Колонка редактора
Как это работает
Профессионал
Новости
Вопросы и ответы
Литература


Начальная страница
E-mail


Стандарты службы справочников

X.500 и защита информации

В любой системе распространения информации вопросы контроля доступа являются критически важными. Совершенно очевидно, что у любой организации есть информация, предназначенная для всех - например, контактные адреса и телефоны - и информация, которая мож ет быть показана только авторизованным пользователям. Для подобной авторизации X.500 использует т.н. Списки Управления Доступом (Access Control Lists, ACLs). Защита самих этих списков определяется политикой защиты места их хранения. Защищенную справочную службу описывает стандарт X.509. Говоря точнее, решения, предложенные комитетом по стандарту X.509, покрывают многие области модели OSI, помимо Справочника, и уже подтолкнули развитие многих других стандартов. В результате стандарт, являющийся одной из ча стей семейства X.500 стал более известен, чем, так сказать, "головной" стандарт.

Как известно, существует симметричное и асимметричное шифрование. Симметричное шифрование использует для закрытия информации секретный ключ. Потенциальный пользователь должен иметь его. Асимметричное шифрование представляет собой более мощное решение, использующее комбинацию закрытого и открытого ключа. Именно его использует X.509. Открытый ключ делается доступным в форме сертификата, содержащего подписанный ключ, имя подписавшего и ряд другой информации. Поскольку Справочник позволяет хранить любую би нарную информацию, сертификаты могут храниться в нем. Затем соответствующие приложения могут извлекать их оттуда. Рекомендации X.509 описывают процедуру сертификации.

В то время как некоторые операции требуют только мягкой аутентификации, подтверждающей полномочия пользователя с помощью пароля, X.509 также позволяет проводить жесткую аутентификацию, основанную на асимметричном алгоритме шифрования с публичным размещ ением открытых ключей.

X.500 1988 против X.500 1993

Первая редакция X.500 имела существенные недостатки. В частности, были пробелы в описании концепции репликации, управления доступом, Схемы и управления Знаниями - того, что, как выяснилось по ходу дела, являлось едва ли не основным для Справочника. Рас ширения 1993 года включают:

  • Модель информации о пользователе
  • Модель административной информации
  • Управление доступом
  • Репликацию
  • Протоколы обновления Знаний
  • Групповые атрибуты
  • Жесткое определение Схемы

и некоторые другие полезные уточнения.

Как и все хорошие стандарты, X.500 - 1993 совместим сверху вниз с предыдущей редакцией. Управление доступом с динамическим связыванием позволяет использовать уже существующие средства без их замены. Репликация 1993 года является добавлением к протоколу DSP 1988 года.

Стандарт 1993 года включает два новых протокола - DISP и DOP, отвечающие соответственно за распространение данных и связывание DSA. Directory Information Shadowing Protocol (DISP) позволяет сделать политику обновления информации гибкой, например, позво ляя делать обновления полными и/или инкрементальными. Обновление может инициироваться как поставляющей, так и принмающей информацию стороной. Оно может проводиться либо по расписанию, либо сразу после появления изменений. Обновляться теперь может сразу це лое поддерево.

Ключевым элементом рекомендаций 1993 года является управление доступом к DIT, которое может распространяться и на отдельные объекты, и на целое поддерево. Это позволяет администратору использовать набор правил для описания политики безопасности (наприм ер, к этой части справочника имеют доступ только сотрудники), вместо прямого присвоения атрибутов защиты каждому объекту.

В российских условиях очень важным расширением 1993 года является поддержка типа UNIVERSAL STRING, позволяющего использовать национальные языки и Unicode.

Некоторые вопросы остались в 1993 году неразрешенными: управление массовой загрузкой, устранение проблем временного несоответствия (transient inconsistency), пакетные операции (вместо ROSE). Частично эти вопросы сняты в редакции 1996 года.

X.500 и протоколы Internet

Можно с уверенностью сказать, что стандарт X.500 теснее связан с протоколами различных уровней, используемыми в Internet, чем большинство других стандартов МСЭ - возможно, это связано с его молодостью. Об одной области пересечения интересов - X.509 и с истема цифровых сертификатов - мы уже говорили, теперь посмотрим на другие.

X.500 и TCP/IP

До сих пор бытует мнение (к счастью, ошибочное), что приложения, базирующиеся на стандартах МСЭ, могут работать только по транспортной сети X.25. Это не так. В мае 1987 Маршалл Роуз и Дуайт Касс опубликовали RFC1006 - Транспортные услуги модели ISO пов ерх TCP (поскольку семиуровневая модель утверждена Международной организацией стандартизации, ее еще называют моделью OSI/ISO). Современные приложения, поддерживающие RFC1006, вполне могут предоставлять, например, услуги почты X.400, видеоконференций H.32 3 или справочника X.500, работая поверх транспорта TCP/IP.

X.500 и LDAP

В июле 1993 года сообщество Internet ответило на вызов со стороны МСЭ - появились рекомендации RFC1487, Облегченный протокол доступа к справочнику X.500. В преамбуле документа говорилось о желании разработать вариант DAP, не требующий больших ресурсов для его реализации - Lightweight DAP. Сейчас в ходу уже третья версия этого стандарта - LDAP v.3 (RFC2251), опубликованная в прошлом декабре и названная журналом PC Magazine Протоколом 1997 года. К сожалению, от версии к версии LDAP имел все меньше прав н а букву L в названии, становясь не менее сложным, чем X.500. Сейчас функциональность LDAP и X.500 DAP очень похожи - теже возможности модификации схемы, сложного поиска и др. Основными отличиями между ними являются:

  • В X.500 для описания типов атрибутов используются бинарные последовательности, создаваемые по правилам кодирования языка ASN.1, в то время как LDAP использует текст. Естественно, это упрощает разработку приложений, поддерживающих LDAP;
  • X.500 имеет более развитые возможности межсерверного взаимодействия (точнее говоря, LDAP до версии 3 вообще их не имел). Возможности репликации, отсылки, сцепления позволяют системе серверов X.500 быть значительно более гибкой, чем системе LDAP.

Поддержка протокола LDAP встроена во многие современные программные продукты. Среди клиентского ПО - это прежде всего Netscape Communicator, Microsoft Outlook Express и Internet Explorer v.4.0, серверного - Microsoft Exchange и Netscape Directory Serve r. Популярен шлюз LDAP - X.500 Университета штата Мичиган, поставляемый в виде бесплатных исходных текстов. Поставляемые коммерческие сервера X.500 имеют его или аналогичные продукты в своем составе, что позволяет, с одной стороны, получить доступ к базе X.500 по протоколу LDAP, с другой - использовать возможности X.500 в полной мере.

X.500 и Web

Естественным желанием является получить доступ к базе данных X.500 с помощью обычного браузера, не поддерживающего LDAP - например, третьих версий Netscape Navigator и Microsoft Internet Explorer. Наиболее популярен для этой цели кружный путь, с помощь ю шлюза Web - LDAP. Причина этого, видимо, в том, что исходные тексты такого шлюза уже довольно давно бесплатно распространяются Университетом Хемниц - Цвикау в Германии. С его помощью вы можете ввести свой запрос в форму HTML, передать его шлюзу, где он превратится в запрос LDAP. Со стороны сервера LDAP этот шлюз выглядит как простой клиент. Сервер может обработать запрос или, в свою очередь, передать его через шлюз LDAP - X.500 серверу X.500. Результаты поиска возвращаются в виде обычного HTML - докумен та.

Заключение

Можно утверждать с большой долей вероятности, справочным службам будут находить все новые и новые примения. Уже сейчас в прессе появились сообщения о применении LDAP для маршрутизации сообщений почты Internet (не поиска адресата в адресной книге, а име нно динамической маршрутизации, в подмогу серверу SMTP); существуют коммерческие продукты, делающие то же самое для почты X.400; обсуждается вопрос о применении справочника для службы DNS. Скорее всего, в системах, объединяющих небольшое количество сервер ов, будет доминировать LDAP и справочники на базе корпоративных стандартов; но для больших распределенных систем тандем LDAP - X.500 находится вне конкуренции.


(c) Константин Белозеров 21.08.1998.



<< Страница 2