http://netcity3.web.hinet.net/UserData/snap2679/no 史上最強悍的目錄服務 Novell Directory Service 8 □ 當管理員要面對的網路從小小公司內部的一個，到分公司外部的網路，加上網際網路的引進，愈來愈多的網路設備、資源增加了管理時的困難度，網路管理只能高嘆這工作真不是人做的… 為了解決這一個難題，目錄服務(directory service)就應運而生。 為了有效管理網路上的使用者、各式各樣的資源，就是目錄服務存在的目的。 ＊2000/04/04補註：NDSv8為了行銷上的定位需求，現下改成了eDirectory(internet用)和eDirectory Corporate Edition(就是傳統的版本)。為了方便討論，還是當成同一個NDSv8好了。 □ 目錄服務應具備的條件 成為一個成熟的目錄服務，至少應滿足以下二條件： ． 跨平台 面對幾種主要的作業系統都必需能支援，才能達到所有資源都能編成目錄來管理的要求。 ． 易擴充 可輕易支援非常龐大的網路(十億以上的物件)資源且易於擴充。 (註：目前常見的版本NDSv7或是更早，就只能支援到數百、到數千萬的物件了) 由以上的條件分析，目前業界只有Novell Directory Service 8才能完整的具備以上的的要求，而且經過最長時間的實戰考驗，稱之最強悍的目錄服務應當之無愧 :) □ NDS 8的特色 對著NDS8望文生義，便知NDS 8就是Novell Directory Service 第八版，目前為了方便區別，以NDS 8為主體又演化成eDirectory(internet適用)與CooperationDirectory(一般公司內部intranet適用)。無論是什麼版本，它都共同擁有下列的特色： ． 有極強的擴充能力 支援十億個物件以上的網路運作；這個數字不僅是業界最高，也五倍於目前全球上網的人口。 ． 支援標準的LDAP協定，可輕易在廣大的網路中搜尋所要的資源 LDAP是一種存取目錄服務的協定，NDS8核心就是LDAP為主，因此在搜尋各類資源時都能輕鬆自如。 ． 有分割及任意複製的能耐 為了容錯或是效能上的考量，NDS8的資料庫可以任意切割成幾個小塊並且將這些資料庫做多個備份以達到容錯的效果。 ． 跨平台 面對網路裏各式各樣的作業系統和資源(如不同廠牌的印表機)，NDS8均可在上面一展身手，如NDS FOR NT，NDS FOR Solaris、IBM AIX、Linux等。在最終的境境就是，再也不需要面對一個單一的網路資源，啟用不同的管理工具了。 ． 整合多種internet技術及LAN的標準 如DNS、DHCP、Radius(撥接服務)、LDAPv3、NDAP、Bindery(Novell Netware 3.x的資料庫)、SMB、PKI、X.509、PKCS10、SSLv3等等。這些技術/標準所產生、所管理的資源，均可統一納入NDSv8的管理，讓管理網路資源只需一次的動作就可搞定。 ． 極佳的安全性 使用Public Key Infrastructure (PKI)安全加密技術，讓NDS8的各種運作皆能受到保護，而且更可進一步運用到電子商務上，確保使用者的重要資訊不會被竊取。 □ NDSv8和傳統NDS設計上的不同 傳統NDS的運作，是以SYS:_Netware這個目錄下的幾個檔案作為運作的基礎： ． Partitio.nds 記載著NDS的Partition、Schema、external reference、bindery等資料 ． Entry.nds 伺服器上承載的replica中有什麼樣的object ． Value.nds 上面那個檔案所記載的object的值為何 ． Block.nds 幫忙Value.nds記一些 overflow 的value。不知道是什麼意思。 ． Stream Files 以十六進位數字為檔名的「流水檔」，專記一些不定長度的資料，如Login Script等。 ． Transaction Tracking System(TTS) 負責稽核檔案/NDS的運作是否被正確完成，如果不是它將可以讓這次的運作恢復到最近一次正確的記錄。 而NDSv8(或是所謂的eDirectory)它的運作模式起了相當大的改變： ． Nds.db 整個NDS資料庫的控制檔，它還有內建一個log可以在NDS不正常運作時的資料，恢復到上一次正確的結果(很像TTS的功能) ． Nds.log 這也是一個TTS類似的功能，也是用來稽核如果不正常運作時，可以恢復到上一步的檔案。 ． Nds.0x 所有在這伺服器上的NDS資料；一旦這個資料檔大到2G，這檔案就會被切割，變成像是這樣：Nds.01,Nds.02... 這檔案內建有好幾個Index用來加速搜尋，用來應付龐大的資料搜尋時有所依據。 ． Stream Files 還是用來記錄不定長度的「流水檔」，檔名依然是用十六進位的方式來命名，但這次有個延伸檔名為NDS。 □ NDSv8的應用 如果只是小小的一個公司，其實NDSv8對您的幫助是很有限的；如果公司家大業大，資源眾多，左手邊有unix server，右手邊上打的nt server還在排隊，前頭Louts Notes Server也正在運作，使用者每天在這些帳號間換來換去弄的焦頭爛額，此時就有運用ndsv8來解決問題的必要。 以以上那些例子來說，就有分別對應的產品來整合它們的資料庫，可以真正做到「一次登入」就能存取所有他可以擁有的資源，再也不會有什麼員工離職，網路管理員忘了刪掉他的帳號以致產生漏洞的情事。而是有人異動，只消在NDS裏頭做個更改，則所有的平台上的帳號都跟著同步，而不會有一堆帳號要管理的煩人瑣事了。 另外一種著名的應用則是電子商務的基礎建設，可由各式作業平台搭配NDSv8來管理，因為internet上各色各樣的user眾多，如果能夠在第一次消費者購物後就為他在NDSv8裏有個帳號，則以後追蹤這個客戶的信用、消費記錄、消費習慣都能納入掌握，提供貼心的個人服務，如此一來電子商務的優點必然備增許多。 □ 產品面的比較：倒底我要eDirectory還是Corporate Edition? NDSv8在8.3x版後，就分家成eDirectory和傳統的Corporate NDS，感覺上前者是適合在Internet的應用，後者就是在公司內部的intranet使用了，但這樣的說法感覺很簡便，不知有沒有更精確的定義? 本來正康也是不甚了解，但在某場合遇到Novell顧問「艾瑞克」的協助，才了解一些技術上的差別，原來eDirectory含有二個模組，一個是NDS，一個是LDAP，而這二個模組就可以搬到各個平台上去執行，以便一些LDAP程式可以執行(如瀏覽器)及運用一些Novell獨門的技術(NDS運作的技巧)並且讓管理員能用一些Novell工具來管理(Nwadmn32及ConsoleONE)。 而CorporateEdition 比 eDirectory還多了一個功能，可以整合機器上的帳號(此模組好像叫UAM，stands for User Account Manager ?)送到其他的Tree上。所以果然是適合在intranet上的。 □ 三種NDS目錄服務產品最終比較(NDSv8，eDirectory，eDirectory Corporate Edition) 最後再以簡單的排列組合，秀出這三種目錄服務產品的定位： NDSv8… 出道最早。原本是為了Netware 5而發展， 但目前已經廣泛的運用在各類的NDS-Enabled產品上。 它和以前的版本的主要差異是消除了之前版本的一些限制， 如修復時會鎖住Database這個問題。 (但在修復schema時仍會鎖住) eDirectory… 目前NDS目錄服務的代名詞，目前行銷上主推這個名字，可能是要暗示消費者它和E世代的關係，及跨平台的特性吧(不主動秀出N開頭:)) 它提供安裝平台有目錄服務的能力，主要由LDAP模組提供對外的連結能力，及NDS模組提供執行以往NDS目錄服務的活動能力。 eDirectory Corporate Edition… NDS目錄服務家族中，最重量級的成員，除了植基於前二者之外，還掛上整合使用者的模組，因此可以將安裝平台裏的帳號資料庫送進與之合併的NDS Tree裏。功能最多，因此價錢也是較前二者高，目前主要的平台有Netware、NT、Solaris、Linux及快出生的Compaq Tru64。 □ Single Sign-on：我可以用它來代替eDirectory Corporate Edition嗎? 講到帳號整合，那種傳聞中「one account，one password」的理想世界可以透過剛剛最重量級的目錄服務產品，eDirectory Corporate Edition來完成。但Novell又有一套所謂的Single Sign-on，聽起來也是一次登入就可以到處遊走，這倒底是不是同一個產品呢? 答案當然不是，光看售價就知道了 (沒記錯的話，SingleSign-on的價錢比較便宜)。SingleSign-on不是真的把使用者的帳號多合一，而是利用類似瀏覽器裏「自動完成」的功能做到的。 還記得使用IE5或最新的Netscape 6都有所謂的「自動完成」功能，也就是說瀏覽器會記住你常上的網站的登入帳號密碼，而幫你自動登入(也不完全自動啦，還要你按enter)。 這個動作並沒有把Windows登入的帳號密碼和上網站的帳號密碼整合，但它們之間卻有不可告人的關係。原來即使不同的使用者登入Windows本機，瀏覽器也會識得這些差別，進而提供不同的profile來讓使用者上網時自動彈出上次上該網站的帳號密碼。而Single Sign-on也是如此，只是登入Windows的帳號密碼改成NDS帳號密碼，而上網站(=上不同網路，NT，Netware...)時會自動帶出不同的帳號密碼，讓你誤以為真的一套NDS帳號走到完。其實它還是暗中串通其他系統的帳號密碼的。別被騙。 這樣做的好處是簡單，壞處是帳號密碼沒有真的整合和同步，所以一有任何一方更動設定，這些檯面下的連結就會斷掉，而該問密碼的地方就會再跑出來了。 □ 小結 由於國內中小企業眾多，所以較少能感受到NDS帶來的好處，但願國內企業都能迅速成長，此時NDS就能一展才，將複雜的網路管理的井井有條了。 Last Update 2000/05/09 (C) 1997-2000 by ChengKang Chiang, All World Wide Rights Reserved. *************************************************************************** 哈哈&兵燹 最會的2大絕招 這個不會與那個也不會 哈哈哈 粉好

------
**********************************************************
哈哈&兵燹
最會的2大絕招 這個不會與那個也不會 哈哈哈 粉好

Delphi K.Top的K.Top分兩個字解釋Top代表尖端的意思,希望本討論區能提供Delphi的尖端新知
K.表Knowlege 知識,就是本站的標語:Open our mind