目录服务更是一种全新的网络思想,它把现实中的网络统一在目录的旗下,它要求人们用目录的观 念来重新看待网络。目前网络管理中的许多困难在目录的观念下将会“迎刃而解”。
为什么目录服务将成为未来网络应用和管理的核心,首先让我们看看实际网络中的情况。
首先,经过了十几年的发展,网络的连接已达到了相当的规模。网络延伸使覆盖面更加广阔,也使得网络中的各种设备在不断增加,网络的拓扑结构日益复杂。网络结构的这种量的变化必然会引起质的变化,质的变化也就会直接反映到网络的应用和管理上来。在过去,网络环境比较单一,管理的工作相对较少,可以采取一一对应的简单管理办法。而现在,网络环境复杂化了,网络中的用户和设备的数量较以前都有显著的增加,许多网络还是多平台的异构环境,仍然沿用旧的方式就不合理了。因为当采用一一对应的管理办法时,随着网络中对象的增长,其管理的复杂度是和网络中对象数目的增长成指数幂的关系。举个例来说,假设一个网络中只有两台计算机(C1、C2)、两个用户(U1、U2)、一台打印机(P1),需要管理的也就是这五个对象和七种关联关系。当需要加入一个用户时,对象只增加了一个,可是将增加5种关联关系。当再增加一个用户时,则需要再增加6种关联关系。可以设想一下对于一个有上百个用户的企业,网络管理将会面临非常复杂的局面。
其次,网络将会从网络连接(Connection)发展到网络应用和网络管理,在网络中识别用户的身份(Identity)变得格外重要。有人甚至认为身份识别的浪潮将是因特网的下一个发展阶段。在目前的网络面前是人人平等的。网络无法辨别在网络上的是经理还是普通员工。而我们的社会有身份区别和严格的组织制度,人与人在社会上的角色是不同的。没有身份识别的网络会引出网络社会和现实社会的矛盾,带来许多混乱。比如:当公司的总经理正从网络上下载数据,为下午的董事会准备报告材料,虽然他的工作要重要得多,却不得不和其他员工一样去竞争网络带宽,因为网络面前大家是平等的,这位经理在职务上的优先地位在网络上却得不到体现,于是他只能抱怨网络太慢了。
第三,其实目前的网络中不是没有身份识别,而是网络系统的各个部分中都有一套自己的身份识别系统。比如:操作系统、数据库和各种应用程序内都能建立自己的身份识别,对用户进入进行鉴别。从一定的意义上讲,这样做能够保证本应用的身份识别的有效性。但如果有一个新的应用需要建立时,问题就出现了。要么,它重新建立自己的身份识别过程,这意味着需要进行一次重复的建设;要么,就要利用其它应用的身份识别过程,可当它需要与不同应用打交道时,就要为每一个应用建立一个对应的接口。这好比现实社会中人的身份证,如果公安机关、居委会和人才市场分别给你一个身份证,岂不乱了套。其实只需要由公安机关发的身份证就够了,其他场合需要时只要用它来唯一标识就可以了。
第四,从管理学角度来看目前的网络管理,由于缺乏有效的身份识别方法,不能在网络上进行基于策略的管理。比如,某个公司的财务部门需要每天访问股票站点获得公司股票的信息,而公司的其他部门的员工则应禁止访问这些站点。在目前的网络环境下要完全做到这一点却不容易,于是网络管理员往往采用“YES”或“NO”的管理办法,网络资源就得不到充分的利用,用户也会觉得不方便。
目前的网络环境能做到这些吗?
●可以做到不让某个用户使用某台PC机吗?
●可以做到禁止某个用户使用某个IP地址吗?
●可以做到禁止某个用户使用某个交换机的端口吗?
●可以让用户在网络的任何一台PC上登录都可以得到他自己的操作界面,而不是其他用户的吗?
●可以实现在网络的任何地点登录都可以获得与其身份相当的网络资源吗?
有了上面的介绍,答案是否定的。其中最重要的因素就是网络中没有有效的身份识别手段。网络中人的电子身份将在网络的应用和管理中起着举足轻重的作用!网络发展将进入一个网络社区的阶段,在那时身份更是成为最重要的元素。其实这些问题,并不是不能解决,而且现有的技术已经可以做到了,这就是目录服务。我们正处于因特网的下一个重大阶段的前期,这个阶段将是一个集中关注数字身份及其相互关系的创建和管理阶段,在这个时期正是我们应该应用目录服务的时候。
目录服务是从技术的角度定义了人的身份和网络对象的关系。它是规范网络行为和管理网络的手段。可以说,目录服务是身份管理的目录服务,它把身份和各种网络对象以及他们间的关系统一到一个数据库中,为操作系统、应用程序和硬件设备提供集中的身份服务。建立一个因特网身份世界的关键在于建立能够让个人用户创建管理和保护身份的网络环境。一个基于目录服务的网络(DEN)也就是一个“有身份”的网络。正如Novell公司的CEOEricSchmidt在今年的Brainshare大会上所说:目录与身份是因特网上一个硬币的两面!身份描述了网络上有谁,而目录服务将处理这些信息,让你能够跟正确的人、正确的应用程序、正确的服务和设备连接上。
看来是否应用目录服务,将成为新旧网络模式的分水岭,目前的网络没有统一的身份服务。没有目录服务的应用,网络管理和应用面临许多难题。于是有人说,网络有“丢失秩序的危险”。对于目前网络中的各种问题,业界也推出了许多有针对性的方案。
“治本方能治标”。采用一种综合有效的技术才能起到“根治”的作用。目录服务如何来解决目前网络中的问题?
目录是网络系统中各种资源的清单,它保存了网络中用户、服务器、客户机、交换机、打印机等等的详细信息。同时它还收集了这些资源之间各种复杂的相互关联关系。目录将能不断地随网络的发展而动态改变。当网络中新增一个资源时,网络管理员在目录中添加相应的数据对象以及与其它对象和用户的关系。当网络资源位置移动或更新时,网络管理员只要对相应的目录项进行移动或更新操作。目录服务为网络管理员提供了一个管理网络的手段,它将网络的实际情况与目录一一对应。这样网络管理员对资源的直接管理变成了通过目录服务来进行。用户与各种资源对象的复杂关系也交给目录服务来处理。相关的信息只需作一次的设定,以后就不需要做重复工作了。网络发展中量的变化被映射成目录数据库的数量变化。网络管理员只需集中关注他要作出的管理决定。网络中的各个子网还可以指定自己的网络管理员管理本子网内的资源,上一级的网络管理员可对下一级的网络管理员的权限进行设置。
目录服务将身份也作为目录中的一个特定对象来处理。现实社会的各种组织都有自己的结构和层次。用户与用户之间也存在级别和身份的不同。目录可以按照企业组织的情况来设定,使它与实际的企业结构完全一致。比如V公司下属有四个部门:计划处、生产处、销售处和财务处。其中生产处又分为配件科和组装科。使用目录服务可以使网络的管理结构和单位的组织结构一致。单位的行政管理就可以通过网络来实现。当公司总经理要向计划处下发指示文件时,只要把文件拖到计划处的目录分支点,计划处的每一个员工就可以得到这份文件,避免了传统的纸张传递的办法。在现实生活中,用户对网络资源的访问权限都是与用户的职务有关。目录可以在资源与用户身份之间建立关联关系,可以灵活分配网络资源和可靠地控制用户的访问权限。当网络中的带宽、交换机的端口、IP地址的资源在目录中都建立了与用户身份的关联关系,就可以控制用户对这些资源的使用。于是,当网络带宽紧张时,公司的总经理就可以分配到更多的带宽。如果财务处的员工有访问公司财务报表的权利,那么他在其它部门的计算机上也同样可以取得报表。而其他部门的员工即使使用财务部门的计算机,也是无法看到这些文件的。
目录服务可以为网络中的所有应用、硬件和操作系统提供统一的身份。目录服务有相应的国际标准可循。无论硬件设备、操作系统还是应用程序只要建立了标准的目录服务接口,就可以使用目录服务提供的身份服务。这样也为网络应用程序的开发提供了方便,过去需要程序员考虑的许多问题都可以提交给目录服务,从而节省开发周期和开发费用。目录服务具有扩展性,网络应用需要使用新的属性时,可以在目录中添加相应的属性项,这将为未来的网络应用开发者提供自由的空间。比如:当一个新的应用程序需要使用用户的血型这个属性时,它只要在用户记录中添加血型属性一项,这时目录好比计算机上的主板,添加应用需要的属性就如同在目录上开一个槽,然后把应用插入槽中,就完成了。由于目录服务和应用程序都是基于标准的,横向扩展则容易又灵活。目录服务提供的身份在全网络中是唯一的,不会出现多个身份并存的混乱状况。它不仅在管理上减轻了复杂度,也为网络安全带来了保障。用户在网络上的一切行为都与他的身份挂钩。无论用户何时、何地、用何种方式进入网络,他都是可以被唯一标识出的。他在网络上的任何行为都可被目录服务记录下来的,这就表明“黑客”再也别想逃脱目录服务的“眼睛”。
目录服务能恰当地处理各种关联关系,并可以对各种关联关系进行复杂的运算,这有助于实现对网络的策略管理。网络管理员只需设定网络管理的规则,其它工作都可以交给目录服务去完成。不同的管理要求可通过不同的规则来实现,也就不存在为了限制某个时间段或某个部门,而限制整个时间段或所有用户的情况。它带来的最大好处就是可以使目录服务执行动态的、富有弹性的管理。
其实目录服务能做到的不止是这些。它一方面增强了网络的安全性,使网络置于技术的“秩序”中;另一方面,它丰富了网络应用,带给人们一个更“美丽的新世界”。目录服务更是一种新的网络思想,他把现实中的网络统一在目录的旗帜下,它要求人们用目录的观念来看待网络。许多目前的困难在目录的观念下将“迎刃而解”。这种思想是网络思想的一个飞跃,它把OO(ObjiectOriented)的方法应用于网络中,对象化了网络上的用户和各种组件,并把他们置于一个倒置的“树”中。这种面对对象的具有层次的数据集合,是网络的一个最好表示。身份是目录中的对象,它如实地反映了现实的社会关系。于是目录和身份使网络连接的数字社会更贴近我们的生活。
返回