NIS+: потомок NIS
Категория: Совместное использование конфигов | Автор: admin | 15-05-2010, 22:32 | Просмотров: 2911

Система NIS+ предназначена для устранения недостатков NIS. Она работает с большими компьютерными сетями и имеет встроенные средства защиты. Эта система позволяет управлять группами доменов из любой точки сети, а также эффективно рассылает обновления. Кроме того, она является распределенной базой данных. В общем, данная система подозрительно хороша, чтобы существовать на самом деле.

Хотя серверы NIS+ могут обслуживать клиентов NIS (с некоторым снижением уровня безопасности), NIS+ — совершенно другая система, у которой нет общего с NIS кода. Она поддерживается некоторыми крупными поставщиками ОС (например, HP-UX), но вследствие своей сложности не входит ни в одну из бесплатных операционных систем.

NIS+ — это хороший пример того, что Фредерик Брукс-младший (Frederick P. Brooks, Jr.) в своей классической книге The Mythical Man-Month ("Мифический человеко-месяц"), посвященной технологиям разработки программного обеспечения, назвал "эффектом второй системы". Эта система пытается пробиться к пользователям на волне успеха своей предшественницы, избегая всех ошибок и ловушек предыдущей концепции. Разработчики уделили существенное внимание ее формальной архитектуре. Теоретически система должна получиться совершенной. На практике же она неуклюжа, тяжеловесна и находится несколько в стороне от повседневной жизни. Нам рассказали, что даже в самой компании Sun ею не пользуются.

Между NIS и NIS+ имеется несколько существенных различий.

  • Система доменов NIS+ обладает иерархической структурой в масштабе организации, подобно DNS. Как и в случае использования NIS, на компьютеры каждого домена рассылается административная информация различных видов. С целью делегирования административных полномочий домены можно делить на поддомены. Каждый компьютер относится к одному домену, но домены могут обращаться к данным друг друга, что позволяет компьютерам получать информацию из нескольких доменов.
  • NIS+ больше похожа на базу данных, чем NIS, и позволяет осуществлять поиск в картах (которые здесь называют таблицами) по любому полю. Благодаря этому устраняется необходимость в ведении для каждого системного файла нескольких карт. В NIS+ каждый файл трактуется как одна таблица.
  • В отличие от NIS, в NIS+ не используются обычные файлы. Можно переслать в NIS+ данные из UNIX-файла (или NIS-карты), но после этого служба NIS+ будет считаться авторитетным источником переданной ей информации. При последующем изменении файла система не станет обновлять свою копию этого файла автоматически — для внесена изменений следует пользоваться командой, которая редактирует информацию непосредственно в таблицах NIS+.
  • NIS+ гораздо эффективнее NIS в плане управления подчиненными серверами которые в NIS+ называют репликами. Пересылается только информация о последних изменениях, а удобная схема регистрации позволяет обнаружить реплицированные серверы, которые вступают в контакт (или прекращают таковой) с главным сервером. Главный сервер может переслать серверу-реплике всю свою базу данных NIS+, если посчитает, что реплика слишком устарела для пошагового обновления.
  • Служба NIS+ построена на базе системы Sun Secure RPC, которая, помимо стандартной аутентификации, обеспечивает аутентификацию на основе шифрования с открытым ключом. Серверы NIS+ можно настроить так, чтобы они либо требовали идентификационную информацию в зашифрованном виде, либо следовали обычным правилам UNIX.
  • Как и обычный файл, каждый объект NIS+ (таблица, столбец, запись) имеет владельца и группу. Права доступа к объекту устанавливаются отдельно для владельца, группы и прочих пользователей. Те, кто не имеет своих идентификаторов (например, клиенты NIS), могут получить доступ с правами пользователя nobody. "Принципалами" системы Secure RPC (объектами, которые могут предъявлять свои идентификационные данные) могут быть и пользователи, и компьютеры. При обращении к NIS+ от имени пользователя root вместо данных суперпользователя применяются данные самого компьютера.

С точки зрения клиента служба NIS+ выглядит почти так же, как и любая другая административная СУБД. Доступ к большинству данных осуществляется посредством тех же библиотечных функций, и сложный мир доменов, таблиц, прав доступа и путей поиска в конечном итоге сводится к обычным UNIX-файлам.

NIS+ не имеет никакого отношения к DNS, за исключением того, что они применяют одинаковую схему именования. DNS и NIS+ используют имена, обратные путевым именам в файловой системе: читая имя слева направо, продвигаешься по направлению к корню иерархического дерева. Например, cs.colorado.edu — является поддоменом домена colorado.edu. Компьютер в этом домене может иметь имя anchor.cs.colorado.edu.

В соответствии с соглашением, корень иерархии NIS+ называется так же, как и DNS-домен верхнего уровня для данной организации. Если, скажем, DNS-домен имеет имя xor.com, то корневой домен NIS+ тоже будет называться xor.com, а marketing.xor.com будет, к примеру, поддоменом для отдела маркетинга. Поскольку DNS и NIS+ не взаимодействуют, риск от использования одинаковых имен сведен к нулю.

Формально NIS+ не поддерживает концепцию доменов и никому ее не навязывает. В этой системе просто предлагается базовый метод построения иерархии каталогов NIS+, создания в этих каталогах разных таблиц и привязки частей этой иерархии к различным главным серверам. Согласно соглашению, "домен" в NIS+ — это каталог, который содержит подкаталоги org_dir и groups_dir. Административные данные этого домена помещаются в таблицы, находящиеся в подкаталоге org_dir, а идентификационные данные "принципалов" NIS+ определяются в подкаталоге groups_dir. Теоретически в обоих названных подкаталогах могут быть другие подкаталоги, но обычно этого избегают.

Например, org_dir.marketing.xor.com — это имя каталога, содержашего системные таблицы домена marketing.xor.com. В плане синтаксиса обращение к таблицам производится как к каталогам: строка hosts.org_dir.marketing.xor.com обозначает эквивалент файла /etc/hosts для данного домена i NIS+. При обращении к элементу таблицы используется другой синтаксис: (здесь он не рассматривается).

Наше мнение относительно NIS+ таково: по возможности следует избегать этой системы. Она, конечно, функционирует нормально, но то же самое можно сказать и о более простых ее альтернативах. Естественно, мы противники тотального отрицания; просто мы считаем, что нет особых причин, по которым предпочтение следовало бы отдавать именно NIS+.



 (голосов: 0)
Версия для печати | Комментариев: 0
Информация
Посетители, находящиеся в группе Гости, не могут оставлять комментарии в данной новости.


 
Логин
Пароль
 

 
Locations of visitors to this page