> Zpět  


Reálné možnosti nasazení a využití adresářových služeb


Na podnikovou sféru dnes stále více doléhá problematika udržení konzistence databází uživatelů a jejich jednotná správa v rámci celého ITC. Mezi nejdůvěryhodnější produkty, které splňují i ty nejnáročnější požadavky na takovýto typ řešení, jsou moduly obsažené v řešení Sun ONE.

Řešení Sun One jsou škálovatelná od jednoduchých řešení, až po rozsáhlé informační systémy, nezávislé na organizační struktuře dané společnosti.Jedním z partnerů, kteří aktivně využívají Sun ONE produkty na našem trhu, je firma Actinet Informační systémy s.r.o. Společnost výhradně orientovaná na oblast bezpečnosti informačních systémů a technologií. V článku senior consultanta společnosti Vojtěcha Samohela najdete informace o tom, jakým způsobem se dají prakticky uplatnit produkty pro adresářové služby. Adresářová služba LDAP slouží jako centrální strukturované úložiště informací. Může se jednat např. o informace charakteru identifikačních a autentizačních parametrů uživatelů, konfiguračních údajů systémů a aplikací atd. Hlavní výhodou centrálního uložení těchto informací je rychlost přístupu a zabezpečení přístupu k informaci a hlavně k možnosti modelovat interakce toku informací.

Existují dva hlavní typy řešení:

LDAP jako centrální zdroj dat

Do LDAP serveru se zadávají všechna data coby do centrálního skladu dat. Data jsou distribuována jednotlivým systémům na požádání.

LDAP jako kolektor dat

Pro LDAP server jsou definovány autoritativní zdroje dat (např. telefonní ústředna jako zdroj informací o telefonních číslech, mail server jako zdroj informací o mailových adresách a personální systém jako zdroj personálních dat). LDAP tato data automaticky pomocí importních scriptů importuje a kolektuje do příslušných záznamů. Celá databáze je pak k dispozici všem systémům na požádání. V obou případech je hlavním úkolem při navrhování adresářové služby správně určit zdroje dat a správně nadefinovat profily jednotlivých záznamů (třídy) a jejich atributy.

Další důležitým bodem je nadefinování primární hierarchie - tedy jakési stromové uspořádání jednotlivých záznamů, aby měl každý záznam v hierarchii k sobě svou pevně danou logickou cestu a aby se v celém stromě vyskytoval pouze jednou. Kromě základního nástroje adresářové služby, který zajišťuje vyhledávání, přidávání a modifikaci záznamů a schématu, existují další volitelné funkce: - Funkce Metadirectory - Funkce umožňuje kolektovat data z jiných adresářových služeb pomocí tzv. konektorů běžících přímo v prostředí kolektované adresářové služby (např. Active Directory, Novell Directory Services, atd..) nebo např. v prostředí databázových systémů, ve kterých jsou uložena adresářová data. - Role, Class Of Service - Služby umožňující v prostředí LDAP serveru přidat k záznamům nebo pouze do výsledků hledání globální parametry (např. pracovníkům v daném objektu jednu poštovní adresu tak, aby se v případě změny nemusela měnit ručně ve všech profilech) nebo zajišťovat automatickou interakci záznamů, popř. dynamickou modifikaci schématu. - LDAP Proxy - konfigurovatelný LDAP interface umožňující nastavovat bezpečnostní filtry na celou strukturu nebo vytvořit jiný stromový pohled na existující uspořádání adresářové struktury.

Příklady aplikace LDAP v řešeních:

  • Centrální databáze uživatelů pro aplikace a systémy.
  • Single-Sign-On - pomocí systémových konektorů provádět autentizaci systémů a aplikací do LDAPu - přihlášení pomocí jednoho autentizačního místa.
  • PKI - jako distribuční bod CRL a veřejných klíčů.
  • Centrální konfigurační nástroj - centrální registr parametrů pro konfiguraci systémů a aplikací.
  • Metadirectory - sjednocení adresářových informací v rámci informačního systému.
  • Strukturovaný databázový back-end.
Tolik krátký teoretický úvod.

Praktický příklad V praxi může řešení vypadat podobně jako na níže uvedeném obrázku. Je zde načrtnuta architektura řešení nasazeného ve finanční instituci střední velikosti, která potřebovala zajistit jednotnou správu uživatelů interních informačních systémů. Řešení bylo navrženo tak aby splnilo následující požadavky zákazníka:

  • Potřeba integrace správy cca 500-600 uživatelů do jednoho místa
  • Co možná největší automatizace všech procesů spojených se správou
  • Rozšiřitelnost na další aplikace (některé aplikace vyžadují AD, jiné LDAP)
  • Zajistit replikaci uživatelských atributů do všech míst IS
  • Vyřešit centrální databázi hesel
  • Nadefinovat komunikační model společnosti (user data-flow)

Přes některé dílčí problémy (zejména se synchronizací hesel) se povedlo postavit funkční řešení s centrální správou v LDAP serveru na bázi:

  • SW: SunONE Directory Server 5.1. SP 1
  • SunONE Metadirectory 5.0. SP 1
  • SunONE Directory Server SDK
  • HW: SUN Netra v120 - 1GB RAM, 2x40GB
obrazek