1

Универзитет Св. Кирил и Методиј – Скопје

Факултет за електротехника и информациски технологии

Институт за компјутерска техника и информатика

Семинарска работа по предметот

МРЕЖНИ ОПЕРАТИВНИ СИСТЕМИ_______________________________________________________________

APPLE OPEN DIRECTORY

Скопје, јануари 2010

2

Содржина:

Кратка содржина на семинарската --------------------------------------------------- 2

Вовед -------------------------------------------------------------------------------------- 3

Бенефиции од употребување Directory сервиси ---------------------------------- 4

Directory Сервиси и Directory Домени----------------------------------------------- 4,5

Историски преглед----------------------------------------------------------------------- 5

Обединување на податоци------------------------------------------------------------- 5,6

Локални и споделени Directory домени---------------------------------------------- 6-9

Open Directory како Примарен домен контролер (PDC) ------------------------ 9,10

Open Directory како Backup Domain Controller (BDC) --------------------------- 11

Open Directory полиси за пребарување --------------------------------------------- 11-16

Open Directory - Планирање и управување со алатки --------------------------- 16-19

Безбедност на Open Directory --------------------------------------------------------- 19

Алатки за менаџирање на Open Directory сервиси -------------------------------- 20

Заклучок ----------------------------------------------------------------------------------- 21

Користена литература ------------------------------------------------------------------- 22

Дополнителна литература ------------------------------------------------------------- 22

3

Вовед

Оваа тема е прилично нова во компјутерските науки, но многу битна. Почетоците на Apple во однос на оваа тема се некаде околу 1999 година, со издавањето на Mac OS X Server 1.0. За во наредниве 10 години да се изнесат уште 5 нови подобрени и проширени верзии.

. Во однос на предметов, со самото тоа што многу голем дел од мрежите се клиент- сервер, а кога станува збор за сервери, неизбежни се Active Directory и во случајов Open Directory, мислам дека темата е многу важна и се уште ќе станува поважна со растот на компјутерските мрежи и нивната искористеност.

Open Directory претставува LDAP directory сервисен модел имплементиран од Apple Inc. Directory сервис е софтвер кој складира и организира информации за корисниците на мрежата и ресурсите на истата мрежа, па мрежниот администратор може да го менаџира пристапот на корисниците до ресурсите.

Во контекст на Mac OS X Server, Open Directory претставува споделен LDAPv3 directory домен базиран на OpenLDAP и одговара на моделот за проверка направен од Apple Password Server и Kerbors5 поврзани заедно користат модуларен Directory сервис систем. Терминот Open Directory може да се користи за да се опише целокупен directory сервис фрејмворк користен од Mac OS X и Mac OS Server, но во овој контекст ја објаснува улогата на Mac OS X или Mac OS X Server систем кога е поврзан на постоечки directory домен.

Со објавувањето на Mac OS X leopard(10.5) Apple одбра да не користи повеќе NetInfo directory сервис кој беше користен во сите верзии од 10.0 до 10.4. Mac OS X 10.5 и 10.6 користат directory services и се додаток за сите directory информации. Локалните акаунти сега се регистирани во Local Plugin, кој користи XML property list.

Податоците и информациите што се користени во оваа семинарска се однесуваат на Mac OS X 10.6 верзијата.

4

Бенефиции од употребување Directory сервиси

Directory сервисот овозможува централно складиште за информации за компјутерски корисници и ресурси во една организација.

Складирање на адмнинистративни податоци во централно складиште има многу бенефиции:

Го намалува напорот за внесување податоци

Потврдува дека мрежните сервиси и клиентите имаат постојана информација за корисниците и ресурсите

Ја поедноставува администрацијата на корисници и ресурси

Овозможува идентификациска, автентикациска и овластувачка информација за други мрежни сервиси

Во образовна и корпорациска околина, directory сервисите се идеален начин за менаџирање на корисници и компјутерски ресурси. Организциите со по неколку вработени(околу 10), може да имаат корист од имплементирање на directory сервис.

Directory сервисите се двојно корисни: го поедноставуваат системот и мрежната администрација, и го поедноставуваат искуството на корисникот на мрежата.

Со directory сервисите, администраторите можат да одржуваат информации за сите корисници-како што се нивните имиња, лозинки, и локацијата на мрежните homeдиректориуми-централно, наместо на секој компјутер посебно. Directory сервисите исто така можат да одржуваат централизирана информација за принтери, компјутери, и други мрежни ресурси.

Централизираните информации за корисниците и ресурсите може да го редуцираат товарот на системскиот администратор за менаџирање на информации, и секој корисник има централизирана кориснички профил за логирање на било кој овластен компјутер на мрежата.

Со централизиран directory сервис и file сервис поставен да ги хостира мрежните home именици, кога и да се логира некој корисник, корисникот го добива истиот home именик, персонален десктоп, и индивидуални параметри. Корисникот секогаш има пристап до персоналните мрежни датотеки и може лесно да лоцира и користи овластени мрежни ресурси.

Directory Сервиси и Directory Домени

Directory сервисот се однесува како посредник помеѓу процесите на апликацијата и системскиот софтвер, кои имаат потреба од информации за корисниците и ресурсите, и directory домените кои ги чуваат тие информации.

Како што е прикажано на слика бр. 1 која следува, Open Directory овозможува directory сервиси за Mac OS X и Mac OS X Server.

5

Слика бр. 1

Open Dirctory може да пристапи до информации во еден или повеќе directoryдомени. Directory доменот ги складира инфорациите во специјализирана база на податоци која е оптимизирана за да се справи со многу барања за информации и за да пронајде и врати информација многу бргу.

Процесите кои работат на Mac OS X компјутери може да користат OpenDirectory сервиси за да за да снимаат информации во directory домените.

На пример, кога креирате кориснички профил со Workgroup Manager, има OpenDirectory кој ги зачувува корисничкото име и другите информации за профилот во directory домен. Потоа можете да направите преглед на информацијата за корисничкиот профил во Workgroup Manager, кој користи Open Directory да ги земе информациите за корисникот од directory доменот.

Историски преглед

Како и Mac OS X, Open Directory има Unix основа или наследство. Open Directory обезбедува пристап до административните податоци кај Unix системите, кои во главно се чуваат во конфигурациски датотеки, кои бараат макотрпна работа за одржување. Некои Unix системи сеуште се потпираат врз овие конфигурациски датотеки. Open Directory ги обединува податоците и ги дистрибуира за полесен пристап и полесно одржување.

Обединување на податоци

Со години наназад Unix системите ги чуваа административните информации во колекции од податоци во /etc директориумот, како што е прикажано на сликата бр. 2подолу.

Слика бр. 2

6

Вака прикажаната шема бара да секој Unix компјутер има свој локален сет на датотеки, така да процесите кои се стартувани на компјутерот можат да ги прочитаат овие датотеки, доколку имаат потреба од администрациски информации. Доколку некогаш сте работеле во Unix, сигуро имате искуство со овие датотеки во /etc directory – group, hosts, hosts.equiv, master.passwd и слично. На пример, доколку еден процес има потреба од лозинка, тогаш се консултира со /etc/master.passwd датотеката. Во оваа датотека се содржи запис за секој корисник.

Open Directory обединува административни информации и врши поедноставување на интеракцијата помеѓу даден процес и административните податоци ( слика бр. 3).

Слика бр. 3

Со Open Directory процесите нема потреба да знаат како и каде се сместени административните податоци, OD ја врши оваа функција. Доколку процесот има потреба од локацијата на домашниот директориум на корисникот, процесот има OD за добивање на информацијата. OD ја пронаоѓа бараната информација и ја дава, без притоа го изолира процесот од непотребни информации за тоа како се зачувани податоците, ова е илустрирано на следната слика бр. 4.

Слика бр. 4

Доколку поставите да OD има пристап до повеќе административни податоци, од повеќе directory domains, OD ги консултира домаините колку што е потребно.

Локални и споделени Directory домени

Каде ќе ги чувате информациите за корисниците на серверот и други административни податоци е определено од тоа дали податоците треба да бидат

7

споделени. Оваа информација може да биде зачувана во локалниот directory домен или во споделен directory домен.

За локалниот directory домен

Секој Max OS X кокмпјутер има локален directory домен. Административните податоци на локалниот directory домен се видливи само на апликациите и системскиот софтвер кои работат на компјутерот каде доменот престојува. Тој е првиот домен кој се консултира кога корисникот се логира или извршува некаква операција за која се потребни податоци кои се наоѓаат во directory доменот.

Кога корисникот се логира на Mac OS X компјутер, Open Directory го пребарува компјутерскиот локален directory домен за записите на корисникот. Ако локалниот directory домен ги содржи записите на корисникот (и ако корисникот ја внесол точната лозинка), процесот на логирање продолжува и корисникот добива пристап до компјутерот.

После логирањето, корисникот може да избере “Connect to Server” оф Go менито и да се поврзе со Mac OS X Server за file сервиси. Во овој случај, Open Directory на серверот ги пребарува записите на корисникот во серверскиот локален directory домен.

Ако серверскиот локален directory домен има записи за овој корисник (и ако корисникот ја внесол точната лозинка), серверот му дозволува на корисникот да пристапи до file сервисите, како што е прикажано на слика бр.5:

Слика бр. 5

Кога ќе поставите Mac OS X компјутер, неговиот локален directory домен е креиран и исполнет со записи. На пример, креиран е кориснички запис за корисник кој ја извршил инсталацијата. Тука се содржат корисничкото име и лозинката внесени за време на подесувањето и други информации, како што е единствено ID за корисникот и локацијата на корисничкиот home именик.

За споделените Directory домени

Иако Open Directory на било кој Mac OS X компјутер може да чува административни податоци во локалниот компјутерски directory домен, вистинската моќ на Open Directory е во тоа што дозволува повеќе Mac OS X компјутери да споделуваат административни податоци со складирање на податоците во споделени directory домени.

8

Кога компјутерот е конфигуриран да употребува споделен домен, административните податоци во споделениот домен се исто така видливи на апликациите и системскиот софтвер кој што работи на тој компјутер.

Ако Open Directory не најде записи за корисникот во локалниот directory домен на Mac OS X компјутерот, Open Directory може да го побара записот за корисникот во било кој споделен домен до кој комјутерот има пристап.

Во следниот пример, корисникот може да пристапи на двата компјутери бидејќи споделениот домен кој е достапен од двата компјутери содржи записи за корисникот.

Слика бр. 7

Споделените домени генерално се сместени на серверите бидејќи directoryдомените чуваат многу важни податоци, како што се податоците за автентикација на корисниците.

Пристапот до серверите е обично строго забранет за да се заштитат податоците кои се чуваат на нив. Исто така directory податоците мора секогаш да бидат достапни. Серверите често имаат додатни хардверски карактеристики кои ја подобруваат нивната надежност, и серверите може да бидат поврзани со непрекинати извори на напојување.

Споделени податоци во постоечки Directory домени

Некои организации, како универзитетите и корпорациите низ светот, одржуваат кориснички информациии други административни податоци во directory домени на UNIX или Windows сервери. Open Directory може да ги пребарува овие не-Appleдомени и споделените Open Directory домени на Mac OS X Server системите, како што е прикажано на слика бр. 8.

9

Слика бр. 8

Редоследот по кој Mac OS X ги пребарува directory домените може да се подесува.

SMB, which stands for Server Message Block, is a protocol for sharing files, printers, serial ports, and communications abstractions such as named pipes and mail slots between computers.

SMB сервиси и Open Directory

Можете да го конфигурирате вашиот Mac OS X Server со Open Directory и SMBсервиси да служат на Windows-базирани работни станици.Употребувајќи ги да сервисираат заедно , можете да го конфигурирате вашиот Mac OS X Server да биде примарен домен контролер (PDC) или backup домен контролер (BDC).

Open Directory како Примарен домен контролер (PDC)

Mac OS X Server може да биде конфигуриран да служи како Windows примарен домен контролер (PDC), кој им овозможува на корисниците на Windows NT-компатибилни работни станици да се логираат користејќи домен сметки. PDC му доделува на секој Windows корисник едно корисничко име и лозинка за логирање од било која Windows NT 4.x, Windows 2000, Windows XP, или Windows Vista работна станица на мрежата.

Потоа, наместо логирање со корисничко име и лозинка кои се дефинирани локално на работната станица, секој кориник може да се логира со корисничко име и лозинка дефинирани на PDC.

Истата корисничка сметка што може да биде употребена за логирање од Windows работна станица може исто така да биде употребена за логирање од Mac OS Xкомпјутер. Затоа, ако некој ги користи двете платформи може д аго има истиот homeименик, mail сметка и print квоти на двете платформи. Корисниците може да ги менуваат нивните лозинки додека се логираат на Windows доменот.

10

Корисничките сметки се чуваат во серверскиот LDAP directory со група, компјутер и други информации. PDC има пристап до оваа directory информација бидејќи го поставувате PDC на сервер ко е Open Directory master, кој хостира LDAP directory.

PDC користи Password Server на мастерскиот Open Directory за да автентицира корисници кога се логираат на Windows домен. Password серверот може да валидира лозинки користејќи NTLMv2, NTLMv1, LAN Manager, и други автентикациски методи.

Open Directory мастерот може да има Kerberos Key Distribution Center (KDC).PDC не употребува Kerberos за да автентицира кориници за Windows сервисите, на mail-от и други сервиси можат да бидат конфигурирани да користат Kerberos за да автентицираат корисници на Windows работни станици кои имаат сметки во LDAPdirectory.

За да се валидира лозинката од Open Directory Server и Kerberos, корисничката сметка мора да има тип на лозинка од Open Directory. Коринсничка сметка со криптирана лозинка може да се употребува за Windows сервисите бидејќи криптирана лозинка не се валидира користејќи NTLMv2, NTLMv1, или LAN Managerавтентикациски методи.

Серверот исто така може да има кориснички сметки во неговиот локаленdirectory домен. Секој Mac OS X Server компјутер има локален directory домен. PDC не ги користи овие сметки за логирање на Windows домен, но PDC може да ги користи овие сметки за да автентицира кориници за Windows file сервисот и други сервиси.

Корисничките сметки во локлниот directory домен што имаат shadow тип на лозинка може да се употребуваат за Windows сервиси бидејќи shadow лозинката може да се валидира употребувајќи NTLMv2, BTLMv1, LAN Manager, и други автентикациски методи.

За компатибилост, Mac OS X Server поддржува кориснички сметки кои биле конфигурирани да користат legacy Authentication Manager технологија за валидација на лозинки во Mac OS X Server v10.0-10.2. После надоградувањето на серверот во Mac OS X Server v10.6, постоечките корисници може да продолжат да ги користат истите лозинки.

Корисничката сметка користи Authentication Manager ако сметката е во локалниот directory домен за кој Authentication Manager е овозможен, и ако сметката е наместена користи криптирана лозинка.

Ако мигрирате директориум од NetInfo во LDAP, сите кориснички сметки што користеле Authentication Manager за валидација на лозинки се конвертирани да имаат тип на лозинка од Open Directory.

Кога поставувате Mac OS X Server како PDC, осигурајте се дека вашата мрежа нема друг PDC со исто доменско име. Мрежата може да има повеќе Open Directoryмастери, но може да има само еден PDC.

11

Open Directory како Backup Domain Controller (BDC)

Поставувајќи Mac OS X server како backup domain controller (BDC) овозможува backup за PDC. PDC и BDC ги споделуваат барањата на клиентите на Windows за логирање на доменот и други директориумски и автентикациски сервиси. Ако PDC на Mac OS X Server стане недостапен, BDC на Mac OS X Server обезбедува логирање на домен и други директориумски и автентикациски сервиси.

BDC има синхронизирана копија од корисници, групи, компјутери и други директориумски податоци на PDC-то. PDC и BDC исто така имаат синхронизирани копии на автентикациски податоци.

Пред да се постави Mac OS Server како BDC, мора да го поставите серверот какоOpen Directory реплика. BDC користи read-only LDAP directory, Kerberos KDC, и Password Server на репликата од Open Directory.

Mac OS X Server ги синхронизира PDC и BDC ажурурајќи ја репликата на Open Directory со промените кои се направени во Open Directory мастерот.

Се користи Server Admin по инсталацијата за да се направи Mac OS X Server Open Directory реплика и BDC. Можете да поставите повеќе BDC-a, секој на различен Open Directory replica server.

Open Directory полиси за пребарување

Секој Max OS X компјутер има полиси за пребарување, кои често се нарекуваат патеки за пребарување, кои специфицираат на кои directory домени Open Directory може да им пристапи, како што е комјутерскиот локален directory домен и одредени споделени директориуми.

Полисите за ребарување исто така го специфицираат редоследот по кој Open Directory им пристапува на directory домените. Open Directory го пребарува секој директориумски домен и го запира пребарувањето кога ќе најде совпаѓање. На пример, Open Directory го запира пребарувањето за кориснички запис кога ќе најде запис чие корисничко име се совпаѓа со името кое се бара.

Нивоа на полиси за пребарувањеПолисите за пребарување може да го вклучат само локалниот директориумски

домен, локалниот директориумски домен и споделениот директориум, или локалниот директориумски домен и повеќето споделени директориуми.

На мрежа со споделен директориум, повеќе компјутери пристапуваат до споделениот директориум. Овој аранжман може да се сфати како структура на дрво со заеднички директориум на врвот и локални директориуми на најниско ниво.

Полиси за пребарување на локалниот директориумски доменНаједноставната полиса за пребарување се состои само од комјутерскиот

локален директориумски домен. Во овој случај, Open Directory бара податоци за корисникот и други административни податоци само во локалниот директориумски домен на секој компјутер.Ако серверот на мрежата е домаќин на заеднички директориум, Open Directory не бара таму за кориснички информации или административни податоци бидејќи заедничкиот директориум не е дел од компјутерската полиса за пребарување.

12

На следната илустрација се прикажани два компјутери на мрежата што ги пребаруваат само нивните локални директориумски домени за административни податоци.

Слика бр. 9

Дво-нивовски полиси за пребарувањеАко некој сервер на мрежата е домаќин на заеднички директориум, сите

компјутери на мрежата можат да го вклучат споделениот директориум во нивните полиси за пребарување. Во овој случај, Open Directory напрвин бара кориснички информации и други административни податоци во локалниот директориумски домен. Ако Open Directory не ги најде потребните информации во локалниот директориумски домен, тој пребарува во споделениот директориум.

Следните илустрации прикажуваат два компјутери и споделен директориумски домен да мрежата. Компјутерите се поврзани на споделениот директориумски домен и имаат нивни полиси за пребарување.

Слика бр. 10

Ова е сценарио каде може да се користи дво-нивовска полиса за пребарување:

Слика бр. 11

Секој клас (англиски, математика, наука) има свој компјутер. Учениците во секој клас се дефинирани како во локалниот домен на компјутерот на класот. Секој од

13

овие три локални домени имаат ист споделен домен, во кој се дефинирани сите инструктори.

Инструкторите, како членови на споделениот домен, може да се најават на секој компјутер од класовите. Учениците во секој локален домен може да се најават само на компјутерот каде се наоѓа нивната сметка.

Локалните домени се наоѓаат на нивните компјуери но споделениот домен се наоѓа на сервер достапен од на кој се наоѓа локалниот домен. Кога инструкторот се најавува на било кој од овие компјутери на класовите и не може да се пронајде во локалниот домен, Open Directory пребарува во споделениот домен.

Во следниот пример, има само еден споделен домен, но во посложените мрежи, може да има повеќе споделени домени.

Слика бр.12

Повеќенивовски полиси за пребарувањеАко повеќе од еден сервер на мрежата е домаќин на споделен директориум,

компјутерите на мрежата може да вклучат два или повеќе споделени директориуми во полисите за пребарување.

Како со поедноставните полиси за пребарување, Open Directory најпрво бара кориснички информации и административни податоци во локалниот директориумски домен. Ако Open Directory не ги пронајде бараните податоци во локалниот директориумски домен, го пребарува секој споделен директориум по редослед специфициран од полисата за пребарување.

Ова е сценарио каде се користат повеќе од еден споделен директориум:

14

Слика бр. 13

Секој клас (англиски, математика, наука) има сервер кој е домаќин на споделен директориумски домен. Секоја полиса за пребарување на компјутерите во училниците ги специфицира компјутерскиот локален домен, споделениот домен на класот, и училишниот споделен домен.

Учениците во секој клас се дефинирани како корисници во споделениот домен во серверот од класот, па секој ученик може да се најави на било кој компјутер во класот. Бидејќи инструкторите се дефинирани во споделениот домен на учикишниот сервер, тие може да се најават на било кој компјутер во која било училница.

Можете да влијаете на целата мрежа или група од компјутери со одбирање на доменот во кој ќе ги дефинирате административните податоци. Колку повисоко се наоѓаат административните податоци во полисата за пребарување, на помалку места треба да се направат промени откако ќе се сменат кориснички или системски ресурси.

Најверојатно најважен аспект од директориумските сервиси за администраторите е планирањето директориумски домени и полиси за пребарување. Тие треба да се одразат врз ресурсите што сакате да ги споделите, корисниците низ кои сакате да ги споделите, и начинот на кој сакате да ги менаџирате вашите директориумски податоци.

Автоматки полиси за пребарувањеMac OS X компјутерите може да се конфигурираат за да се намести полисата за

пребарување да биде автоматска. Автоматска полиса за пребарување се состои од два дела, од кој едниот е опционален:

Локален директориумски домен

Споделен LDAP директориум (опционален)

Автоматските компјутерски полиси за пребарување секогаш почнуваат солокалниот директориумски домен. Ако Mac OS X компјутерот не е поврзан на мрежа, компјутерот пребарува во локалниот директориумски домен за кориснички сметки и други административни податоци.

Автоматската полиса за пребарување потоа одредува дали компјутерот е конфигуриран да се поврзе со споделен локален директориумски домен. Компјутерот може да е поврзан со споделен локален директориумски домен, кој исто така може да биде поврзан со друг споделен локален директориумски домен, итн.

Конечно, компјутер со автоматска полиса за пребарување може да се поврзи со споделен LDAP директориум. Кога ќе се стартува компјутерот, може да ја земе

15

адресата на LDAP директориумскиот сервер од DHCP сервис. DHCP сервисот на Mac OS X Server може да ја набави адресата на LDAP серверот на истиот начин на кој ги набавува адресите на DNS серверите и на рутерите.

Ако сакате DHCP сервисот на Mac OS X Server да ги снабди клиентите со адресата на LDAP серверот за автоматските полиси за пребарување, конфигурирајте ги LDAP опциите на DHCP сервисот.

Ако сакате Mac OS X компјутерот да ги земе адресите од LDAP сервер од DHCP сервисот:

Компјутерот мора да биде конфигуриран да користи автоматски полиси за пребарување

Компјутерските мрежни параметри мора да бидат конфигурирани да користат DHCP или DHCP со IP адреса која е рачно поставена. Mac OS X е иницијално конфигуриран да користи DHCP

Автоматските полиси за пребарување нудат погодност и флексибилност, посебно за мобилни компјутери. Ако компјутерот со автоматска полиса за пребарување е исклучен од мрежата, поврзан на друга мрежа, или преместен на друга подмрежа, автоматската полиса за пребарување може да се смени.

Ако компјутерот е исклучен од мрежата, тој го користи локалниот директориумски домен. Ако компјутерот е поврзан на различна мрежа или подмрежа, може автоматски да ја смени конекцијата кон неговиот локален директориумски домен и може да ја земе адресата на LDAP серверот од DHCP сервисот на тековнатаподмрежа.

Со автоматска полиса за пребарување, компјутерот не треба да се реконфигурира за да земе директориумски и автентикациски сервиси на неговата нова локација.

Custom полиси за пребарувањеАко не сакате Mac OS X компјутерот да користи автоматски полиси за

пребарување овозможени од DHCP, може да дефинирате custom полиси за пребарување.

На пример, custom полиса за пребарување може да специфицира Active Directory доменот да биде пребаран пред серверскиот Open Directory споделен директориумски домен. Корисниците може да ги конфигурираат нивните компјутери да се најават користејќи ги записите од Active Directory доменот.

Custom полисата за пребарување генерално не работи на повеќе мрежни локации или додека не е приклучена на мрежа бидејќи се потпира на достапноста на специфични директориумски домени на мрежата.

Ако преносен компјутер е исклјучен од вообичаената мрежа, тој нема пристап до споделените директориумски домени на неговата custom полиса за пребарување. Но, неконектираните комјутери се уште имаат пристап до нивниот локален директориумски домен бидејќи тој е прв директориумски домен на секоја полиса за пребарување.

Корисникот на преносниот компјутер може да се најави користејќи кориснички записи од локалниот директориумски домен, кој може да вклучува мобилни кориснички сметки.

16

Полиси за пребарување за автентикација и контактиMac OS X компјутерот има полиси за пребарување за наоѓање автентикациски

информации и има одвоени полиси за пребарување за наоѓање контакт-информации: Open Directory ја користи автентикациската полиса за пребарување за да лоцира

и да добие кориснички автентикациски информации и други административни податоци од директориумските домени.

Open Directory ја користи контакт полисата за пребарување за да лоцира и да добие име, адреса, и други контакт информации од директориумските домени. Mac OS X Address Book ја користи оваа контакт информација, а и другиапликации може да бидат програмирани да ја користат исто така.

Open Directory - Планирање и управување со алатки

Чување на информација во споделени directory domains ви дава повеќе контрола врз вашата мрежа, дозволува повеќе корисници да пристапат до информацијата и што е многу битно, лесно се одржува информацијата. Нивото на контрола и погодност при работа, зависи од тоа колку напор е вложен во планирањето на заедничките домени. Целта на планирањето е да се дизајнира наједноставно уредување на споделени домени, при што твојот Mac OS X ќе им нуди на корисниците лесен пристап до мрежните ресурси и да се минимизира времето изгубено за корисничка евиденција и други административни податоци.

Општи упатства за планирање Доколку еден корисник не споделува информции или ресурси со други

корисници, тогаш многу малку планирање е потребно, бидејќи сите информации кои ни се од потреба, можат да се добијат со пристап на локалниот директориум домен. Сите корисници кои користат Mac OS X локално на својот компјутер имаат кориснички акаунти, овие акаунти на некој начин живеат во локалниот директориум домен на компјутерот. Но, доколку сакаме да користиме некои серверски услуги како Mac OS X Server`s file service, mail service или каков и да е друг сервис, каде што е потребна автентикација или проверка, мора да имаме акаунт на локалниот директориум домен на серверска страна.

Да не дојде до забуна, секој корисник има два акаунти, еден за пристап и логирање на компјутерот и еден за пристап и користење на сервисите на Mac OS X Server, како што е илустрирано на сликата подолу.

Слика бр. 14

Кога корисникот се обидува да пристапи до file service, file серверот пристапува до заедничкиот директориум домен, за проверка и верификација на корисничката

17

сметка. Бидејќи корисникот и серверот се поврзани на заеднички директориум домен, нема потреба од дополнително локално чување на сметки, акаунти на секој компјутер.

За споделување на информации помеѓу повеќе компјутери и сервери, мора да се постави најмалце еден заеднички домен директориум, така што на секој корисник му е потребен само пристап до овој заеднички директориум. Со овај акаунт, секој корисник има можност да пристапи и користи било каков сервис што го нуди серверот што е исто така закачен на заедничкиот домен директориум. На следната слика е прикажано користење на податочен сервис преку заеднички домен директориум.

Слика бр. 15

Во многу организации само еден заеднички споделена директориум домен е доволен за исвршување на основни операции. На него можат да се приклучат стотици компјутери и да делат заеднички ресурси, како на печатач на пример, споделуваат заедничка точка ( point ) за апликации или за документи. Перформансите и капацитето на целиот систем можат да се подобрат, доколку се искористат повеќе сервери за справување со товарот на мрежата. Доколку една органиација е поголема и посложена, може да користи екстра дополнителни споделени директориум домени. На следната слика е прикажано едно можно решение за организацијата.

Слика бр. 16

18

Доколку имате голема организација и сакате да ја зголемите ефикаснота и капцитетот на мрежата, може да се додадат повеќекратен директориум домен. Постојат повеќе методи за конфиргурирање на повеќекратни директориум домени ( multiple directory domains ). Со анализа на топологијата на мрежата, може да се одлучи која топологија е најдобра, подолу на кратко се објаснети сите поединечно ( изразите како наслови ќе ги оставам на англиски за подобро разбирање ) :

Open Directory with an existing domain може да конфигурирате Mac OS X Open Directory сервер на мрежата, кој има постоечки директориум домен, како Active Directory или Open Directory. На пример, доколку имате организација во која има веќе AD server кој пордржува Windows и Mac OS X клиентски компјутери, може да додадете Mac OS X Open Directory сервер за подобра подршка на Mac корисниците. Двата сервери можат да опстојуваат на иста мрежа и да обезбедуваат редундантен директориум домен за двата видови на клиенти. Или пак доколку имате постоечки Active Directory сервер, може да се приклучи Open Directory сервер на него и на едноставен начин да се додадат корисниците од едниот на другиот.

Open Directory Master Server with replicas може да се креира Open Directory сервер со можност за реплицирање. Друг сервер има копија од директориум доменот кај мастерот, на овој начин се овозможува редундантност и балансираност.

Cascading replication претставува додавање реплика ( replica ) на реплика, при што се формира relay.

Estimating Directory and Authentication Requirements

Ова е делот каде што ќе кажеме збор два доколку размислувате како да дистрибуирате директориум со податоци на повеќе домени. Прво на што мора да се обрне внимание е капацитетот на секој директориум домен. Големината на директориумот зависи од барањата на мрежата. Битен фактор е способноста на базата која ги чува информациите од директориумот. LDAP( Lightweight Directory Access Protocol ) директориум доменот на Mac OS X серверот користи Berkely DB база, која е ефикасна и со 200 000 записи. Серверот кој хостира дир. домен со ваква големина, мора да поседува соодветно компитабилен hard disk, каде би се ставиле сите тие записи.

Бројот на конекции со кој може да се справи сервисот е тешко да се изброи или измери, бидејќи конекциите за директориумски сервис се јавуваат во контекст на конекциите на сите сервиси на серверот. Mac OC X Server со Open Directory има лимит од 1 000 симултант клиентски врски.

Open Directory серверот може да обезбеди LDAP и сервис за автентикација на повеќе клиентски компјутери, бидејќи никогаш сите компјутери истовремено имаат потреба од ваков сервис. Секој клиент се поврзува со LDAP директориумот до две минути, а поврзувањето со Open Directory password server е уште пократко. Одредување на бројот на компјутери што би пристапувале во исто време до серверот, односно процентот на корисници кои ќе пристапуваат истовремено, е многу тешко. На пример, доколку имаме клиенти на мрежата кои цело дневно се занимваат со работа врз графички податоци, Open Directory сервисите би се користеле многу ретко. Спротивно на ова, доколку имаме лабораторија со повеќе различни корисници во текот на денот и

19

притоа, секој корисник кој би се логирал има различни побарувачки и потреби, тогаш OD сервисите би биле многу по оптеретени. Во принцип, наједноставен начин за добивање на информација за густината на собраќајот во мрежата, е да се избројат логирањата и одлогирањата. Доколку често се врши процесор на логирање и одлогирање, од повеќе компјутери, повеќе Open Directory сервери се потребни, за да се овозможи непрекината работа на ситемот.

Избирање на сервер за хостирање на споделени домениДоколку имате потреба од повеќе споделени домени, битен е изборот на сервери

за нивно хостирање, бидејќи голем број на корисници зависат од овие домени. Серверот што би се користел, би требало да ги има следниве карактеристики:

Ограничен физички пристап

Ограничен пристап до мрежата

Високо развиени технологии за непрекинато напојување и слично, кои би овозможиле константна и непрекинта работа

Основено е да се избере сервер кој би траел подолго време, да не треба често да се извршуваат интервенции врз него, да е современ и надежен. Доколку дојде до проширување на ситемот, па префрлувањето на податоците од еден на друг сервер не е невозможно, но не е работа која би сакале често да ја извршувате.

Безбедност на Open Directory

Многу е важно податоците што се чуваат за проверка во Open Directory да бидат сигурни и безбедни. Не би сакале некој друг да дојде до информации како што се кориснички имиња и лозинки, доколку сакате да сте заштитени од вакви сценарија, ве советуваме да ги следите следниве насоки:

Секогаш серверот кој претставува Open Directory се чува во физички безбедна просторија, со заклучена врата, исто е битно секогаш да се одлогирате после користење на истиот.

Бидете сигурни дека дискот на кој што имате backup на серверот, исто така е на сигурно место, бидејќи немате корист од заклучени врати до серверот, доколку го заборавите на маса дискот со backup.

Серверот кој го користите како Open Directory избегавајте да го користите за овозможување на други сервиси. Доколку не можете да го направите посветен сервер, тогаш е битно да ги минимизирате останатите сервиси кои ги нуди серверот.

Креирање на листа на корисници со пристап и користење на secure shell ( SSH ), да се изврши ограничување на корисниците кои имаат пристап.

Да се избегнува RAID конфигурација која се споделува со други компјутери.

Користете firewall за ограничување на портите кои би се користеле при комуникација.

Обезбедување на константно напојување.

20

Алатки за менаџирање на Open Directory сервиси

Апликациите како The Server Admin, Directory Utility и Workgroup Manager се оние кои што ни овозможуваат графички интерфејс за управување на Open Directory сервисите во Mac OS X серверот. Истото управување или менаџирање може да се изврши преку командна линија. Овие алатки одат заедно со понудата за серверот, при тоа имате можност да ги инсталирате и на друг компјутер, па преку него да вршите управување, на овој начин креирате компјутер администратор.

Server AdminServer Admin овозможува пристап до алатки кои ги користите за менаџирање и

надгледување на Open Directory сервисите и други останати сервиси. Може да го користите за ( подолу наброените карактеристики можат да се објаснат на долго и широко, но овде се само спомнати, а не се детално објаснети, бидејќи сакаме да имаме општа претстава за можностите) :

Сетирање на Mac OS X серверот како Open Directory мастер, Open Directory replica, сервер кој е поврзан со директориумски систем или пак како самостоен директориумси сервис со локални директориумски домени.

Конфигурирање на LDAP сетинзи на OD мастерот.

Конфигурирање на DHCP сервисот за снабдување на LDAP

Креирање на лозинки за сите останати коисници, кои немаат исклучителна важност во системот и немаат индивидуална лозинка.

Надгледување на Open Directory сервисот.

Server Admin се можете да го најдете на следнава локација /Applications/Server/.Directory UtilityDirectory Utility одредува како Mac OS X компјутер ги користи

директориумските сервиси, исто така открива мрежни сервиси и бара сервиси за автентикација и проверка на информациите за корисникот. Може да го користите за:

Конфигурарање на напредна конекција до LDAP директориумот, Active Directory доменот и Network Information Services ( NIS)доменот.

Конфигурирање на мапирање на податоци за LDAP директориумот.

Дефинирање на правила за барање на повеќекратен директориумски сервис за автентикација.

Овозможување и оневозможување на сервиси

Directory Utility може да се приклучи и на други сервери на истата мрежата, па имате можност да ги конфигурирате од далечина. Инсталиран е на секој Mac OS X компјутер и може да се пристапи преку Account Preferences. Workgroup Manager

Workgroup Manager обезбедува сеопфатно, целосно менаџирање на Mac OS X клиентите. Може да го користите за:

Меначирање и креирање на кориснички акаунти, групни акаунти или групи на компјутери.

21

Управување со споделени точки (points) за домашните датотеки на корисниците или податочни услуги

Контрола на тоа што гледаат корисниците кога ќе изберат Network globe.

Преглед на директориумски запии, во нина сурова форма, со користење на Inspector.

На крај од овој дел, само да спомнеме дека голем опсег на различни алатки се возможни преу командна линија, за оние администратори кои што сакаат да работат на овој начин. За оддалечено менаџираење на серверите се работи во SSH сесија.

Заклучок:

Изработувајќи ја оваа семинарска, сигурно научивме нешто повеќе за Apple Open Directory, свативме дека нуди многу големи можности за администраторите на мрежите, подобар, поефикасен пристап до ресурсите, за сите детаљи сигурно треба да напишиме уште неколку вакви семинарски. Деловите што ги одбравме да ги објаснуваме, се доволно кратко и јасно објаснати во претходните страници, па секое нивно скратување и поедноставување, би не довело само до забуна. Но доколку се сконцентрираме на тоа кон кој правец оди развивањето на Apple Open Directory, пребарувајќи низ форумите и читајќи ги мислењата на релевантните личности, издвоивме две поинтересни можности.

Како прва, според мене поинтересна, се шпекулира дека iOS ( iPhone OS) со тек на време, комплетно ќе го замени комплетно Mac OS X, и дека цел труд до сега вложен во Mac OS X би бил залуден. Во меѓувреме, во јуни месец годинава, излезе нова верзија на Mac OS X 10.7 Lion, па останува сами да оцениме колку се веродостојни овие шпекулации.

Како втора верзија, се претпоставува дека овие два системи со тек на време, ќе се вклопат во еден универзален заеднички систем. Никој не кажува со сигурност дека ќе сме сведоци на едно од овие две сценарија, но едно е сигурно, што и да се случи во иднина, сигурно нема да биде преку ноќ. Apple моментално учи на грешките во iOS и се обидува да го подобри Mac OS X, но гледајќи го енормниот развој на google и нивното навлегување во сите сфери на оваа технологија, сигурно ќе треба да научат и некоја нивна лекција.

22

Користена литература:

Mac OS X Server Open Directory Administration Version 10.5 Leopard – 2008

Mac OS X Server Open Directory Administration Version 10.6 Snow Leopard - 2009

Best Practices: Integration Mac OS X with Active Directory – April 2009

Дополнителна литература:

http://en.wikipedia.org/wiki/Apple_Open_Directory

http://en.wikipedia.org/wiki/Mac_OS_X_Server_1.0

http://wapedia.mobi/en/Apple_Open_Directory#3.

http://lowendmac.com/musings/10mm/ios-mac-os-x-future.html