Esquema

El esquema NDS consiste en el conjunto de normas que regulan la estructura del rbol de directorios. En l se
definen los objetos que pueden existir en el rbol, incluyendo cmo pueden construirse las entradas, que los
valores de atributos estn permitidos, cmo Nombres Distinguidos pueden ser construido, y otras caractersticas
de utilidad para el propio Directorio. Estas reglas de objetos y de atributos se especifican a travs de un
diccionario de datos que proporciona un conjunto estndar de los tipos de datos a partir de la que los objetos
pueden ser creados.

Cada objeto en el Directorio pertenece a una clase de objeto que especifica los atributos que se pueden asociar
con el objeto. Todos los atributos se basan en un conjunto de tipos de atributos estndar, que a su vez se basan
en la sintaxis de atributos estndar.

El esquema de directorio controla la estructura de los objetos individuales y la relacin entre los objetos del
rbol. En el control de esta relacin el esquema especifica la subordinacin entre clases de objetos.

El conjunto de reglas que controla la creacin de un tipo de objeto particular se llama una clase de objeto. Cada
clase de objeto se define en trminos de atributos o propiedades. Un atributo es una pieza especfica de
informacin que puede existir para un objeto. Atributos, a su vez, se definen en trminos de un conjunto base de
los tipos de datos denominados AtributoSintaxis. Las sintaxis de atributos definen los tipos de datos primarios
para los valores almacenados en el directorio. Por lo tanto el esquema dicta los requisitos, lmites y relaciones
de objetos y atributos de los objetos que pueden ser creados y utilizados en el rbol de directorios.

Esquema dinmico

El esquema es extensible y dinmico en el que los administradores pueden definir nuevas clases y atributos de
objetos objetos, adems de los proporcionados por el esquema de base. Ampliacin del esquema se lleva a
cabo a travs de la modificacin o creacin de nuevas definiciones de objeto (atributo o un objeto de clase) y
luego la adicin de estas nuevas definiciones al esquema de base.

Debido a que el esquema se ha movido en el espacio de objetos jerrquico regular en el rbol de informacin de
directorios (DIT), objetos de esquema general se nombran y se comportan como objetos normales NDS en
instanciacin, sincronizacin y modificacin. Adems, las funciones normales NDS en el DSAPIs se pueden
utilizar para manipular definiciones de esquema (crear, ver, modificar, etc.).

Una utilidad de mantenimiento del esquema, Administrador de esquema , permite a los administradores
modificar fcilmente el esquema de funcionamiento de NDS. El Administrador de esquema permite a los
administradores ver, ampliar, modificar, imprimir, comparar y diagnosticar su esquema NDS. Tambin
proporciona soporte para los desarrolladores y proveedores de software independientes que necesitan para
ampliar el esquema para sus aplicaciones.

esquema global

La liberacin bsica NDS se limita a una nica particin en el rbol NDS, por tanto, el esquema es global para
ese rbol por defecto.

Nombrar

El servicio de nombres NDS mapas de nombres de red a direcciones. Se trata de una base de datos global de
informacin orientado a objetos que utiliza un espacio de nombres jerrquico en vez de un espacio de nombres
plana. Esta jerarqua permite a la base de datos para ser mapeada como un rbol que puede ser dividido por
sus subrboles. Debido a que los nombres de objetos contienen la informacin de jerarqua, los usuarios
pueden tener acceso a recursos de red a nivel mundial, y los administradores pueden administrar todo el rbol y
sus objetos desde un nico punto.

Objetos y atributos NDS

NDS se compone de objetos y atributos basados en un esquema extensible. Los objetos estn representados
en cada servidor mediante una entrada fsica. El esquema contiene las reglas para la formacin de estos
objetos y atributos y la jerarqua. El esquema NDS define dos tipos de objetos:

Los objetos contenedor son simplemente aquellos que pueden contener otros objetos. El nombre del
rbol, pas, localidad, organizacin y objetos Unidad administrativa son objetos contenedores.
 objetos hoja son aquellos que no pueden contener otros objetos. Estos objetos suelen representar los
recursos de red. Usuarios, impresoras y servidores de NCP son ejemplos de objetos hoja.

Los nombres de objetos

Cada objeto debe tener un nombre nico. Este nombre y su ubicacin en la jerarqua forman contexto el nombre
del objeto. Nombres de plomo de la hoja ms, o ms subordinada, de objeto al objeto ms superior. Por
ejemplo, vamos a utilizar el siguiente nombre:

.CN = RobF.OU = HQ.O = Novell.T = Novell_Inc

En este nombre, CN = RobF es el nombre del objeto ms subordinada, mientras que T = Novell_Inc es el
nombre del objeto ms superior.

Resolucin de nombres

La resolucin de un nombre implica recorrer el rbol NDS para localizar un objeto en particular. Un identificador
de entrada para ese objeto se devuelve, que el cliente puede utilizar para averiguar informacin sobre el objeto.

La resolucin de nombres se puede hacer a travs de tres operaciones:

Lista
Buscar
resolver el nombre

Lista de operaciones. Esta lista la operacin se enumeran los objetos subordinados inmediatos a un objeto
contenedor especificado y cualquier informacin especificada sobre esos objetos. La lista de operacin no
"recorrer el rbol" porque la informacin que devuelve es local al servidor de nombres actual.

El cliente puede especificar tres filtros por los que pueda seleccionar la informacin acerca de cada objeto:

El Nombre del filtro permite al cliente solicitar slo los objetos que tienen un cierto nombre completo
relativo.
El filtro de la clase permite al cliente solicitar slo los objetos que pertenecen a una determinada clase
de objeto.
El Tiempo de filtro permite al cliente solicitar slo los objetos modificados despus de un cierto tiempo.

Los derechos de un cliente en el objeto subordinado determinan la informacin de la operacin regresa.

Operacin de bsqueda. La Bsqueda operacin busca en una regin del rbol de directorios para los objetos
cuyos atributos satisfacer los criterios especificados. Entradas no deseadas son eliminadas mediante la
colocacin de las afirmaciones sobre los valores de atributo, o por una combinacin booleana de estas
afirmaciones. Las afirmaciones deben ajustarse a las reglas de concordancia definidos para la sintaxis de un
atributo en el esquema NDS. La bsqueda se aplica no slo a los contenedores directamente subordinados al
objeto especificado, sino a todos los objetos subordinados a ese objeto.

Los mismos filtros usados en la lista de funcionamiento se aplican a la bsqueda operacin.

Resolver Nombre de la operacin. El resolver el nombre de operacin toma el nombre distinguido de un

objeto y lo utiliza para obtener un identificador de entrada, que luego se pueden utilizar para acceder a un
registro de entrada de NDS correspondiente en el archivo ENTRY.NDS. El cliente puede especificar los
parmetros de solicitud y banderas para determinar las respuestas aceptables.

Se utilizan tres tipos de solicitudes:

peticiones basados en conexin, que se utilizan para encontrar un ID de entrada en un servidor

especfico.
solicitudes de referencia, que estn hechas por un cliente a medida que se acerca el rbol distribuido
para localizar un objeto especfico. Esta operacin da las referencias de clientes que le ayudan a
recorrer el rbol y buscar el objeto.
solicitudes encadenados, que son utilizados por los clientes cuyos limitados recursos requiere que el
servidor de manejar el proceso de referencia.
Gestin de entrada

Pocas empresas y organizaciones son estticos, por lo NDS permite a los administradores modificar los objetos
de directorio para reflejar los cambios. Adems, los administradores pueden obtener informacin acerca de los
objetos de directorio y sus atributos. Las siguientes secciones describen las operaciones que gestionan los
objetos de directorio.

Adicin de una entrada

NDS permite a los administradores aadir una entrada o un alias para el directorio NDS. El esquema dicta
donde se crean las entradas y cules son sus atributos pueden ser. Para que sea vlido en el directorio, la
nueva entrada debe mantener el atributo de objeto de clase, que tiene como valor una clase base NDS
vlido. Las clases de objetos se definen en el esquema. Estas clases de objetos especifican:

Los atributos obligatorios para una entrada

Los atributos que pueden aparecer en su nombre completo relativo
Los atributos opcionales, si los hay

La comparacin de los valores

La comparacin operacin compara un valor dado a un atributo existente y su valor. Por ejemplo, el cliente
puede utilizar de comparacin para determinar si el grupo Everyone.Novell tiene un atributo de miembro que
tiene un valor de admin.novell. La operacin devuelve verdadero si los valores coinciden o falso si no lo
hacen. Esta operacin se verifica la existencia de un valor sin tener que leer el valor.

Las comparaciones se basan en las reglas de concordancia de la sintaxis de atributo asignado al atributo (para
informacin sobre la correspondencia de reglas, ver esquema NDS Especificacin ). Por lo tanto, las normas de
congruencia deben proporcionar para esta operacin.

Modificacin de una entrada

Modificar entrada permite a un cliente a modificar, aadir o eliminar atributos de una entrada en la misma
operacin, excepto atributos de nombres. Por ejemplo, el cliente puede utilizar modificar una entrada para
modificar el nmero de telfono de un usuario.

Todas las modificaciones deben obedecer las reglas definidas por la clase de la entrada. Por ejemplo, atributos
de slo lectura y los atributos "ocultos" no se pueden cambiar. Debido a que clase de objeto de la entrada es de
slo lectura, la clase no se puede cambiar. Esta operacin tambin se puede utilizar para modificar un alias.

La modificacin de nombre de una entrada

Para cambiar nombre completo relativo de una entrada (RDN), el cliente utiliza Modificar RDN. Mediante esta
operacin, un cliente puede especificar un nuevo atributo de nombre y el valor que servir como RDN de la
entrada o la operacin puede especificar un nuevo valor para el atributo de nombre existente. En cualquier caso,
el nuevo nombre deber cumplir con las normas para ser modificadas las clases de objetos de la entrada. Unas
clases de objetos actualmente definen ms de un atributo de nombre.

Si la operacin cambia un atributo de varios valores o sustituye un nuevo atributo de nombre, el valor anterior
puede permanecer en la entrada si el cliente lo solicita. En ese caso, el antiguo valor del atributo no seguir
siendo parte del RDN de la entrada, pero se mantendr como un atributo de valor o los valores de la entrada.

Mover una entrada

La entrada Mover operacin comprende dos rutinas, comenzar a ingresar Mover y Finalizar movimiento de
entrada, ese lugar una entrada en una ubicacin diferente en el rbol de directorios, que cambia de nombre
distinguido de la entrada.

La lectura de una entrada

El Leer operacin devuelve informacin sobre un ingreso almacenado en el directorio. Se lee la informacin de
atributos asociada con la entrada. Los atributos de la entrada tiene depende de la clase de objeto.
El cliente puede optar por devolver informacin sobre:

atributos especficos o una lista completa de los atributos de una entrada.

Los nombres de atributo o atributos solamente nombres y valores.
privilegios de control de acceso efectivos del usuario actual o de otro usuario.

La granularidad de la Leer respuesta es el valor del atributo. Un valor de atributo no puede dividirse entre
iteraciones de NDS, pero la lista de un atributo de valores se puede dividir. Cuando dividida, cada mensaje de
respuesta NDS contiene la sintaxis ID, Nombre de atributo, y el nmero de valores de campos. El Nmero de
Valores campo indica cuntos valores estn en la respuesta actual.

Eliminacin de una entrada

Eliminar entrada elimina una entrada del rbol de directorios. La entrada se elimina debe ser una hoja o un
recipiente que tiene no hay subordinados. Si la entrada tiene subordinados, la operacin falla.

Un cliente o servidor puede utilizar Eliminar entrada para eliminar un alias del directorio. Si el ID de entrada
indica una entrada alias, la operacin elimina el alias, no la entrada del alias se refiere a.

Gestin de la relacin

En el NDS bsica, las relaciones entre los servidores y los objetos son gestionados por los nombres distinguidos
de varios valores. En el producto SCALE, relaciones servidor a objetos tambin son manejados por la gestin de
relaciones distribuida.

Nombres Distinguidos de varios valores

Nombres Distinguidos de varios valores utilizan un delimitador de ms (+) para permitir a los usuarios distinguir
entre dos nombres similares en un sub-rbol de directorio. Por ejemplo, dos localidades podran tener el mismo
Pars, pero uno podra referirse a Pars, Idaho, y el otro a Pars, Texas. En este caso, el administrador puede
asignar el nombre de L = Pars + S = = Texas.OU Mktg.O = Novell a la localidad de Texas y L = Pars + S = =
Idaho.OU Mktg.O = Novell a la localidad de Idaho. Esto permite al administrador de distinguir entre las dos
localidades sin crear una S = de Texas o contenedor S = Idaho.

El uso ms comn de los nombres distinguidos con varios valores es en esos objetos creados a travs de la
encuadernacin que se asigna a los objetos NDS conocidos. Estos objetos tienen el RDN del objeto ms el
nmero del tipo de enlace: CN = ArcServer + Bindery Tipo = 680.

Personalidades NDS

NDS proporciona un conjunto de API multi-personalidad que permiten a los siguientes servicios de nombres
para acceder a una base de datos NDS:

NDAP
Taller de encuadernacin

NDAP

Novell Directory Access Protocol (NDAP) es el protocolo estndar que permite el acceso a NDS NetWare.

Taller de encuadernacin

NDS trata la encuadernacin como una base de datos emulado almacenada en un espacio de nombre plano
especfico de un servidor. El cdigo de los servicios de encuadernacin NDS proporciona una vista alternativa
de los mismos datos almacenados en el directorio de base de informacin de NDS (DIB). Sin embargo, los
servicios de encuadernacin son limitadas; que permiten la compatibilidad hacia atrs, pero no pueden expresar
toda la informacin almacenada en el Directorio.

NDS logra la compatibilidad hacia atrs con el enlace de NetWare mediante la asignacin de campos en uno de
los bloques de memoria compartida de los primitivos. Estos campos se reservan para convertir los nombres de
dos bytes encuadernacin habilitados en algo que es legible por la red, los nombres de los rboles SAPing
especficamente dinmicos, que contienen la direccin de red / nodo / toma del rbol de la publicidad.

En general, el Servicios de encuadernacin mdulo hace que slo las llamadas locales a la base de nombres,
con llamadas ocasionales al directorio del cliente, como por ejemplo cuando se van a leer un operador de la
consola.

Encuadernacin objetos. Servicios de encuadernacin NDS utiliza los objetos de encuadernacin dinmicas y
estticas de la siguiente manera:

objetos Bindery dinmicos no se almacenan en recipientes normales NDS. Ellos no tienen un

contenedor especfico de los padres de enlace, pero se almacenan en un dedicado "particin de
enlace." Se puede acceder por un cliente de enlace o el servidor, pero no estn disponibles desde las
API de NDS. tiempos de informacin de enlace dinmico y se deben actualizar de forma regular por
una aplicacin o por minando.
objetos Bindery estticos se almacenan en contenedores NDS normales especificados en la ruta de
contexto de enlace. Son objetos normales NDS y se almacenan de forma persistente en la base de
datos NDS, si la encuadernacin est abierto. Cuando la encuadernacin est abierto, que sean
visibles para llamadas de encuadernacin. El contexto de enlace puede contener hasta 16
contenedores.

Debido a que la encuadernacin no es jerrquica y no necesita distinguir objetos por clase, que no tiene las
definiciones formales de esquema. Sin embargo, los viejos encuadernacin permitido tipos de objetos NetWare,
designados por los valores de 16 bits que agrupan objetos similares. Algunos de los tipos de objetos conocidos
tienen homlogos directos en el esquema NDS y se puede convertir, o mutado, de la clase de objeto de
encuadernacin a la clase de objeto NDS apropiado.

Actualmente, los siguientes tipos de objetos pueden mutarse:

Bindery objeto de tipo 1 a NDS clase de objeto de usuario

Bindery objeto de tipo 2 a NDS clase de objeto Clase
Bindery objeto de tipo 3 a NDS clase de objeto Queue
Encuadernacin objeto de tipo 7 a NDS objeto de clase de servidor de impresin
Objeto de encuadernacin tipo 309 a NDS clase de objeto Perfil

Estas clases de objetos, junto con el objeto de encuadernacin clase son todos los objetos visibles a travs de
llamadas de encuadernacin. No hay otras clases de objetos NDS son visibles a travs de las llamadas de
encuadernacin.

Propiedades de los objetos de la encuadernacin. El esquema NDS permite a cualquier clase de objeto para
tener una propiedad de encuadernacin tipo de atributo a travs de un cheque de casos especiales. Esto
permite la compatibilidad con aplicaciones basadas en la encuadernacin que definen sus propias
propiedades. NDS nombres de objetos de encuadernacin son una combinacin del nombre del objeto y el tipo
de encuadernacin atributo. El tipo de encuadernacinatributo define qu tipo de objeto se trata.

LDAP

agente de servidor LDAP de Novell se basa en la Universidad de Michigan SLAPD aplicacin versin 3.3 y
proporciona LDAP versin 2 de acceso como se especifica en el RFC 1777 para NDS incluyendo extensiones
para las remisiones. Esto significa LDAP de Novell soporta el enlace simple (acceso sin autenticacin y acceso
donde el cliente LDAP proporciona el nombre y la contrasea), buscar, modificar, aadir, borrar, modificar RDN,
comparar abandono y solicitudes de desvinculacin. Adems, LDAP de Novell no admite clientes si no estn
ejecutando tambin LDAP versin 2. Debido a LDAP de Novell es una personalidad NDS, LDAP de Novell debe
ejecutarse en un servidor donde NDS tambin se est ejecutando.

LDAP sin conexin (CLDAP) contar con el apoyo para el acceso autenticado a travs de UDP. CLDAP apoya
CLDAP v 2 como se especifica en el RFC 1798. Inicialmente, LDAP de Novell compatible con al menos 100
clientes.

NDS / LDAP esquemas. El esquema LDAP (basado en X.500) y el esquema NDS (X.500 compatibles) se
asignan para corresponder entre s, permitiendo que un cliente LDAP para buscar el directorio NDS. En la
versin inicial, LDAP de Novell soporta una asignacin esttica entre estos dos esquemas. En versiones
posteriores, los administradores de LDAP de Novell podrn configurar esta asignacin.
LDAP de Novell puede examinar un contenedor NDS si el agente ha LDAP navegar por los derechos de ese
contenedor.

Autenticacin. Actualmente, la nica forma de autenticacin LDAP de Novell que apoyar es el nombre del
usuario y la contrasea. Suponemos que los clientes LDAP se utilizan SSL para sus sesiones LDAP y sern
capaces de cifrar esta informacin. LDAP de Novell utiliza SSL versin 3 para crear un canal cifrado para los
clientes LDAP para proporcionar su nombre y contrasea de LDAP de Novell.

Configuracin de LDAP de Novell. LDAP de Novell est configurado con

el NWAdmin herramienta. Inicialmente, la configuracin residir en un archivo en el sistema de archivos
local. En versiones posteriores, la configuracin de LDAP de Novell residir en NDS. LDAP de Novell est
configurado de forma dinmica para que los parmetros pueden restablecer sin tener que reiniciarlo.

Compatibilidad de protocolo. LDAP de Novell se basa en la interfaz de sockets TCP / IP. LDAP de Novell
tambin se ejecutar en la interfaz WinSock de Windows NT.

Buscando. Para proporcionar bsquedas rpidas y eficientes, LDAP de Novell utiliza un almacn de datos local
como un catlogo y una draga para mantener ese almacn de datos. LDAP de Novell admite la coincidencia
aproximada.

Otros Servicios locales

NDS Servicios de eventos proporciona una manera de controlar la actividad de NDS en un servidor
individual. Servicios de eventos pueden realizar un seguimiento de eventos locales y eventos globales. Cuando
se producen eventos NDS especificado, un NLM de monitoreo puede ver y determinar qu accin
tomar. Servicios de eventos pueden notificar a la NLM durante o despus del evento. Cmo usar los servicios
de eventos, una aplicacin NLM puede registrar una o ms funciones que se llamar cuando se producen
eventos especficos. Estos eventos se mantienen registrada hasta que la aplicacin NLM les anula el registro en
concreto.

Todos los subsistemas basados en eventos dentro de NDS anteriores a la versin actual fueron profundamente
arraigadas en el cdigo principal NDS fuente. Estos subsistemas incluyen:

Revisin de cuentas
Contabilidad
Administracin de redes
Rastreo (informacin a una pantalla de depuracin)
Inicio de sesin (informacin en un archivo)

El sistema actual de eventos NDS seguimiento de un solo tipo de informacin en el DS.NLM: el evento funcin
de informes. Los otros subsistemas se implementan como NLM separadas. Anteriormente, haba 19 posibles
eventos, relacionados principalmente con la gestin de los objetos y las conexiones. Actualmente, no habr ms
de 150 eventos posibles.

El mecanismo de eventos de informacin consta de dos tipos de rutinas:

Reportero rutinas de eventos permiten obtener informacin del evento que se informa de nuevo a una
entidad que necesitan informacin. Estas rutinas informan de eventos y opcionalmente la informacin y
los resultados asociados con esos eventos, incluyendo el tipo de evento, el tamao de los datos, y los
datos reales.
Evento rutinas de consumo permiten a las entidades de la red para registrar y eliminar eventos se
reportan. Un NLM puede usar estas rutinas para registrar una funcin que se llamar cuando se
produce un evento especfico.

Filtrado de datos de eventos

Servicios de eventos deben determinar si los datos se est informando contiene informacin que la aplicacin
NLM quiere usar. Por ejemplo, si la aplicacin NLM slo se preocupa por los cambios a nmeros de telfono,
Otros Servicios usaran sus datos slo si contiene informacin para un nmero de telfono de atributos. Si los
datos no contiene Nmero de Telfonoinformacin de atributos, Servicios de eventos pueden volver o bien
ninguna informacin o un cdigo de error, dependiendo de lo que las solicitudes de aplicacin de la NLM.
Filtrado por ID local. Mientras que los nombres de objeto en el Directorio son globales, los identificadores
locales para las entradas en servidores individuales no lo son. Cada objeto en el servidor se identifica mediante
un ID local que es relevante slo en ese servidor. ID local del objeto en otro servidor puede o no ser el
mismo. Identificadores locales tambin se utilizan para identificar los atributos y clases de objetos. Estos
identificadores locales tambin se mejoran la velocidad de informes. La comparacin de dos identificadores de
32 bits es ms rpido que la comparacin de dos cadenas.

En la mayora de los casos, puede filtrar el uso de identificadores locales debido a las estructuras de datos en la
devolucin de llamada de datos de identificadores de uso de parmetros en lugar de nombres.

Autenticacin

La autenticacin es el proceso mediante el cual los usuarios a establecer su identidad cuando se accede a un
servicio de aplicaciones de red. NDS es compatible con los siguientes tipos de autenticacin:

NetWare autenticacin 3
NetWare 4 de autenticacin
autenticacin graduada

NetWare autenticacin 3

NetWare 3 utiliza una clave de reto y cifrado de la contrasea para autenticar un usuario sin transmitir la
contrasea en el cable. A NetWare 3 usuario utiliza este proceso para iniciar sesin en un servidor NDS donde
se ha establecido el contexto de enlace. El intercambio de autenticacin comienza despus de que se haya
establecido una conexin NCP y se han negociado tamaos de bfer.

NetWare 4 de autenticacin

Autenticacin en un entorno NetWare 4 consta de dos procesos:

Inicio de sesin de usuario. Los registros del cliente en un servidor NDS para establecer la identidad
del usuario. No importa dnde el usuario inicia sesin en, NDS recorre el rbol hasta que encuentra
una copia grabable del objeto del usuario. NDS continuacin, recupera la clave privada del cliente.
Autenticacin de fondo. Despus de iniciar la sesin, el usuario tiene que autenticarse, o establecer
su identidad, a un servidor que tiene un servicio de red. Esto se hace a travs de la autenticacin de
fondo.

En esencia, la conexin del usuario y la autenticacin son el mismo proceso, pero se manejan de manera
diferente.

Desde la perspectiva del usuario, inicio de sesin se lo invita a entrar una contrasea y luego se bloquea el
servidor. El servidor devuelve el contexto del usuario, y el usuario est listo para trabajar en la red.

Desde la perspectiva de NDS, de entrada requiere que el usuario introduzca la contrasea, que NDS utiliza para
cifrar la clave privada. Despus del proceso de inicio de sesin se ha completado, el cliente tiene su clave
privada y est listo para autenticar a otros servicios de red. NDS se encarga de este proceso en segundo plano.

datos de autenticacin es vlida slo durante la sesin de inicio de sesin actual. Los datos crticos utilizados
para crear mensajes autenticados por un usuario nunca se transmite a travs de la red en texto sin formato.

Servidores NetWare 4 no necesitan conectarse a la red, ya que almacenan sus propias claves privadas. Debido
a que los servidores pueden calcular la credencial y la firma de su informacin local, que utilizan slo la
autenticacin de fondo.

Antecedentes de autenticacin sucede sin la intervencin del usuario. Como se mencion anteriormente, existe
suficiente informacin disponible a partir del intercambio de inicio de sesin para el cliente y el servidor para
autenticar mutuamente el uno al otro.

Autorizacin

Novell Directory Services utiliza un proceso llamado control de acceso para autorizar a los usuarios para llevar a
cabo operaciones de directorio en otras entradas y sus atributos. El control de acceso restringe muchas
operaciones diferentes, incluyendo la creacin de objetos, la lectura y la modificacin de atributos de entrada, y
la comparacin de los valores de atributo. Una entrada de acceso restringido se refiere como una entrada
protegida. Una entrada concedido un determinado conjunto de privilegios de acceso a la entrada protegida se
llama el tema, o fiduciario, de esos privilegios.

Como un servicio, control de acceso protege slo la informacin de ingreso almacenado en el directorio. Una
aplicacin puede utilizar el directorio para almacenar informacin de control de acceso especfico a la aplicacin,
pero el directorio no almacenar esta informacin como atributos. Adems, el Directorio no administra, evaluar o
aplicar estos datos en nombre de la aplicacin.

Debido a NDS define y hace cumplir de acceso al directorio, una aplicacin cliente de directorio no puede
acceder al directorio sin necesidad de utilizar el control de acceso de NDS. Si una aplicacin cliente de
directorios debe utilizar el control de acceso en su reunin con los clientes, NDS puede almacenar y recuperar
informacin centralizada de control de acceso.

NDS utiliza nombres de entradas especiales que se pueden utilizar en los atributos de acceso en lugar de los
nombres distinguidos y nombres completos relativos. Los siguientes son los nombres de entradas especiales
que se utilizan:

DS_ROOT_NAME
DS_PUBLIC_NAME
DS_MASK_NAME
DS_CREATOR_NAME
DS_SELF_NAME

Por defecto, una entrada tiene los privilegios de acceso de:

Cada entrada en su nombre completo, a menos que uno de estos objetos tiene un filtro de derechos
heredados.
Cada nombre de una entrada especial que se aplica ([pblico], [Root], [Creador] y [Auto] y [Nadie]).
Cada entrada en su seguridad Igual atributo, si su definicin de clase de objeto tiene ese atributo.

Por ejemplo, en la siguiente ilustracin, el objeto Joe.Marketing. Novell tendra los mismos derechos que:

OU = Marketing y O = Novell, porque estn en nombre distinguido de Joe (a menos que se aplica un
filtro de derechos heredados).
[Root] y [pblico].
Sue, si Joe es una seguridad equivalente a Sue.

Lista de Control de Acceso Atributo

La lista de control de acceso (ACL) atributo es el componente clave en la determinacin de control de acceso al
directorio. Este atributo determina qu operaciones de una entrada de administrador puede hacer en otra
entrada y sus atributos. En el esquema de directorio, una ACL es un tipo de atributo de varios valores asignados
como un atributo opcional a la clase de objeto superior. Debido a que todas las clases de objetos heredan las
caractersticas de Arriba, todas las entradas pueden tener una ACL.

La lista de control de acceso atributo contiene los siguientes valores:

Protegida ID de atributo. Este campo contiene una referencia al atributo que el conjunto de
privilegios de campo (vase ms adelante) se aplica a. Tambin podra contener un identificador como
[Derechos de entrada] o [todos los atributos Derechos]. Si este campo contiene [Derechos de entrada],
los privilegios de acceso se aplican a la entrada que lleva a cabo esta ACL.
Identificacin fiduciario. Este campo contiene un identificador de entrada para una entrada
especfica en el Directorio. Sin embargo, tambin podra contener una referencia de entrada especial,
como [Filtro de derechos heredados], [pblico], [Root], [Creador] o [Auto]. Una ACL con [filtro de
derechos heredados] como las mscaras fiduciario o privilegios concedidos a los filtros de entrada.
Identificador de clase. Esto puede contener una clase de objeto especfico o [Cualquier cosa], que
incluye todas las clases de objetos.
Conjunto de privilegios. Este campo enumera los privilegios que se han otorgado al tema. Si el
nombre del sujeto es [Filtro de derechos heredados], el conjunto de privilegios campo enumera los
derechos que se pueden conceder en ese ingreso, a pesar de que no se hayan concedido.
 Controles. Actualmente el nico valor posible es heredable. Si este bit est establecido, el conjunto de
privilegios que se concede se hereda en objetos subordinados.

El LCA es un atributo en el objeto que se est accediendo. El LCA enumera los sndicos y los derechos que
tienen al objeto. Por ejemplo, si el objeto Joe tena Navegar [Derechos de entrada] sobre OU = Ingeniera, el
atributo de ACL en el objeto unidad organizativa = Ingeniera se vera as:

Campo Valor

atributo ID [Cualquier cosa]

fiduciario ID CN = Joe.OU = Marketing.O = Novell
Atributo Protegida ID [Derechos de entrada]
conjunto de privilegios Vistazo
controles DS_ENTRY_CTL

ACL campos tienen el siguiente orden de precedencia:

1. [Derechos de entrada], [cualquier cosa], supervisor

2. Uninheritable
3. Heredable
4. [Derechos de entrada] a. Una clase b especfico. [Cualquier cosa]
5. Atributos a. Un atributo b especfico. [Todos los derechos de atributos]

ACL por defecto plantillas. En el esquema NDS, la mayora de las clases de objeto especificar una plantilla de
acceso predeterminada que se utiliza para crear un atributo de ACL para una nueva entrada. Esta plantilla por
defecto proporciona un control de acceso bsico para la nueva entrada, permitiendo que funcione en el
Directorio. Diferentes clases de objetos tienen diferentes plantillas de ACL por defecto para reflejar sus
diferentes necesidades. Por ejemplo, el atributo ACL por defecto de la clase de objeto Usuario concede que la
entrada del usuario de la escritura correcta a su atributo de inicio de sesin. Esto permite a los usuarios cambiar
sus guiones de entrada segn sea necesario. Para obtener informacin acerca de las plantillas de ACL por
defecto, ver las clases de objetos especficos en Novell Servicios de directorio de esquema especificacin.

Derechos. La ID de atributo Protegida campo puede identificar cuatro tipos de derechos de control de acceso:

[Derechos de entrada]
[Todos los derechos de atributos]
los derechos especficos de atributos
[Particin Derechos]

Estos derechos se otorgan al administrador de la entrada. [Derechos de entrada] Dar un derechos de

administracin que afectan a una entrada en su conjunto, no slo sus atributos.

Los siguientes son [Derechos de entrada]:

Vistazo. La Navegar derecho permite a un administrador para descubrir entradas de directorio.

Crear. El Cree derecho permite a un administrador para crear entradas secundarias (nuevas entradas
que estn subordinadas a la entrada en el rbol). La Create [Entrada derecha] se denomina Aadir en
el cdigo NDS sino como Crear en la interfaz de usuario y las utilidades. En este documento se hace
referencia a ella como Crear .
Borrar. La Eliminar la derecha permite que un administrador para borrar una entrada. Este derecho no
permite que un administrador para eliminar una entrada de contenedor que tiene entradas
subordinadas.
Rebautizar. El Renombrar derecho permite a un administrador para cambiar el nombre de una
entrada.
Supervisor. El supervisor de la derecha da un fiduciario todos los derechos de una entrada y sus
atributos.
Apoyo. La copia de seguridad permite a un administrador para copia de seguridad de una entrada.
 Restaurar. La restauracin de la derecha permite a un administrador para restaurar una entrada de
una copia de seguridad.
Resolver. El Nombre Resolver permite una entrada correcta para resolver el nombre del objeto. Este
derecho puede ser utilizado para proteger una entrada de ser visto a travs de particiones federados.

Los derechos de atributos dan un derechos de confianza a todos los atributos de una entrada o a un atributo
especfico en esa entrada. Por ejemplo, las entradas de los usuarios pueden tener la escritura atributo derecho
a su nmero de telfonoatributo. Esto permite a un usuario cambiar su nmero de telfono de atributos segn
sea necesario. La concesin de ese mismo usuario Comentario [Todos los atributos de los derechos] en sus
atributos permitira que el usuario puede modificar todos los atributos grabables.

Los siguientes derechos se pueden conceder a todos los atributos de una entrada o atributos especficos de una
entrada:

Comparar. La comparacin correcta permite a un administrador para comparar o ver si un atributo

contiene un valor dado.
Leer. El Leer permite a un administrador derecha para leer un valor de atributo. Este derecho confiere
el Comparaderecha.

El esquema define algunos atributos de directorio como "oculta". Fideicomisarios no pueden leer un valor tal de
atributo, incluso si tienen la Leer derecha.

Escribir. La escritura correcta permite a un administrador para aadir, eliminar o modificar un valor de
atributo. Este derecho tambin le da al administrador la opcin Agregar o Autoeliminarse derecho al
atributo.
Aadir o Eliminar auto. Algunos atributos llevan los nombres de entradas como sus valores. El aadir
o eliminar Auto derecha permite a un administrador para aadir o borrar su nombre como un valor de
atributo.
Supervisor. El supervisor da derecho un administrador de todos los derechos de atributos.

El esquema define algunos de slo lectura y de lectura pblica-atributos, tales como un enlace Volver, que
fideicomisarios no pueden modificar.

[Particin Derechos] permiten un administrador para realizar operaciones en una particin dada. [Particin
Derechos] siempre se asignan en el objeto raz de particin. Los siguientes son [Particin Derechos]:

Agregar particin. La particin Aadir derecho permite a un administrador para crear un lmite de
particin.
Eliminar particin. La particin Eliminar la derecha permite que un administrador para eliminar un
lmite de particin.
Administrar Rplicas particin. La particin en Administrar Rplicas derecho permite a un
administrador para agregar o eliminar una rplica de un servidor, marcas de tiempo de reparacin, o
ejecutar un DSRepair reparacin de base de datos local.
Mover particin subrbol. El subrbol particin Mover derecha permite que un administrador para
mover la particin.
Particin del Supervisor. El supervisor de reparto permite a un administrador derecho de todos los
derechos de particiones listadas anteriormente.

Herencia. Derechos NDS "heredan", o fluyen hacia abajo el rbol de la misma manera los derechos del sistema
de archivos NetWare hacen: los derechos concedidos en un recipiente se aplican a todas las entradas
subordinadas dentro del contenedor y los contenedores subordinados posteriores.

Por ejemplo, en la Figura 1, Sue y Joe tienen Busque [Derechos de entrada] a [Root] de forma
predeterminada. A travs de la herencia, Sue y Joe tambin tienen Navegar [Derechos de entrada] a unidad
organizativa = Ingeniera y a todas sus entradas subordinadas.

Figura 1: Herencia.
Un atributo ACL puede conceder derechos a un atributo que no est presente en la entrada. Esto permite a los
administradores conceder derechos, a travs de la herencia, en todas las entradas en un contenedor, incluso si
ese contenedor no se sostiene los mismos atributos que el contenedor.

Por ejemplo, un contenedor no puede tener un nmero de telfono de atributos, pero la concesin del
contenedor de la Leer[todos los atributos Derechos] en su entrada permite a todos los usuarios en el contenedor
para leer todos sus atributos, incluyendo el nmero de telfono de atributos.

NDS calcula los derechos heredados de una entrada por el control de la entrada de ACL atributo y luego
ascender en el rbol hasta que encuentra un acceso heredada de atributos (en la entrada de la raz de la
particin). En cada ACL atributo que encuentra, comprueba [filtros de derechos heredados]. Todos los derechos
no enmascarados por un [filtro de derechos heredados] fluyen hacia abajo del rbol.

En el ejemplo anterior del rbol, NDS calculara Joe.Marketing. Los derechos heredados de Novell por subir el
rbol hasta la comercializacin. Novell, que como una entrada raz de particin, tiene una ACL heredada. NDS
comprobara el acceso heredada atributo de los derechos Joe recibe por herencia.

La equivalencia de seguridad. La equivalencia de seguridad simplemente significa que una entrada tiene los
mismos derechos que otra entrada en el rbol de directorios. Antes de que el sistema puede calcular los
derechos de una entrada, debe determinar sus equivalencias de seguridad.

Cada entrada en el rbol de directorios es una seguridad equivalente a las siguientes entradas:

[Pblico], incluso si la entrada no est autenticado

[Root] entrada del rbol, si es autenticado
Cada entrada contenida en su nombre distinguido
Cada entrada que aparece en su atributo es igual a la Seguridad

Como un ejemplo de cmo se calculan los derechos, asumir que en la Figura 1 Joe tiene Navegar [Derechos de
entrada] a Sam. Si Sue es una seguridad equivalente a Joe, Sue tambin tiene Explorar [Derechos de entrada]
a Sam.

Supongamos ahora que Sam ACL atributo no concede ningn Sue [Derechos de entrada] a Sam. Para calcular
los derechos de Sue, NDS comienza en O = Novell y baja por el rbol. A medida que baja por el rbol, NDS
busca ACL atributos de las entradas que encuentra. Se estima que de Sam Acceso atributo no da ninguna Sue
[Derechos de entrada] a Sam; Sin embargo, tambin se encuentra que Sue es una seguridad equivalente a Joe,
que tiene Navegar [Derechos de entrada] a Sam. Por lo tanto, Sue se pone en Examinar [Derechos de entrada]
a Sam a travs de seguridad equivalentes, no a travs de la herencia.

Derechos eficaces. Los derechos efectivos son la suma de todos los derechos de un usuario ha recibido a las
entradas de directorio. La privilegios eficaces consiguen operacin permite a un cliente a la lista de los derechos
efectivos de un usuario determinado, o fiduciario, cuenta con ms entradas de NDS. Estos derechos se reciben
de las siguientes fuentes:

atributo de cada entrada de ACL

equivalencias de seguridad del fiduciario
Los privilegios de acceso heredados de los padres de la entrada
Los privilegios de acceso de la materia designada, [pblico]

Filtros de derechos heredados. NDS permite a los administradores controlar cmo se heredan los
derechos. Un tipo especial de Acceso valor del atributo llamado un filtro de derechos heredados (IRF) especifica
qu derechos pueden ser heredados de un objeto a las entradas siguientes en el directorio. El IRF (a veces
llamada una mscara herencia ) toma el lugar del nombre fiduciario en el atributo ACL ( "[Filtro de derechos
heredados]" aparece en el campo ID Fiduciario). Se puede aplicar a [Derechos de entrada], [todos los atributos
Derechos], o de los derechos de atributos especficos. La figura 2 muestra el mismo rbol que la Figura 1.

Figura 2: atributos de acceso y la herencia.

Esta vez, sin embargo, los siguientes acceso se aplican atributos:

Objeto Holding

ACL Atributo Fideicomisario Atributo protegida conjunto de privilegios

Novell Mrketing [Derechos de entrada] Navegar, Borrar

Ingenieria Joe [Derechos de entrada] Crear
Sam demandar [Derechos de entrada] Borrar

Si no hay ningn objeto en el Directorio tiene un filtro de derechos heredados, Sue tendra los siguientes
derechos efectivos:

El Delete derecho a Sam porque ACL de Sam concede este derecho a demandar
El Delete derecho de Novell y Engineering.Novell porque la comercializacin es parte del nombre
distinguido de Sue (esto hace que la seguridad equivalente a Sue Marketing)
El Cree derecho de Ingeniera y Sam porque Sue es una seguridad equivalente a Joe
La Navegar derecho a Sam, Ingeniera, y Novell porque Sue es una seguridad equivalente a la
comercializacin
Figura 3: Se hereda Derechos Filtro.

Supongamos, sin embargo, que Engineering.Novell tiene un filtro de derechos heredados que enmascara
el Eliminarderecha. Como muestra la Figura 3, Sue ya no tiene la Delete derecho de Ingeniera pero conserva
que a la derecha en Sam.

Heredados de ACL. Una ACL heredada es un atributo de cada entrada de la raz de la particin. Este atributo
se resumen los derechos efectivos que heredan fiduciarios con el fin de realizar operaciones en las
entradas. La ACL heredada atributo es vlida solamente en una entrada de la raz de la particin. A menos que
un filtro de derechos heredados est en uso, estos derechos efectivos se otorgan a todas las entradas en la
particin. Tener este atributo en el nivel raz de la particin permite NDS para calcular los derechos efectivos
para cada entrada de la particin sin tener que caminar toda esa porcin del rbol de
directorios. Heredados ACL no son visibles para los usuarios o clientes.

Cuando un cliente crea una nueva particin, NDS crea una ACL heredada como un atributo multivalor unido a la
entrada de la raz de la particin. NDS actualiza estas ACL cuando cambia el rbol de directorios. En la Figura
4, Ingeniera, Marketing, y Provo han heredado ACL atributos porque son entradas raz de la particin.

Figura 4: hereda ACL.

Derechos de gestin. Los derechos de gestin de derechos son los que permiten a un administrador para
conceder derechos a otras entradas. Un administrador tiene derechos de administracin cuando se tiene
la escritura atributo derecho de atributo ACL de la entrada. Los siguientes derechos se pueden conceder
derechos de administracin a un administrador:

Escribir o Supervisor de la derecha en el atributo de ACL

Escribir o Supervisor [Todos los atributos de los derechos]
Supervisor [Derechos de entrada]

los derechos de gestin son importantes porque un administrador que puede modificar la ACL de una entrada
se puede controlar lo que otros pueden hacer entradas a dicha entrada. Las siguientes operaciones de NDS
requieren derechos de administracin para completar:

Para modificar el esquema, un administrador debe tener derechos de gestin a la particin raz del
Directorio.
operaciones de particin requiere que el administrador tiene derechos de gestin sobre la particin de
destino.
Copia de seguridad requiere que el administrador tiene derechos administrados en la entrada que son
sostenidos.
Adicin de una entrada a un atributo de escritura gestionados en otra entrada requiere que se agregan
los derechos de gestin a la entrada.

Atributos escritura Gestionado. Escribir gestionados atributos son los atributos cuyos valores son los nombres
completos de las entradas en el rbol de directorios. Para aadir o eliminar un nombre de entrada a
una escritura gestionados atributo, un administrador debe tener derechos de gestin a la que se aade la
entrada; Sin embargo, el administrador no necesita derechos sobre el objeto que est siendo modificado.

El esquema define escritura gestionados atributos, que incluyen:

Iguales seguridad
Membresa de grupo
Los privilegios ms altos (no se utiliza)
La membresa perfil

Seguimiento y registro
NDS proporciona caractersticas de seguimiento y de registro accionados por ciertos eventos NDS. Seguimiento
y registro puede ser configurado para proporcionar informacin o para desencadenar utilidades de
administracin basadas en eventos definidos por el usuario.

El DSTrace NLM permite a los administradores establecer grupos de eventos que pueden rastrearse en la
consola del servidor, registrados en un archivo, o ambos. DSTrace utiliza el sistema de eventos de NDS para
inscribirse en los eventos especificados por el usuario y mostrar los datos en la pantalla de traza (o archivo de
registro) a lo solicitado. DSTracepantallas o en los registros de texto asociado con los eventos; sin embargo,
algunos eventos internos contienen texto y no pueden ser localizados, ya que el texto est incrustado dentro de
s mismo DS.NLM. Estos eventos slo se utilizan para fines de depuracin internas.

Varios archivos de datos estn asociados con DSTrace . La primera es SYS: SYSTEM \ DSTRACE.CFG. Este
archivo contiene la lista de los grupos de eventos conocidos en este servidor, los grupos que estn actualmente
activos (eventos en los grupos activos sern registrados para, y el texto que se muestra slo para aquellos
eventos), y la informacin del registro de control de archivos, como el nombre del archivo de registro , el nombre
del archivo de registro de edad, tamao del archivo de registro, y si es o no el archivo de registro debe estar
habilitado en absoluto. Varios grupos predeterminados se incluyen en un archivo DSTRACE.CFG emular todos
los "grupos" existentes definidos por el "DSTRACE = Ajuste" comando de la consola. En este momento hay 26
posibilidades diferentes vlidos que debe darse a este comando conjunto, todos los cuales se pueden dar en
cualquier combinacin. Grupos definidos por el usuario ilimitado son posibles.

No hay ninguna interfaz de programacin a la DSTrace NLM. No proporciona APIs accesibles.