Użytkownicy klientów LDAP mogą uzyskać dostęp do usług katalogowych NDS.

Opisywany już wielokrotnie na łamach CW protokół LDAP (Lightweight Directory Access Protocol), umożliwiający dostęp do różnych usług katalogowych za pośrednictwem jednego, standardowego klienta, wyposażonego w jego obsługę, wzbudza wiele nadziei w administratorach, którym brakuje rozwiązań pozwalających na zarządzanie różnymi katalogami z poziomu jednej aplikacji.

Nowy produkt Novella - LDAP Services for NDS 1.0 to rozwiązanie implementujące obsługę LDAP w wersji 2.0 przez system usług katalogowych NDS. Niestety, LDAP 2.0 ma kilka ograniczeń, które zmniejszają funkcjonalność oprogramowania. Kiedy produkt zostanie wyposażony w LDAP 3.0, użytkownicy będą mogli w pełni wykorzystać możliwość zintegrowanego zarządzania wieloma różnymi systemami usług katalogowych (nie tylko NDS ale także Banyan StreetTalk oraz zapowiadanymi usługami Active Directory firmy Microsoft), a także bezproblemowej wymiany danych między nimi.

Instalacja i konfiguracja

LDAP Services for NDS dostarczane są jako moduły NLM, instalowane i pracujące na serwerach NetWare 4.1 i 4.11. Program instalacyjny modyfikuje strukturę drzewa NDS i dodaje do niego obiekty LDAP Server i LDAP Group. Pierwszy z obiektów wskazuje, na którym z serwerów NDS zostaną uruchomione NLM, realizujące usługi LDAP. Drugi dopasowuje klasy i atrybuty LDAP do ich odpowiedników w drzewie NDS i funkcjonuje jako obiekt konfiguracyjny dla całej usługi. Nowy produkt Novella ma wiele cech przydatnych przy wszelkich próbach udostępniania informacji, zawartych w NDS, użytkownikom sieci lokalnej, a także tym, którzy mają do niej wyłącznie zdalny dostęp. Usługi LDAP są w pełni zintegrowane z NDS. Obiekty LDAP wykorzystują listy ACL (Access Control Lists) w celu sprawdzenia, które z operacji mogą być wykonane przez poszczególnych użytkowników za pośrednictwem klienta zgodnego z LDAP, jednocześnie kontroli dostępu pozwalają administratorowi zdecydować, które obiekty NDS powinny być widoczne dla klientów LDAP. Podobnie jak w przypadku oprogramowania serwera WWW bądź FTP, administrator może przyznać anonimowy dostęp do usług katalogowych NDS za pośrednictwem klientów LDAP. W tym celu w drzewie NDS należy zdefiniowany nowy obiekt, który określi prawa dostępu do usług katalogowych dla użytkowników anonimowych. Możliwe jest także całkowite wyłączenie dostępu anonimowego. Wtedy z dostępu za pośrednictwem LDAP mogą korzystać wyłącznie użytkownicy zarejestrowani w NDS. Przed rozpoczęciem sesji połączeniowej muszą oni podać swój identyfikator i hasło. I tu pojawia się pierwsze poważne zastrzeżenie do nowego programu Novella - LDAP Services for NDS nie umożliwiają przesyłania hasła przez sieć w postaci zaszyfrowanej. Możliwy jest zakaz (na serwerze) logowania za pośrednictwem nie zaszyfrowanych haseł, ale wybranie takiej opcji powoduje, że żaden klient LDAP nie może uzyskać dostępu do usług katalogowych. Niemniej funkcja ta jest przydatna przy umiejscowieniu serwera NDS poza korporacyjnym firewallem. LDAP Services for NDS nie wspierają także standardu bezpiecznych portów TCP, który ma być obsługiwany przez klienta LDAP, zawartego w pakiecie Netscape Communicator. Użytkownik otrzymuje wraz z nim narzędzia, umożliwiające proste "śledzenie" pracy oprogramowania przy wykorzystaniu generowanych automatycznie i na bieżąco sprawozdań. Stanowią źródło informacji o wydajności pracy LDAP Services for NDS i pomoc przy konfiguracji oprogramowania. Część problemów konfiguracyjnych można by rozwiązać szybciej, gdyby nie uboga dokumentacja produktu, która w minimalnym stopniu porusza kluczowe zagadnienia związane z usługami LDAP.

W poszukiwaniu klienta

Novell ze swoim nowym produktem nie dostarcza żadnego klienta LDAP. Niestety, obecnie na rynku znajduje się niewiele programów tego typu, natomiast odszukanie ich w Internecie jest czasochłonne. Aby w pełni sprawdzić działanie LDAP Services for NDS, nożna ściągnąć z Internetu kilka nowych produktów wyposażonych w obsługę LDAP: najnowszą wersję oprogramowania Microsoft Internet Mail, wersję beta Netscape Communicatora, a także program Swix - klienta systemów X.500, opracowanego na Uniwersytecie Umea w Szwecji. Oprogramowanie Microsoftu i Netscape'a użytkownikom, którzy chcą za ich pośrednictwem uzyskiwać dostęp do usług katalogowych NDS, oferuje ubogie funkcje. Narzędzia umożliwiające przenoszenie informacji o użytkownikach z NDS-u do Internet Mail i Communicatora są niezbyt funkcjonalne i nie można ich uznać za w pełni zadowalające. Tym bardziej żaden z tych produktów nie umożliwia administrowania usługami katalogowymi. Przeciwieństwem obu produktów jest Swix. Umożliwia on swobodne przeglądanie drzewa NDS, modyfikowanie informacji, dotyczących użytkowników, a także dodawanie nowych obiektów do NDS-u za pośrednictwem LDAP. Ostatnia z tych funkcji wymaga pewnych modyfikacji w obiektach LDAP, tak by wspomagały one dodawanie nowych obiektów do NDS-u. Brak jest na razie spójnej specyfikacji, która zawsze umożliwiałaby pełny dostęp do NDS-u za pośrednictwem LDAP. Obecnie trzeba modyfikować konfigurację LDAP Services for NDS pod kątem każdego klienta LDAP, który chce wprowadzać nowe obiekty do drzewa usług katalogowych.

Dla innych systemów

Jeszcze w tym roku Novell zamierza wprowadzić LDAP Services for NDS dla platform HP-UX i SCO OpenServer. Data premiery wersji dla innych platform unixowych, a także Windows NT uzależniona jest od udostępnienia NDS-u dla tych systemów. Novell zapowiada, że nastąpi to również w tym roku.

Podsumowując, LDAP Services for NDS to ciekawy dodatek do systemów NetWare 4.1x, przydatny tym firmom, które udostępniają różne informacje za pośrednictwem NDS i poszukują sposobu ich prezentowania poszczególnym użytkownikom, pracującym w sieci korporacyjnej. Choć produkt jest znakomicie zintegrowany z głównym narzędziem administratora (NetWare Administrator), na razie nie wspiera szyfrowanych haseł ani technologii bezpiecznych portów. Proces konfiguracji może być wydłużony także dzięki ubogiej dokumentacji produktu.