“Чистые” серверы LDAP для Web-сервисов
ТЕХНИЧЕСКИЙ АНАЛИЗ
Сегодня, на пороге трехлетнего юбилея Active Directory, становится все яснее, что в этой службе каталога отражаются приоритеты других времен.
Когда корпорация Microsoft разрабатывала Active Directory, она думала о его применении преимущественно для организации корпоративных каталогов, поэтому главной функцией продукта стало управление пользователями и группами в больших организациях (где к тому же применяется только Windows 2000).
Sun ONE (бывший iPlanet) Directory Server предлагает все возможности “чистого” LDAP
Хотя создатели Active Directory и воспользовались некоторыми элементами LDAP, им все же не удалось обеспечить полномасштабную поддержку этого стандарта. Для интеграции внешних приложений (“чистый” сервер LDAP производит ее по умолчанию) в службе каталога Microsoft приходится применять интерфейсы API. Есть в Active Directory и другие слабые места, связанные с весьма ограниченной поддержкой схемы в структурах каталога.
В новом мире Web-сервисов и интеграции на основе XML каталоги должны быть открыты самым разным системам, клиентам, приложениям, равно как и доступны с них. А в таких условиях полузаказные системы, создаваемые для конкретных корпоративных сетей, не слишком-то хороши.
Похоже, это осознала даже Microsoft: в начале следующего года корпорация собирается выпустить продукт под названием Active Directory in Application Mode, который, по существу, представляет собой реализацию “чистого” LDAP для Active Directory.
Но если вашему бизнесу нужен каталог с реализацией “чистого” LDAP уже сейчас, вы можете не дожидаться AD/AM. Рынок предлагает целый ряд мощных, популярных и функциональных продуктов, обеспечивающих простую интеграцию с каталогами LDAP.
Одним из лучших и наиболее известным из них является Sun ONE Directory Server фирмы Sun Microsystems. Это - прямой потомок Netscape Directory Server (позже он стал называться iPlanet Directory Server), одного из первых коммерческих серверов LDAP корпоративного класса.
Sun ONE Directory Server обеспечивает полномасштабную поддержку протокола LDAP, по давно сложившейся традиции он часто обновляется и способен работать на большинстве платформ. Сервер прекрасно управляется и предлагает надежную платформу для аутентификации самого широкого спектра приложений и сервисов.
Многие из его сильных сторон свойственны и eDirectory фирмы Novell. Огромное достоинство этой службы в том, что она, будучи прямой наследницей известной NDS, вобрала в себя богатый опыт Novell в области структур каталогов и управления ими. Все это определило широчайшие возможности eDirectory, которая хорошо вписывается в любую конфигурацию бизнеса (даже если в ней нет никаких других продуктов Novell).
Еще одна удачная реализация LDAP с прицелом на управление безопасностью и аутентификацией - eTrust Directory фирмы Computer Associates International. Этот каталог лучше всего работает вместе со средствами безопасности семейства eTrust того же производителя, выполняя функции механизма контроля над доступом и управления аутентификацией. Впрочем, отличная поддержка LDAP, присущая этому продукту, делает его пригодным для любой среды.
Однако у всех этих систем один общий недостаток - высокая цена: стоимость развертывания любого из них в крупной корпорации вполне может вылиться в шестизначную цифру.
К счастью, существует и альтернативный вариант из мира открытых кодов. Конечно, ему может недоставать некоторых административных удобств, свойственных коммерческим продуктам, но поддержку LDAP и все функции корпоративного каталога он обеспечивает.
OpenLDAP Foundation предлагает полный комплект продуктов на основе LDAP. Они, как и исходный Netscape Directory Server, разработаны на основе обширных исследований этого протокола в Мичиганском университете. Правда, установка и настройка сервера OpenLDAP требует ручного труда, однако нет худа без добра: это помогает лучше освоить всю структуру каталога.
Программное обеспечение OpenLDAP (его можно загрузить с сайта www.openldap.org) уже используется во многих дистрибутивах Linux.
С техническим директором eWeek Labs на восточном побережье США Джимом Рапозой можно связаться по адресу: jim_raposa@ziffdavis.com.
