0
Tải bản đầy đủ (.doc) (102 trang)

LDAP Service cho các ISP hay Enterprise Directory

Một phần của tài liệu NGHIÊN CỨU CÁC VẤN ĐỀ VỀ KỸ THUẬT, CÔNG NGHỆ CỦA ISP (Trang 68 -70 )

Trong những năm gần đây, LDAP đã trở thành chuẩn cho các dịch vụ th mục thơng mại, cho các ISP hay các công ty lớn. Các đặc điểm yêu cầu của LDAP Server bao gồm các chuẩn, tính khả mở, tính quản lý, bảo mật..., phiên bản mới nhất là LDAP Version 3; các LDAP Server cho các ISP có thể lựa chọn từ các nhà cung cấp nh Sun/Netscape, Oracle, Microsoft, Novell,...

+ Tính mở là một khả năng của sản phẩm th mục, nó thờng có nghĩa nh việc mở rộng LDAP schema. Các chuẩn LDAP cung cấp cơ chế để định nghĩa và xuất bản các schema khởi tạo và mở rộng schema khi cần thiết. Do vậy các ISP LDAP Directory không chỉ tơng thích với các chuẩn LDAP phổ biến nh định vị, truy vấn thông tin... mà còn phải định nghĩa và mở rộng các schema của th mục.

+ Tính quản lý đợc đề cập tới khả năng các công ty quản lý đợc nội dung của th mục, hiệu năng của th mục, khả năng giám sát, khắc phục lỗi và sửa chữa nhiều tiến trình của th mục đang thực hiện.

+ Tính bảo mật đợc hiểu là việc quản lý các truy nhập vào thông tin trong th mục.

+ Tính khả mở của th mục là khái niệm ít phụ thuộc chuẩn nhất trong công nghệ của các enterprise directory. Các nhà sản xuất có thể thực hiện nhiều biện pháp khác nhau để có đợc tính khả mở trong sản phẩm của họ.

+ Tính tơng tác: Thực tế có thể các ISP sẽ phải làm việc trong môi trờng có nhiều dịch vụ th mục khác nhau, do vậy khả năng tơng tác với các dịch vụ th mục khác là đặc tính căn bản của các enterprise directory.

a- Đồng bộ th mục

Việc đồng bộ hoá th mục theo truyền thống đợc dành cho các hạ tầng của dịch vụ Internet Mail. Phần lớn các hệ thống e-mail hiện nay đều cung cấp một th mục cho phép user tìm kiếm và lựa chọn các mailbox. Tuy nhiên, do các hệ thống mail đợc phát triển độc lập, một ngời dùng của một hệ thống mail này không thể tìm kiếm trong th mục của hệ thống mail khác.

Để các hệ thống Mail tạo thành một hệ thống thống nhất, cần thiết có cơ chế đồng bộ các thông tin nh tên, địa chỉ trên các môi trờng mạng hỗn hợp. Quá trình đồng bộ th mục nhân bản các thông tin th mục, các th mục đều có thể có đợc các thông tin giống nhau.

Có 2 phơng pháp phổ biến để đồng bộ các th mục hiện hành:

+ Đồng bộ dựa trên có một user name và password trong tất cả các th mục (point-to-point synchronization hoặc n-way synchronization).

+ Tích hợp các th mục hiện có thành một siêu th mục (metadirectory)(one-way và two-way synchronization).

b- Organizational units (OUs)

Đối tợng OU đợc dùng phổ biến nhất để tổ chức các đối tợng khác, chẳng hạn nh các OU và đối tợng lá khác trong th mục. Có một vài mô hình đợc dùng để tạo cấu trúc của OU: theo địa lý, theo phân cấp tổ chức, theo việc kinh doanh hay quản trị mạng.

Tuy nhiên, cần lu ý một số điểm khi tổ chức dạng OU là nó có thể ảnh hởng tới chi phí và các chính sách chung, cấu trúc OU có thể rất khó thay đổi khi đã đợc đa vào sử dụng, do vậy cần có bớc lập kế hoạch, khảo sát thật cụ thể.

Các ISP sử dụng các máy chủ LDAP hoạt động nh một trung tâm xác thực và là nơi lu trữ thông tin về khách hàng cho rất nhiều loại dịch vụ khác của ISP nh Mail server, web server, news servers, ftp servers.... Do Directory server có thể là kho chứa dữ liệu chính cho một ISP và quyết định các vận hành của ISP, vì vậy Directory server cần có cấu hình clustered server hoặc đợc tổ chức Replicate để có đợc tính sẵn sàng cao.

Các ISP có thể tổ chức Directory dạng tập trung hay phân tán. Một directory tập trung chỉ có một Directory server cung cấp truy cập tới th mục. Một directory phân tán sẽ có nhiều hơn 1 server truy cập. Khi th mục đợc tổ chức phân tán, thông tin lu trữ trong th mục phải đợc chia ra

(Partitioned) hay nhân bản (replicate). Khi thông tin đợc tổ chức dạng partitioned, mỗi directory server lu giữ một tập hợp thông tin duy nhất không trùng nhau, khi tổ chức replicated, toàn bộ directory đợc lu trữ trên nhiều bản sao ở các server. Trong một th mục phân tán có thể có một số thông tin đợc tổ chức dạng partitioned, một số tổ chức dạng replicated.

Thông tin đợc lu trữ trong th mục thờng đợc truy xuất từ các ứng dụng. Việc phân tán các máy chủ th mục để chia partition dữ liệu hay nhân bản sẽ liên quan đến hiệu năng và tính sẵn có của hệ thống, ví dụ, một một th mục phân tán và đợc nhân bản có thể cho hiệu năng tốt hơn do các yêu cầu đọc dữ liệu sẽ đáp ứng từ các server gần nhất, một th mục tập trung có thể có tính sẵn có kém hơn do nó có thể trở thành một điểm gây ra lỗi duy nhất, tuy nhiên, quản lý và duy trì hệ thống th mục phân tán sẽ phức tạp hơn.

Chơng VI Bức tờng lửa (FIRE WALL)

Vấn đề bảo đảm an ninh của các ISP rất quan trọng và đa dạng, các ISP cần có những chính sách về an ninh chặt chẽ để bảo vệ những tài nguyên cung cấp trên mạng, cũng nh thực hiện các chính sách giới hạn thông tin. Trong khuôn khổ đề tài, chúng tôi dừng lại ở việc phân tích các nội dung về tờng lửa của Internet, đây là một trong những nội dung cơ bản mà mọi ISP cần quan tâm tới, các nội dung về bảo mật còn lại cũng đang đợc nhóm đề tài thực hiện ở một đề tài khác với nội dung chuyên sâu hơn.

Tờng lửa (Firewall) đợc định nghĩa là một hệ thống hoặc một nhóm các hệ thống đợc tạo ra nhằm áp đặt những điều khoản về quyền truy cập (access control policy) giữa hai mạng máy tính. Về nguyên tắc Firewall đợc tạo bởi 2 cơ cấu: Một cơ cấu chuyên trách cho việc ngăn cản giao thông còn cơ cấu thứ hai sẽ cho phép giao thông; tạo ra một Firewall thiên về ngăn cản hay thiên về cho phép phụ thuộc vào nhu cầu về an ninh cụ thể. Dấu hiệu căn bản nhất của một Firewall là sự áp dụng một chính sách hoạch định quyền truy nhập. Firewall thờng đợc đặt giữa 2 mạng, một mạng không tin cậy (untrusted network) nh Internet, một mạng tin cậy (trusted network) nh mạng của các công ty, tổ chức....

Firwewall có thể bảo vệ chúng ta trớc những gì

Firewall đợc cài đặt ra để nhằm ngăn chặn những truy nhập không đợc phép từ bên ngoài vào mạng đợc bảo vệ. Điều đó trớc hết giúp bảo vệ đợc máy tính trớc những kẻ phá hoại thâm nhập vào. Rất nhiều Firewall ngăn lu thông từ bên ngoài vào nhng lại cho phép ngời sử dụng từ bên trong truy cập ra ngoài thoải mái. Một vài Firewall chỉ cho phép lu thông th tín điện tử, do đó bảo vệ đợc mạng trớc mọi sự xâm nhập khác ngoài xâm nhập qua dịch vụ th tín điện tử. Một số Firewall khác cung cấp bảo vệ một cách ít chặt chẽ hơn, và ngăn chăn các dịch vụ mà có thể gây ra vấn đề cho mạng.

Trong mạng máy tính, Firewall là “nút” giao thông duy nhất, nơi các công tác an ninh hoặc việc kiểm toán (audit) có thể đợc áp đặt. Không giống nh trờng hợp khi một máy tính bị thâm nhập bằng cách quay số qua MODEM Firewall có thể hoạt động nh một vòi để nghe trộm điện thoại và truy lần đợc dấu vết. Firewall cung cấp những tính năng quan trọng trong việc ghi hồ sơ (logging) và audit. Firewall có thể cung cấp cho các nhà quản trị những bản tổng kết về các loại và lợng của giao thông qua nó, đã có bao nhiêu lần cố gắng truy nhập vào mạng qua nó.

Firewall không làm đợc gì ?

Firewall không giúp gì đợc khi sự xâm nhập mạng không đi qua nó. Nhiều công ty đã mua những giải pháp Firewall rất đắt tiền để ngăn chặn tấn công từ Internet nhng lại bỏ qua những kẽ hở bảo mật khác nh ở phía ngời dùng Dial-up, những hành động tấn công ở bên trong mạng, xuất phát ngay từ những nhân viên của công ty....

Để cho một Firewall hoạt động có hiệu quả đòi hỏi phải có một chính sách bảo mật toàn công ty. Những chính sách cho Firewall phải thật thực tế và phải phản ánh đợc cấp bảo mật của toàn bộ mạng. Ví dụ một Site có những thông tin tối mật không cần phải có Firewall do nó không kết nối vào Internet....

Một phần của tài liệu NGHIÊN CỨU CÁC VẤN ĐỀ VỀ KỸ THUẬT, CÔNG NGHỆ CỦA ISP (Trang 68 -70 )

×