения каталогов LDAP, можно достаточно просто создать распределенную информационную систему, предоставляющую пользователям и сетевым службам уникальную возможность сквозного поиска информации во всем корпоративном каталоге.

Самый простой пример -- доступ к адресно-телефонному справочнику. Для осуществления поиска телефона или почтового адреса нужного человека достаточно указать узел дерева каталога, в ветвях которого будет осуществляться поиск, и поисковый атрибут, например, начало фамилии человека. Чтобы найти информацию о всех сотрудниках, например, Новосибирского научного центра, фамилия которых начинается на Федотов, необходимо обратится к любому LDAP-серверу СО РАН с запросом, указав базовый dn (ou=nsc,ou=sbras,dc=ras,dc=ru), глубину поиска (SUBTREE) и фильтр поиска (objectClass=*)(cn=Федотов). Причем сделать это можно через адресную книгу Microsoft Outlook Express, поставляемую вместе с Windows.

Возможность создания в LDAP распределенных справочных систем с четко определенными механизмами взаимодействия отдельных серверов позволяет использовать глобальный каталог для хранения системной информации. В частности в каталоге можно хранить информацию, идентифицирующую пользователя, и информацию, определяющую полномочия пользователя на доступ к тем или иным ресурсам. Более того, в LDAP определены механизмы аутентификации пользователя как по имени и паролю с различными методами шифрования, так и по различным ключам. Следствием этого является возможность использования LDAP для построения системы однократной регистрации пользователя при доступе ко всем ресурсам распределенной информационной системы. При этом существенно, что каждый объект в каталоге может иметь свои списки доступа. Это позволяет четко разделить в корпоративном каталоге зоны ответственности и предоставить право пользователям и группам пользователей самим управлять своими ресурсами.

Отдельный интерес представляет последовательность организационных мероприятий, направленных на формирование корпоративного каталога СО РАН и поддержки его в актуальном состоянии. Не секрет, что информационный ресурс будет поддерживаться в актуальном состоянии тогда и только тогда, когда требование актуальности этого ресурса является одним из основных требований нормального функционирования информационного сообщества. Например, предоставление доступа к информационным ресурсам, необходимым для научных исследований, только посредством аутентификации и авторизации пользователей в корпоративном каталоге, приводит к заинтересованности каждого научного сотрудника в отображении в этом каталоге собственной персоны.

На сегодняшний день последовательность организационных мероприятий, направленных на формирование корпоративного каталога, выглядит следующим образом:

создание скелета корпоративного каталога на основе фиксированных схем данных, в том числе и собственной разработки;
наполнение каталога информацией до уровня организаций;
создание WEB-шлюзов для доступа пользователей к корпоративному каталогу как к справочной системе;
создание и утверждение нормативной документации (регламента) по ведению корпоративного каталога и разграничению полномочий администраторов;
предоставление прав удаленного редактирования информации в глобальном каталоге на центральном сервере представителям научных центров;
запрещение доступа к корпоративным информационным ресурсам пользователям, не прошедшим авторизация в корпоративном каталоге;
установка периферийных серверов в научных центрах и организация системы репликаций данных от периферии к центру.

Возможность обработки запроса на любом LDAP сервере Отделения требует пояснения. Как уже отмечалось, каждый сервер может хранить как весь корпоративный каталог, так и только отдельные его узлы. В случае отсутствия запрашиваемого узла на сервере сервер адресует запрос или на сервер, содержащий этот узел (для дочерних узлов по отношению к узлу сервера), или на сервер, содержащий узел родительский. В любом случае запрос будет обработан. Время обработки запроса, естественно, будет зависеть от количества переадресаций.

Для администрирования отдельных ветвей дерева корпоративного каталога можно использовать любое программное обеспечение, в том числе и свободно распространяемое, например, JXplorer (Computer Assciates), интерфейс которого представлен на рис. 9.

**Figure:** JXplorer позволяет просматривать и редактировать каталог LDAP
$\includegraphics[width=0.7\textwidth]{ris/ldap-jexp.eps}$

Таким образом, технология LDAP позволяют создать распределенную справочную корпоративную информационную систему, легко интегрируемую в глобальные системы LDAP. Cхематично корпоративная справочная система LDAP выглядит следующим образом:

Каждая организация СО РАН имеет свой LDAP сервер, который управляет каталогом этой организации. Информация в каталоге поддерживается в актуальном состоянии администраторами организации.
Каждый научный центр СО РАН имеет свой сервер LDAP, который аккумулирует ресурс серверов своих организаций или реплицируя их, или реализуя механизм прямых ссылок.
Центральный сервер СО РАН хранит корень информационного дерева каталога (ou=sbras,dc=ras,dc=ru) и реализует механизм прямых ссылок на серверы научных центров.
В корпоративном каталоге в жесткой схеме представлена информация о сотрудниках, об информационных ресурсах, об организациях, о сетевых сервисах и др.
Каждый пользователь информационной системы СО РАН, т.е. каждый сотрудник, имеет идентификационную запись в узле своей организации и имеет право самостоятельно изменять свой пароль.
Права пользователей при доступе к информационному ресурсу определяются администраторами этого ресурса на основе учетных записей пользователей в корпоративном каталоге.