Novell dostarczył pierwszą wersję usług katalogowych NDS dla Windows NT.

System operacyjny Windows NT Server często krytykowany jest za brak wydajnych, prostych w zarządzaniu i jednocześnie skalowalnych usług katalogowych. Zaimplementowana w Windows NT struktura domenowa nie pozwala w elastyczny sposób zarządzać siecią złożoną z wielu domen oraz nadawać uprawnienia poszczególnym jej użytkownikom. Rozwiązaniem tych problemów mają być usługi katalogowe Active Directory, które będą dostępne wraz z Windows NT Server 5.0 – najwcześniej w drugiej połowie przyszłego roku.

Alternatywne rozwiązanie proponuje firma Novell. Na tegorocznych targach NetWorld+Interop zaprezentowała ona własne usługi katalogowe NDS integrujące funkcje zarządzania zasobami domen Windows NT. NDS for NT zostanie dostarczony na rynek w dwóch fazach: w pierwszej wymagać będzie jeszcze serwera NetWare lub IntranetWare działającego w sieci korporacyjnej, w drugiej (zapowiadanej na pierwszy kwartał przyszłego roku) pracować będzie już w całości na serwerach Windows NT.

Integracja sieci

Korzyści ze stosowania NDS for NT odniosą te firmy, które obecnie wykorzystują mieszane sieci Windows NT i IntranetWare. NDS zapewni możliwość pojedynczego logowania użytkownikom korzystającym z obu systemów sieciowych, możliwość scentralizowanego zarządzania siecią i przez to zmniejszy jej koszty utrzymania. Jednocześnie zredukuje on problemy związane z administrowaniem domenami NT i ułatwi dystrybucję aplikacji zarówno do stacji roboczych, jak i serwerów.

NDS for NT w pełni integruje środowisko domenowe w ramach NDS-u, co umożliwia administratorom zarządzanie wszystkimi aspektami domen NT poprzez NDS. Ponadto produkt ten przygotowano w taki sposób, że jeśli jakaś aplikacja pracująca pod kontrolą NT odwołuje się do informacji przechowywanych w systemie domenowym, to jej zapytania przekierowane zostaną do NDS-u i stamtąd też napłynie odpowiedź.

Przykładowo, jeśli ktoś potrzebuje dostępu zarówno do domeny NT, jak i do serwera IntranetWare, to w przypadku braku NDS for NT administrator musi założyć dwa konta, po jednym na każdej platformie. Gdy takich użytkowników jest np. stu, sytuacja jest już bardzo problematyczna. Dzięki instalacji NDS for NT wszystkie odwołania do detali dotyczących użytkowników domen NT kierowane są do obiektów użytkowników zawartych w NDS-ie. Pojedynczy obiekt użytkownika reguluje w nim dostęp zarówno do sieci Microsoftu, jak i NetWare.

NDS for NT instalowany jest wyłącznie na serwerach Windows NT. Nie są wymagane komponenty po stronie klientów sieciowych. Z ich perspektywy praca sieci w żaden sposób się nie zmienia. Wszystkie stacje robocze i aplikacje funkcjonują w taki sam sposób jak przed instalacją NDS for NT.

Jeśli więc administrator chce założyć konto dla nowego użytkownika domeny Windows NT (po zainstalowaniu NDS for NT), może to uczynić, korzystając z programu NWAdmin, znanego użytkownikom NetWare, lub też standardowego User Managera systemu NT. User Manager wysyła do domeny NT informacje o nowym użytkowniku, informacje te przejmowane są przez NDS for NT i przesyłane do bazy NDS. Użytkownik ma dokładnie takie same prawa dostępu i właściwości w ramach NDS-u, jakie nadał mu administrator w domenie NT. Kolejne modyfikacje dotyczące tego użytkownika dokonywane za pośrednictwem User Managera lub dowolnego innego narzędzia administracyjnego obsługiwane są w dokładnie ten sam sposób.

Jak pracuje NDS for NT?

Standardowo w systemie Windows NT każda aplikacja, która wymaga dostania się do jakiś informacji przechowywanych w systemie domenowym, odwołuje się do biblioteki SAMLIB.DLL (dotyczy to zarówno aplikacji pracujących na Windows NT Server, jak i Workstation). SAMLIB.DLL komunikuje się następnie za pośrednictwem odwołań RPC (Remote Procedure Calls) ze sterownikiem SAMSRV.DLL. Odwołania te w przypadku serwerów NT wykonywane są lokalnie, w ramach jednej maszyny, a w przypadku stacji roboczych - przez sieć komputerową. SAMSRV.DLL sięga wtedy do bazy SAM (Security Accounts Manager), w której przechowywane są wszystkie informacje, i zwraca ze stacji klienckiej tą samą drogą żądane dane.

NDS for NT nieco zmienia sposób, w jaki SAMSRV.DLL sięga po informacje. Wraz z instalacją produktu na serwerze Windows NT bibliotek SAMSRV.DLL ulega zamianie na nową wersję opracowaną przez Novella. Odpowiedzialna jest ona za przekierowywanie wszystkich zapytań do NDS-u, a nie - tak jak dotychczas - bazy SAM. Aby jednak rozwiązanie to było realne, konieczna jest instalacja pełnego klienta IntranetWare na serwerze Windows NT.

Każda domena Windows NT ma odwzorowanie w drzewie NDS. Przechowuje ona informacje nie tylko o jej użytkownikach, ale także komputerach, które w niej pracują i zdefiniowanych grupach użytkowników - tak samo jak ma to miejsce w przypadku domeny obsługiwanej przez NT. Użytkownicy odwzorowywani są jako członkowie domeny i nie są do niej na stałe przywiązani. Dzięki temu można ich umiejscowić w dowolnym miejscu drzewa NDS (co upraszcza administrację) i uczynić ich członkami większej liczby domen, co ułatwia definiowanie praw dostępu w sieciach wielodomenowych i nie wymaga stosowania relacji zaufania między domenami NT (trust relationships).

Migracja katalogów

Wraz z NDS for NT dostarczane jest narzędzie, które umożliwia migrację istniejących już domen Windows NT do NDS-u. Przeprowadza ono administratora przez proces definiowania obiektu domeny w ramach NDS-u i kopiuje wszystkie informacje o użytkownikach i pracujących w domenie komputerach z bazy SAM serwerów Windows NT.

Narzędzie to pozwala tworzyć nowe obiekty użytkowników podczas procesu migracji lub też integrować ich domeny NT z informacjami dotyczącymi użytkownika IntranetWare. Dzięki temu informacje o kontach w obu systemach nie będą duplikowane i za pośrednictwem jednego obiektu będzie można zarządzać dostępem zarówno do sieci NT, jak i IntranetWare.

Aby NDS for NT działał poprawnie, konieczne jest jego zainstalowanie na wszystkich kontrolerach domen pracujących w sieci - dotyczy to zarówno serwerów PDC (Primary Domain Controller), jak i BDC (Backup Domain Controller). NDS przechowuje także informacje o relacjach między tymi serwerami (PDC i BDC).

Hasła użytkowników

Windows NT i NetWare wykorzystują różne technologie identyfikacji użytkowników. Windows NT posługuje się mechanizmem szyfrowania MD4, a NDS korzysta z RSA. Zarówno w katalogach domenowych, jak i NDS-ie przechowywane są hasła użytkowników w postaci zaszyfrowanej lub też klucze umożliwiające zweryfikowanie poprawności wpisanego przez użytkownika hasła. Ani w NT, ani w NetWare hasła nie są przesyłane przez sieć między stacją roboczą a serwerem w postaci jawnej. Są one zakodowane według technologii MD4 lub RSA.

Kiedy dokona się migracji domeny NT do NDS-u, przenoszone są także przechowywane w postaci zaszyfrowanej hasła. Dzięki temu użytkownik może po migracji nadal logować się w domenie Windows NT, używając tego samego hasła co wcześniej. NDS przechowuje bowiem obie postaci haseł użytkownika - zaszyfrowane zgodnie z mechanizmem MD4 i RSA.

Przyszłość

NDS for NT wymaga, by w sieci pracował co najmniej jeden serwer, na którym przechowywane będzie drzewo NDS. W pierwszym kwartale przyszłego roku ma ukazać się wersja 1.1 produktu, która pozwoli całkowicie wyeliminować konieczność stosowania serwera IntranetWare do obsługi NDS-u. Pracować on będzie pod Windows NT.

Przedstawiciele Novella zapowiadają, że będzie w pełni kompatybilny z usługami katalogowymi Active Directory, które trafią na rynek wraz z premierą Windows NT Server 5.0. Kolejna wersja NDS for NT będzie integrować się z Active Directory za pośrednictwem interfejsów ADSI (Active Directory Services Interface).

______

NDS for NT

Producent: Novell

Wymagania: serwer z Windows NT Server 4.0 oraz serwer NetWare 4.11 lub IntranetWare

Cena: licencja dla 5 użytkowników - 345 USD; dla 50 - 3300 USD; dla 100 - 6500 USD; dla 250 - 16 350 USD.

Informacje: http://www.novell.com