LDAP rozwiązanieintegrujące usługi katalogowe dostarczane przez różnych producentów.

Coraz więcej firm podłącza się do Internetu i zaczyna tworzyć własne zamknięte sieci intranet. Firmy te potrzebują jednak narzędzi do zbudowania zaplecza informatycznego dla nich. Jednym z podstawowych komponentów są usługi katalogowe, które pozwalałyby w prosty sposób lokalizować szukanych użytkowników i zasoby sieciowe.

Dotąd istniało kilka różnych rozwiązań takich usług, które nie potrafiły efektywnie wymieniać danych między sobą. Rozwiązaniem integrującym bazy katalogowe może być protokół LDAP (Lightweight Directory Access Protocol). Niewiele osób wie, skąd wzięło się to rozwiązanie i kto dostarcza "najbardziej" standardową implementację tego protokołu.

Protokół LDAP, podobnie jak i inne standardy internetowe, opracowano w środowisku akademickim - na uniwersytecie Michigan. Pierwsze projekty, będące prekursorami tego rozwiązania, gotowe były już siedem lat temu.

Wrzawa wokół LDAP

Głośno na temat LDAP zrobiło się wtedy, gdy za jego rozwijanie wzięła się firma Netscape Communications, której udało się przekonać wielu klientów do idei budowania usług katalogowych w sieciach intranet na bazie tego właśnie protokołu.

Jako przykład służyła kolebka LDAP - Uniwersytet Michigan, gdzie z usług katalogowych opartych na tym protokole korzysta ponad 50 000 użytkowników, którzy odszukują w ten sposób siebie i różne zasoby sieci TCP/IP.

Pytanie, które nasuwa się dzisiaj, to czy inni użytkownicy będą mogli w tak samo efektywny sposób wykorzystywać usługi katalogowe LDAP jak pracownicy i studenci uniwersytetu Michigan i czy nieustanna wojna między największymi producentami oprogramowania umożliwi realizację jednego spójnego standardu LDAP, który zapewni bezproblemową współpracę różnych usług katalogowych. Według analityków rynkowych, jest to możliwe i już w ciągu najbliższego roku LDAP ma szansę stać się standardem w pełni wykorzystywanym w praktyce.

Najbardziej wierzy w to firma Netscape, która zatrudniła wielu promotorów LDAP i już wkrótce zamierza wprowadzić na rynek pierwszy komercyjny serwer usług katalogowych oparty na tym protokole. Szefem działu pracującego nad serwerem usług katalogowych Netscape jest Tim Howes, który był jednym z pomysłodawców i realizatorów idei protokołu.

Historia lekkiego protokołu

Swe początki LDAP miał na Uniwersytecie Michigan. W roku 1989 aby sprostać drastycznie wzrastającym potrzebom użytkowania poczty elektronicznej na uniwersytecie, Tim Howes zaproponował stworzenie rozproszonego systemu usług katalogowych, bazującego na specyfikacji ISODE X.500. Jednocześnie chciał on zapewnić użytkownikom możliwość łatwego dostępu do usług katalogowych bez nadmiernego obciążania ich komputerów oraz sieci, jak to miało miejsce w przypadku stosowanego protokołu DAP (Directory Access Protocol).

Opracowano więc "lżejszą" wersję tego protokołu, którą roboczo nazwano Dixie. "Nigdy nie chcieliśmy, by Dixie stał się oficjalnym standardem" - zapewnia Tim Howes. - "Sądziliśmy jednak, że powinniśmy opracować bardziej standardową wersję tego protokołu i tak narodził się LDAP". Pierwsza propozycja LDAP jako standardu została przedłożona komitetowi normalizacyjnemu IETF (Internet Engineeting Task Force) w 1991 r. Wkrótce została ona ogłoszona jako obowiązujący standard.

Pierwszą implementacją LDAP na uniwersytecie Michigan był LDAPD (LDAP daemon) używany jako bramka do serwera katalogowego X.500. Aplikacja ta stanowiła rodzaj łącznika między wymagającymi serwerami usług katalogowych X.500 a "lekkimi" klientami odczytującymi informacje katalogowe za pośrednictwem LDAP. Według Lance Sloana, który obecnie administruje rozproszonym systemem katalogowym uniwersytetu, zapotrzebowanie na serwery LDAP wzrosło ok. 2 lat temu, kiedy to uniwersytet zdecydował się przejść na system pocztowy zgodny ze specyfikacją IMAP (Internet Mail Access Protocol). Adresy pocztowe zapisywane zgodnie z wymogami tego standardu są bardzo długie i skomplikowane. System adresowania poczty ułatwiają więc serwery LDAP. Dzięki nim użytkownicy zewnętrzni adresują pocztę wysyłaną na uniwersytet wg schematu [email protected], a serwery LDAP tłumaczą ten adres na adres użytkownika zgodny z wymogami IMAP według danych zawartych w katalogach.

Nie jest to jedyne wykorzystanie usług katalogowych LDAP i w miarę jak użytkownicy uczyli się wykorzystywać usługi katalogowe, dział informatyczny uniwersytetu musiał dodawać kolejne serwery LDAP. Obecnie wyczerpały się już praktycznie pomysły na nazwy dla tych serwerów, które nazywane były wg tytułów filmów z Arnoldem Schwarzeneggerem.

"Chcieliśmy, aby każdy serwer LDAP miał nazwę dobrego filmu z Arnoldem, ale szybko skończyły nam się tytuły, takie jak "Pamięć absolutna", "Prawdziwe kłamstwa" czy "Czerwona gorączka", i musieliśmy używać innych, gorszych, np. "Bliźniaki" - mówi Sloan. Nazwa "Terminator" zarezerwowana była dla serwera, na którym wciąż prowadzono testy z wykorzystaniem LDAP.

Mimo, że każdy serwer LDAP ma inną nazwę, to wszystkie one współdzielą jeden adres sieciowy, co pozwala szybciej odpowiadać na zapytania klientów LDAP.

Pieniądze na rozwój

Przełom w rozwoju LDAP na uniwersytecie Michigan nastąpił po przyznaniu grantu z amerykańskiego komitetu badań naukowych (National Science Foundation). Wtedy to opracowano pierwszy działający samodzielnie serwer LDAP (pod nazwą SLDAP od Standalone LDAP), pracujący w pełni niezależnie od usług X.500. Wzbogacony został także w usługi replikacyjne, które umożliwiały automatyczne uaktualnianie danych na wszystkich serwerach usług katalogowych.

Oddzielenie LDAP od serwerów X.500 przyniosło oczekiwane korzyści. Przede wszystkim znacznie ułatwiono administrację całego systemu (nie trzeba już było oddzielnie zarządzać usługami LDAP i X.500), a usługi replikacyjne automatyzowały proces dystrybucji informacji oraz zapewniały bezawaryjną pracę całego serwisu katalogowego, gdyby któryś z serwerów uległ awarii.

Serwery LDAP, które początkowo służyły wyłącznie do identyfikacji adresów pocztowych, obecnie świadczą na uniwersytecie także inne usługi. Przede wszystkim przechowują pełną książkę adresową zawierającą nie tylko adresy e-mail, ale także adresy pocztowe domowe i uniwersyteckie użytkowników, telefony i numery faksów. Usługi katalogowe wykorzystywane są także jako rejestr studentów, katalog licencji aplikacji oraz miejsce, w którym znajdują się informacje o prawach dostępu do zasobów sieci poszczególnych użytkowników, co wykorzystywane jest np. przy obsłudze zdalnych połączeń z siecią uniwersytecką.

LDAP w praktyce

Technologia LDAP jest już praktycznie realizowana i rzeczywiście spełnia stawiane jej przez użytkowników wymagania. Gorzej wygląda strona administracyjna zagadnienia. Ciągle jeszcze nie ma narzędzi, które umożliwiałyby implementację serwerów LDAP na różnych platformach systemowych, oraz aplikacji, zapewniających swobodny dostęp do tych serwerów. Według opinii analityków także, Netscape, uważana obecnie za firmę przodującą w rozwoju LDAP, zmarnowała już zbyt dużo czasu nie proponując użytkownikom konkretnych rozwiązań.

Pierwszym produktem bazującym na protokole LDAP ma być Directory Server 1.0 Netscape'a, który ukazać się ma na rynku wg zapewnień firmy, już w najbliższych tygodniach. Produkt ten będzie także szkieletem łączącym wszystkie komponenty pakietu SuiteSpot - zestawu serwerów intranetowych, którego premiera zapowiadana jest na początek przyszłego roku.

Dane wprowadzane do bazy Directory Servera będą mogły być replikowane z dowolnymi innymi serwisami katalogowymi zgodnymi ze standardem LDAP, np. NDS-em firmy Novell lub StreetTalkiem Banyan Systems. Według zapewnień Netscape'a nowy produkt będzie umożliwiał wprowadzenie 200 tys. rekordów danych i obsługiwać będzie do 100 tys. zapytań na godzinę. Directory Server 1.0 kosztować ma mniej niż 1000 USD i ma być dostępny w wersjach dla Windows NT oraz kilku odmian Unixa.

Aplikacją realizującą dostęp do serwera katalogowego będzie przeglądarka WWW Netscape Navigator, która już na początku przyszłego roku wzbogacona zostanie o obsługę protokołu LDAP.

Nie tylko Netscape

LDAP staje się de facto standardem, łączącym usługi katalogowe oferowane przez różnych producentów. Protokół ten jest głownym komponentem implementacji NetWare Directory Services na systemie operacyjnym Windows NT. Za jego pośrednictwem wymieniane mają być dane między NDS-em a domenowymi usługami katalogowymi dostępnymi w systemie operacyjnym Microsoftu.

Novell zapowiada, że już pod koniec br. zaprezentuje aplikację o kodowej nazwie Tabasco, która umożliwi zarządzanie kontami i grupami użytkowników Windows NT za pośrednictwem NDS-u oraz programu NWAdmin dostępnego w systemie NetWare 4.x.