Documentos de Académico
Documentos de Profesional
Documentos de Cultura
El esquema NDS consiste en el conjunto de normas que regulan la estructura del rbol de directorios. En l se
definen los objetos que pueden existir en el rbol, incluyendo cmo pueden construirse las entradas, que los
valores de atributos estn permitidos, cmo Nombres Distinguidos pueden ser construido, y otras caractersticas
de utilidad para el propio Directorio. Estas reglas de objetos y de atributos se especifican a travs de un
diccionario de datos que proporciona un conjunto estndar de los tipos de datos a partir de la que los objetos
pueden ser creados.
Cada objeto en el Directorio pertenece a una clase de objeto que especifica los atributos que se pueden asociar
con el objeto. Todos los atributos se basan en un conjunto de tipos de atributos estndar, que a su vez se basan
en la sintaxis de atributos estndar.
El esquema de directorio controla la estructura de los objetos individuales y la relacin entre los objetos del
rbol. En el control de esta relacin el esquema especifica la subordinacin entre clases de objetos.
El conjunto de reglas que controla la creacin de un tipo de objeto particular se llama una clase de objeto. Cada
clase de objeto se define en trminos de atributos o propiedades. Un atributo es una pieza especfica de
informacin que puede existir para un objeto. Atributos, a su vez, se definen en trminos de un conjunto base de
los tipos de datos denominados AtributoSintaxis. Las sintaxis de atributos definen los tipos de datos primarios
para los valores almacenados en el directorio. Por lo tanto el esquema dicta los requisitos, lmites y relaciones
de objetos y atributos de los objetos que pueden ser creados y utilizados en el rbol de directorios.
Esquema dinmico
El esquema es extensible y dinmico en el que los administradores pueden definir nuevas clases y atributos de
objetos objetos, adems de los proporcionados por el esquema de base. Ampliacin del esquema se lleva a
cabo a travs de la modificacin o creacin de nuevas definiciones de objeto (atributo o un objeto de clase) y
luego la adicin de estas nuevas definiciones al esquema de base.
Debido a que el esquema se ha movido en el espacio de objetos jerrquico regular en el rbol de informacin de
directorios (DIT), objetos de esquema general se nombran y se comportan como objetos normales NDS en
instanciacin, sincronizacin y modificacin. Adems, las funciones normales NDS en el DSAPIs se pueden
utilizar para manipular definiciones de esquema (crear, ver, modificar, etc.).
Una utilidad de mantenimiento del esquema, Administrador de esquema , permite a los administradores
modificar fcilmente el esquema de funcionamiento de NDS. El Administrador de esquema permite a los
administradores ver, ampliar, modificar, imprimir, comparar y diagnosticar su esquema NDS. Tambin
proporciona soporte para los desarrolladores y proveedores de software independientes que necesitan para
ampliar el esquema para sus aplicaciones.
esquema global
La liberacin bsica NDS se limita a una nica particin en el rbol NDS, por tanto, el esquema es global para
ese rbol por defecto.
Nombrar
El servicio de nombres NDS mapas de nombres de red a direcciones. Se trata de una base de datos global de
informacin orientado a objetos que utiliza un espacio de nombres jerrquico en vez de un espacio de nombres
plana. Esta jerarqua permite a la base de datos para ser mapeada como un rbol que puede ser dividido por
sus subrboles. Debido a que los nombres de objetos contienen la informacin de jerarqua, los usuarios
pueden tener acceso a recursos de red a nivel mundial, y los administradores pueden administrar todo el rbol y
sus objetos desde un nico punto.
NDS se compone de objetos y atributos basados en un esquema extensible. Los objetos estn representados
en cada servidor mediante una entrada fsica. El esquema contiene las reglas para la formacin de estos
objetos y atributos y la jerarqua. El esquema NDS define dos tipos de objetos:
Los objetos contenedor son simplemente aquellos que pueden contener otros objetos. El nombre del
rbol, pas, localidad, organizacin y objetos Unidad administrativa son objetos contenedores.
objetos hoja son aquellos que no pueden contener otros objetos. Estos objetos suelen representar los
recursos de red. Usuarios, impresoras y servidores de NCP son ejemplos de objetos hoja.
Cada objeto debe tener un nombre nico. Este nombre y su ubicacin en la jerarqua forman contexto el nombre
del objeto. Nombres de plomo de la hoja ms, o ms subordinada, de objeto al objeto ms superior. Por
ejemplo, vamos a utilizar el siguiente nombre:
En este nombre, CN = RobF es el nombre del objeto ms subordinada, mientras que T = Novell_Inc es el
nombre del objeto ms superior.
Resolucin de nombres
La resolucin de un nombre implica recorrer el rbol NDS para localizar un objeto en particular. Un identificador
de entrada para ese objeto se devuelve, que el cliente puede utilizar para averiguar informacin sobre el objeto.
Lista
Buscar
resolver el nombre
Lista de operaciones. Esta lista la operacin se enumeran los objetos subordinados inmediatos a un objeto
contenedor especificado y cualquier informacin especificada sobre esos objetos. La lista de operacin no
"recorrer el rbol" porque la informacin que devuelve es local al servidor de nombres actual.
El cliente puede especificar tres filtros por los que pueda seleccionar la informacin acerca de cada objeto:
El Nombre del filtro permite al cliente solicitar slo los objetos que tienen un cierto nombre completo
relativo.
El filtro de la clase permite al cliente solicitar slo los objetos que pertenecen a una determinada clase
de objeto.
El Tiempo de filtro permite al cliente solicitar slo los objetos modificados despus de un cierto tiempo.
Operacin de bsqueda. La Bsqueda operacin busca en una regin del rbol de directorios para los objetos
cuyos atributos satisfacer los criterios especificados. Entradas no deseadas son eliminadas mediante la
colocacin de las afirmaciones sobre los valores de atributo, o por una combinacin booleana de estas
afirmaciones. Las afirmaciones deben ajustarse a las reglas de concordancia definidos para la sintaxis de un
atributo en el esquema NDS. La bsqueda se aplica no slo a los contenedores directamente subordinados al
objeto especificado, sino a todos los objetos subordinados a ese objeto.
Pocas empresas y organizaciones son estticos, por lo NDS permite a los administradores modificar los objetos
de directorio para reflejar los cambios. Adems, los administradores pueden obtener informacin acerca de los
objetos de directorio y sus atributos. Las siguientes secciones describen las operaciones que gestionan los
objetos de directorio.
NDS permite a los administradores aadir una entrada o un alias para el directorio NDS. El esquema dicta
donde se crean las entradas y cules son sus atributos pueden ser. Para que sea vlido en el directorio, la
nueva entrada debe mantener el atributo de objeto de clase, que tiene como valor una clase base NDS
vlido. Las clases de objetos se definen en el esquema. Estas clases de objetos especifican:
La comparacin operacin compara un valor dado a un atributo existente y su valor. Por ejemplo, el cliente
puede utilizar de comparacin para determinar si el grupo Everyone.Novell tiene un atributo de miembro que
tiene un valor de admin.novell. La operacin devuelve verdadero si los valores coinciden o falso si no lo
hacen. Esta operacin se verifica la existencia de un valor sin tener que leer el valor.
Las comparaciones se basan en las reglas de concordancia de la sintaxis de atributo asignado al atributo (para
informacin sobre la correspondencia de reglas, ver esquema NDS Especificacin ). Por lo tanto, las normas de
congruencia deben proporcionar para esta operacin.
Modificar entrada permite a un cliente a modificar, aadir o eliminar atributos de una entrada en la misma
operacin, excepto atributos de nombres. Por ejemplo, el cliente puede utilizar modificar una entrada para
modificar el nmero de telfono de un usuario.
Todas las modificaciones deben obedecer las reglas definidas por la clase de la entrada. Por ejemplo, atributos
de slo lectura y los atributos "ocultos" no se pueden cambiar. Debido a que clase de objeto de la entrada es de
slo lectura, la clase no se puede cambiar. Esta operacin tambin se puede utilizar para modificar un alias.
Para cambiar nombre completo relativo de una entrada (RDN), el cliente utiliza Modificar RDN. Mediante esta
operacin, un cliente puede especificar un nuevo atributo de nombre y el valor que servir como RDN de la
entrada o la operacin puede especificar un nuevo valor para el atributo de nombre existente. En cualquier caso,
el nuevo nombre deber cumplir con las normas para ser modificadas las clases de objetos de la entrada. Unas
clases de objetos actualmente definen ms de un atributo de nombre.
Si la operacin cambia un atributo de varios valores o sustituye un nuevo atributo de nombre, el valor anterior
puede permanecer en la entrada si el cliente lo solicita. En ese caso, el antiguo valor del atributo no seguir
siendo parte del RDN de la entrada, pero se mantendr como un atributo de valor o los valores de la entrada.
La entrada Mover operacin comprende dos rutinas, comenzar a ingresar Mover y Finalizar movimiento de
entrada, ese lugar una entrada en una ubicacin diferente en el rbol de directorios, que cambia de nombre
distinguido de la entrada.
El Leer operacin devuelve informacin sobre un ingreso almacenado en el directorio. Se lee la informacin de
atributos asociada con la entrada. Los atributos de la entrada tiene depende de la clase de objeto.
El cliente puede optar por devolver informacin sobre:
La granularidad de la Leer respuesta es el valor del atributo. Un valor de atributo no puede dividirse entre
iteraciones de NDS, pero la lista de un atributo de valores se puede dividir. Cuando dividida, cada mensaje de
respuesta NDS contiene la sintaxis ID, Nombre de atributo, y el nmero de valores de campos. El Nmero de
Valores campo indica cuntos valores estn en la respuesta actual.
Eliminar entrada elimina una entrada del rbol de directorios. La entrada se elimina debe ser una hoja o un
recipiente que tiene no hay subordinados. Si la entrada tiene subordinados, la operacin falla.
Un cliente o servidor puede utilizar Eliminar entrada para eliminar un alias del directorio. Si el ID de entrada
indica una entrada alias, la operacin elimina el alias, no la entrada del alias se refiere a.
Gestin de la relacin
En el NDS bsica, las relaciones entre los servidores y los objetos son gestionados por los nombres distinguidos
de varios valores. En el producto SCALE, relaciones servidor a objetos tambin son manejados por la gestin de
relaciones distribuida.
Nombres Distinguidos de varios valores utilizan un delimitador de ms (+) para permitir a los usuarios distinguir
entre dos nombres similares en un sub-rbol de directorio. Por ejemplo, dos localidades podran tener el mismo
Pars, pero uno podra referirse a Pars, Idaho, y el otro a Pars, Texas. En este caso, el administrador puede
asignar el nombre de L = Pars + S = = Texas.OU Mktg.O = Novell a la localidad de Texas y L = Pars + S = =
Idaho.OU Mktg.O = Novell a la localidad de Idaho. Esto permite al administrador de distinguir entre las dos
localidades sin crear una S = de Texas o contenedor S = Idaho.
El uso ms comn de los nombres distinguidos con varios valores es en esos objetos creados a travs de la
encuadernacin que se asigna a los objetos NDS conocidos. Estos objetos tienen el RDN del objeto ms el
nmero del tipo de enlace: CN = ArcServer + Bindery Tipo = 680.
Personalidades NDS
NDS proporciona un conjunto de API multi-personalidad que permiten a los siguientes servicios de nombres
para acceder a una base de datos NDS:
NDAP
Taller de encuadernacin
NDAP
Novell Directory Access Protocol (NDAP) es el protocolo estndar que permite el acceso a NDS NetWare.
Taller de encuadernacin
NDS trata la encuadernacin como una base de datos emulado almacenada en un espacio de nombre plano
especfico de un servidor. El cdigo de los servicios de encuadernacin NDS proporciona una vista alternativa
de los mismos datos almacenados en el directorio de base de informacin de NDS (DIB). Sin embargo, los
servicios de encuadernacin son limitadas; que permiten la compatibilidad hacia atrs, pero no pueden expresar
toda la informacin almacenada en el Directorio.
NDS logra la compatibilidad hacia atrs con el enlace de NetWare mediante la asignacin de campos en uno de
los bloques de memoria compartida de los primitivos. Estos campos se reservan para convertir los nombres de
dos bytes encuadernacin habilitados en algo que es legible por la red, los nombres de los rboles SAPing
especficamente dinmicos, que contienen la direccin de red / nodo / toma del rbol de la publicidad.
En general, el Servicios de encuadernacin mdulo hace que slo las llamadas locales a la base de nombres,
con llamadas ocasionales al directorio del cliente, como por ejemplo cuando se van a leer un operador de la
consola.
Encuadernacin objetos. Servicios de encuadernacin NDS utiliza los objetos de encuadernacin dinmicas y
estticas de la siguiente manera:
Debido a que la encuadernacin no es jerrquica y no necesita distinguir objetos por clase, que no tiene las
definiciones formales de esquema. Sin embargo, los viejos encuadernacin permitido tipos de objetos NetWare,
designados por los valores de 16 bits que agrupan objetos similares. Algunos de los tipos de objetos conocidos
tienen homlogos directos en el esquema NDS y se puede convertir, o mutado, de la clase de objeto de
encuadernacin a la clase de objeto NDS apropiado.
Estas clases de objetos, junto con el objeto de encuadernacin clase son todos los objetos visibles a travs de
llamadas de encuadernacin. No hay otras clases de objetos NDS son visibles a travs de las llamadas de
encuadernacin.
Propiedades de los objetos de la encuadernacin. El esquema NDS permite a cualquier clase de objeto para
tener una propiedad de encuadernacin tipo de atributo a travs de un cheque de casos especiales. Esto
permite la compatibilidad con aplicaciones basadas en la encuadernacin que definen sus propias
propiedades. NDS nombres de objetos de encuadernacin son una combinacin del nombre del objeto y el tipo
de encuadernacin atributo. El tipo de encuadernacinatributo define qu tipo de objeto se trata.
LDAP
agente de servidor LDAP de Novell se basa en la Universidad de Michigan SLAPD aplicacin versin 3.3 y
proporciona LDAP versin 2 de acceso como se especifica en el RFC 1777 para NDS incluyendo extensiones
para las remisiones. Esto significa LDAP de Novell soporta el enlace simple (acceso sin autenticacin y acceso
donde el cliente LDAP proporciona el nombre y la contrasea), buscar, modificar, aadir, borrar, modificar RDN,
comparar abandono y solicitudes de desvinculacin. Adems, LDAP de Novell no admite clientes si no estn
ejecutando tambin LDAP versin 2. Debido a LDAP de Novell es una personalidad NDS, LDAP de Novell debe
ejecutarse en un servidor donde NDS tambin se est ejecutando.
LDAP sin conexin (CLDAP) contar con el apoyo para el acceso autenticado a travs de UDP. CLDAP apoya
CLDAP v 2 como se especifica en el RFC 1798. Inicialmente, LDAP de Novell compatible con al menos 100
clientes.
NDS / LDAP esquemas. El esquema LDAP (basado en X.500) y el esquema NDS (X.500 compatibles) se
asignan para corresponder entre s, permitiendo que un cliente LDAP para buscar el directorio NDS. En la
versin inicial, LDAP de Novell soporta una asignacin esttica entre estos dos esquemas. En versiones
posteriores, los administradores de LDAP de Novell podrn configurar esta asignacin.
LDAP de Novell puede examinar un contenedor NDS si el agente ha LDAP navegar por los derechos de ese
contenedor.
Autenticacin. Actualmente, la nica forma de autenticacin LDAP de Novell que apoyar es el nombre del
usuario y la contrasea. Suponemos que los clientes LDAP se utilizan SSL para sus sesiones LDAP y sern
capaces de cifrar esta informacin. LDAP de Novell utiliza SSL versin 3 para crear un canal cifrado para los
clientes LDAP para proporcionar su nombre y contrasea de LDAP de Novell.
Compatibilidad de protocolo. LDAP de Novell se basa en la interfaz de sockets TCP / IP. LDAP de Novell
tambin se ejecutar en la interfaz WinSock de Windows NT.
Buscando. Para proporcionar bsquedas rpidas y eficientes, LDAP de Novell utiliza un almacn de datos local
como un catlogo y una draga para mantener ese almacn de datos. LDAP de Novell admite la coincidencia
aproximada.
NDS Servicios de eventos proporciona una manera de controlar la actividad de NDS en un servidor
individual. Servicios de eventos pueden realizar un seguimiento de eventos locales y eventos globales. Cuando
se producen eventos NDS especificado, un NLM de monitoreo puede ver y determinar qu accin
tomar. Servicios de eventos pueden notificar a la NLM durante o despus del evento. Cmo usar los servicios
de eventos, una aplicacin NLM puede registrar una o ms funciones que se llamar cuando se producen
eventos especficos. Estos eventos se mantienen registrada hasta que la aplicacin NLM les anula el registro en
concreto.
Todos los subsistemas basados en eventos dentro de NDS anteriores a la versin actual fueron profundamente
arraigadas en el cdigo principal NDS fuente. Estos subsistemas incluyen:
Revisin de cuentas
Contabilidad
Administracin de redes
Rastreo (informacin a una pantalla de depuracin)
Inicio de sesin (informacin en un archivo)
El sistema actual de eventos NDS seguimiento de un solo tipo de informacin en el DS.NLM: el evento funcin
de informes. Los otros subsistemas se implementan como NLM separadas. Anteriormente, haba 19 posibles
eventos, relacionados principalmente con la gestin de los objetos y las conexiones. Actualmente, no habr ms
de 150 eventos posibles.
Reportero rutinas de eventos permiten obtener informacin del evento que se informa de nuevo a una
entidad que necesitan informacin. Estas rutinas informan de eventos y opcionalmente la informacin y
los resultados asociados con esos eventos, incluyendo el tipo de evento, el tamao de los datos, y los
datos reales.
Evento rutinas de consumo permiten a las entidades de la red para registrar y eliminar eventos se
reportan. Un NLM puede usar estas rutinas para registrar una funcin que se llamar cuando se
produce un evento especfico.
Servicios de eventos deben determinar si los datos se est informando contiene informacin que la aplicacin
NLM quiere usar. Por ejemplo, si la aplicacin NLM slo se preocupa por los cambios a nmeros de telfono,
Otros Servicios usaran sus datos slo si contiene informacin para un nmero de telfono de atributos. Si los
datos no contiene Nmero de Telfonoinformacin de atributos, Servicios de eventos pueden volver o bien
ninguna informacin o un cdigo de error, dependiendo de lo que las solicitudes de aplicacin de la NLM.
Filtrado por ID local. Mientras que los nombres de objeto en el Directorio son globales, los identificadores
locales para las entradas en servidores individuales no lo son. Cada objeto en el servidor se identifica mediante
un ID local que es relevante slo en ese servidor. ID local del objeto en otro servidor puede o no ser el
mismo. Identificadores locales tambin se utilizan para identificar los atributos y clases de objetos. Estos
identificadores locales tambin se mejoran la velocidad de informes. La comparacin de dos identificadores de
32 bits es ms rpido que la comparacin de dos cadenas.
En la mayora de los casos, puede filtrar el uso de identificadores locales debido a las estructuras de datos en la
devolucin de llamada de datos de identificadores de uso de parmetros en lugar de nombres.
Autenticacin
La autenticacin es el proceso mediante el cual los usuarios a establecer su identidad cuando se accede a un
servicio de aplicaciones de red. NDS es compatible con los siguientes tipos de autenticacin:
NetWare autenticacin 3
NetWare 4 de autenticacin
autenticacin graduada
NetWare autenticacin 3
NetWare 3 utiliza una clave de reto y cifrado de la contrasea para autenticar un usuario sin transmitir la
contrasea en el cable. A NetWare 3 usuario utiliza este proceso para iniciar sesin en un servidor NDS donde
se ha establecido el contexto de enlace. El intercambio de autenticacin comienza despus de que se haya
establecido una conexin NCP y se han negociado tamaos de bfer.
NetWare 4 de autenticacin
Inicio de sesin de usuario. Los registros del cliente en un servidor NDS para establecer la identidad
del usuario. No importa dnde el usuario inicia sesin en, NDS recorre el rbol hasta que encuentra
una copia grabable del objeto del usuario. NDS continuacin, recupera la clave privada del cliente.
Autenticacin de fondo. Despus de iniciar la sesin, el usuario tiene que autenticarse, o establecer
su identidad, a un servidor que tiene un servicio de red. Esto se hace a travs de la autenticacin de
fondo.
En esencia, la conexin del usuario y la autenticacin son el mismo proceso, pero se manejan de manera
diferente.
Desde la perspectiva del usuario, inicio de sesin se lo invita a entrar una contrasea y luego se bloquea el
servidor. El servidor devuelve el contexto del usuario, y el usuario est listo para trabajar en la red.
Desde la perspectiva de NDS, de entrada requiere que el usuario introduzca la contrasea, que NDS utiliza para
cifrar la clave privada. Despus del proceso de inicio de sesin se ha completado, el cliente tiene su clave
privada y est listo para autenticar a otros servicios de red. NDS se encarga de este proceso en segundo plano.
datos de autenticacin es vlida slo durante la sesin de inicio de sesin actual. Los datos crticos utilizados
para crear mensajes autenticados por un usuario nunca se transmite a travs de la red en texto sin formato.
Servidores NetWare 4 no necesitan conectarse a la red, ya que almacenan sus propias claves privadas. Debido
a que los servidores pueden calcular la credencial y la firma de su informacin local, que utilizan slo la
autenticacin de fondo.
Antecedentes de autenticacin sucede sin la intervencin del usuario. Como se mencion anteriormente, existe
suficiente informacin disponible a partir del intercambio de inicio de sesin para el cliente y el servidor para
autenticar mutuamente el uno al otro.
Autorizacin
Novell Directory Services utiliza un proceso llamado control de acceso para autorizar a los usuarios para llevar a
cabo operaciones de directorio en otras entradas y sus atributos. El control de acceso restringe muchas
operaciones diferentes, incluyendo la creacin de objetos, la lectura y la modificacin de atributos de entrada, y
la comparacin de los valores de atributo. Una entrada de acceso restringido se refiere como una entrada
protegida. Una entrada concedido un determinado conjunto de privilegios de acceso a la entrada protegida se
llama el tema, o fiduciario, de esos privilegios.
Como un servicio, control de acceso protege slo la informacin de ingreso almacenado en el directorio. Una
aplicacin puede utilizar el directorio para almacenar informacin de control de acceso especfico a la aplicacin,
pero el directorio no almacenar esta informacin como atributos. Adems, el Directorio no administra, evaluar o
aplicar estos datos en nombre de la aplicacin.
Debido a NDS define y hace cumplir de acceso al directorio, una aplicacin cliente de directorio no puede
acceder al directorio sin necesidad de utilizar el control de acceso de NDS. Si una aplicacin cliente de
directorios debe utilizar el control de acceso en su reunin con los clientes, NDS puede almacenar y recuperar
informacin centralizada de control de acceso.
NDS utiliza nombres de entradas especiales que se pueden utilizar en los atributos de acceso en lugar de los
nombres distinguidos y nombres completos relativos. Los siguientes son los nombres de entradas especiales
que se utilizan:
DS_ROOT_NAME
DS_PUBLIC_NAME
DS_MASK_NAME
DS_CREATOR_NAME
DS_SELF_NAME
Cada entrada en su nombre completo, a menos que uno de estos objetos tiene un filtro de derechos
heredados.
Cada nombre de una entrada especial que se aplica ([pblico], [Root], [Creador] y [Auto] y [Nadie]).
Cada entrada en su seguridad Igual atributo, si su definicin de clase de objeto tiene ese atributo.
Por ejemplo, en la siguiente ilustracin, el objeto Joe.Marketing. Novell tendra los mismos derechos que:
OU = Marketing y O = Novell, porque estn en nombre distinguido de Joe (a menos que se aplica un
filtro de derechos heredados).
[Root] y [pblico].
Sue, si Joe es una seguridad equivalente a Sue.
La lista de control de acceso (ACL) atributo es el componente clave en la determinacin de control de acceso al
directorio. Este atributo determina qu operaciones de una entrada de administrador puede hacer en otra
entrada y sus atributos. En el esquema de directorio, una ACL es un tipo de atributo de varios valores asignados
como un atributo opcional a la clase de objeto superior. Debido a que todas las clases de objetos heredan las
caractersticas de Arriba, todas las entradas pueden tener una ACL.
Protegida ID de atributo. Este campo contiene una referencia al atributo que el conjunto de
privilegios de campo (vase ms adelante) se aplica a. Tambin podra contener un identificador como
[Derechos de entrada] o [todos los atributos Derechos]. Si este campo contiene [Derechos de entrada],
los privilegios de acceso se aplican a la entrada que lleva a cabo esta ACL.
Identificacin fiduciario. Este campo contiene un identificador de entrada para una entrada
especfica en el Directorio. Sin embargo, tambin podra contener una referencia de entrada especial,
como [Filtro de derechos heredados], [pblico], [Root], [Creador] o [Auto]. Una ACL con [filtro de
derechos heredados] como las mscaras fiduciario o privilegios concedidos a los filtros de entrada.
Identificador de clase. Esto puede contener una clase de objeto especfico o [Cualquier cosa], que
incluye todas las clases de objetos.
Conjunto de privilegios. Este campo enumera los privilegios que se han otorgado al tema. Si el
nombre del sujeto es [Filtro de derechos heredados], el conjunto de privilegios campo enumera los
derechos que se pueden conceder en ese ingreso, a pesar de que no se hayan concedido.
Controles. Actualmente el nico valor posible es heredable. Si este bit est establecido, el conjunto de
privilegios que se concede se hereda en objetos subordinados.
El LCA es un atributo en el objeto que se est accediendo. El LCA enumera los sndicos y los derechos que
tienen al objeto. Por ejemplo, si el objeto Joe tena Navegar [Derechos de entrada] sobre OU = Ingeniera, el
atributo de ACL en el objeto unidad organizativa = Ingeniera se vera as:
Campo Valor
ACL por defecto plantillas. En el esquema NDS, la mayora de las clases de objeto especificar una plantilla de
acceso predeterminada que se utiliza para crear un atributo de ACL para una nueva entrada. Esta plantilla por
defecto proporciona un control de acceso bsico para la nueva entrada, permitiendo que funcione en el
Directorio. Diferentes clases de objetos tienen diferentes plantillas de ACL por defecto para reflejar sus
diferentes necesidades. Por ejemplo, el atributo ACL por defecto de la clase de objeto Usuario concede que la
entrada del usuario de la escritura correcta a su atributo de inicio de sesin. Esto permite a los usuarios cambiar
sus guiones de entrada segn sea necesario. Para obtener informacin acerca de las plantillas de ACL por
defecto, ver las clases de objetos especficos en Novell Servicios de directorio de esquema especificacin.
Derechos. La ID de atributo Protegida campo puede identificar cuatro tipos de derechos de control de acceso:
[Derechos de entrada]
[Todos los derechos de atributos]
los derechos especficos de atributos
[Particin Derechos]
Los derechos de atributos dan un derechos de confianza a todos los atributos de una entrada o a un atributo
especfico en esa entrada. Por ejemplo, las entradas de los usuarios pueden tener la escritura atributo derecho
a su nmero de telfonoatributo. Esto permite a un usuario cambiar su nmero de telfono de atributos segn
sea necesario. La concesin de ese mismo usuario Comentario [Todos los atributos de los derechos] en sus
atributos permitira que el usuario puede modificar todos los atributos grabables.
Los siguientes derechos se pueden conceder a todos los atributos de una entrada o atributos especficos de una
entrada:
El esquema define algunos atributos de directorio como "oculta". Fideicomisarios no pueden leer un valor tal de
atributo, incluso si tienen la Leer derecha.
Escribir. La escritura correcta permite a un administrador para aadir, eliminar o modificar un valor de
atributo. Este derecho tambin le da al administrador la opcin Agregar o Autoeliminarse derecho al
atributo.
Aadir o Eliminar auto. Algunos atributos llevan los nombres de entradas como sus valores. El aadir
o eliminar Auto derecha permite a un administrador para aadir o borrar su nombre como un valor de
atributo.
Supervisor. El supervisor da derecho un administrador de todos los derechos de atributos.
El esquema define algunos de slo lectura y de lectura pblica-atributos, tales como un enlace Volver, que
fideicomisarios no pueden modificar.
[Particin Derechos] permiten un administrador para realizar operaciones en una particin dada. [Particin
Derechos] siempre se asignan en el objeto raz de particin. Los siguientes son [Particin Derechos]:
Agregar particin. La particin Aadir derecho permite a un administrador para crear un lmite de
particin.
Eliminar particin. La particin Eliminar la derecha permite que un administrador para eliminar un
lmite de particin.
Administrar Rplicas particin. La particin en Administrar Rplicas derecho permite a un
administrador para agregar o eliminar una rplica de un servidor, marcas de tiempo de reparacin, o
ejecutar un DSRepair reparacin de base de datos local.
Mover particin subrbol. El subrbol particin Mover derecha permite que un administrador para
mover la particin.
Particin del Supervisor. El supervisor de reparto permite a un administrador derecho de todos los
derechos de particiones listadas anteriormente.
Herencia. Derechos NDS "heredan", o fluyen hacia abajo el rbol de la misma manera los derechos del sistema
de archivos NetWare hacen: los derechos concedidos en un recipiente se aplican a todas las entradas
subordinadas dentro del contenedor y los contenedores subordinados posteriores.
Por ejemplo, en la Figura 1, Sue y Joe tienen Busque [Derechos de entrada] a [Root] de forma
predeterminada. A travs de la herencia, Sue y Joe tambin tienen Navegar [Derechos de entrada] a unidad
organizativa = Ingeniera y a todas sus entradas subordinadas.
Figura 1: Herencia.
Un atributo ACL puede conceder derechos a un atributo que no est presente en la entrada. Esto permite a los
administradores conceder derechos, a travs de la herencia, en todas las entradas en un contenedor, incluso si
ese contenedor no se sostiene los mismos atributos que el contenedor.
Por ejemplo, un contenedor no puede tener un nmero de telfono de atributos, pero la concesin del
contenedor de la Leer[todos los atributos Derechos] en su entrada permite a todos los usuarios en el contenedor
para leer todos sus atributos, incluyendo el nmero de telfono de atributos.
NDS calcula los derechos heredados de una entrada por el control de la entrada de ACL atributo y luego
ascender en el rbol hasta que encuentra un acceso heredada de atributos (en la entrada de la raz de la
particin). En cada ACL atributo que encuentra, comprueba [filtros de derechos heredados]. Todos los derechos
no enmascarados por un [filtro de derechos heredados] fluyen hacia abajo del rbol.
En el ejemplo anterior del rbol, NDS calculara Joe.Marketing. Los derechos heredados de Novell por subir el
rbol hasta la comercializacin. Novell, que como una entrada raz de particin, tiene una ACL heredada. NDS
comprobara el acceso heredada atributo de los derechos Joe recibe por herencia.
La equivalencia de seguridad. La equivalencia de seguridad simplemente significa que una entrada tiene los
mismos derechos que otra entrada en el rbol de directorios. Antes de que el sistema puede calcular los
derechos de una entrada, debe determinar sus equivalencias de seguridad.
Cada entrada en el rbol de directorios es una seguridad equivalente a las siguientes entradas:
Como un ejemplo de cmo se calculan los derechos, asumir que en la Figura 1 Joe tiene Navegar [Derechos de
entrada] a Sam. Si Sue es una seguridad equivalente a Joe, Sue tambin tiene Explorar [Derechos de entrada]
a Sam.
Supongamos ahora que Sam ACL atributo no concede ningn Sue [Derechos de entrada] a Sam. Para calcular
los derechos de Sue, NDS comienza en O = Novell y baja por el rbol. A medida que baja por el rbol, NDS
busca ACL atributos de las entradas que encuentra. Se estima que de Sam Acceso atributo no da ninguna Sue
[Derechos de entrada] a Sam; Sin embargo, tambin se encuentra que Sue es una seguridad equivalente a Joe,
que tiene Navegar [Derechos de entrada] a Sam. Por lo tanto, Sue se pone en Examinar [Derechos de entrada]
a Sam a travs de seguridad equivalentes, no a travs de la herencia.
Derechos eficaces. Los derechos efectivos son la suma de todos los derechos de un usuario ha recibido a las
entradas de directorio. La privilegios eficaces consiguen operacin permite a un cliente a la lista de los derechos
efectivos de un usuario determinado, o fiduciario, cuenta con ms entradas de NDS. Estos derechos se reciben
de las siguientes fuentes:
Filtros de derechos heredados. NDS permite a los administradores controlar cmo se heredan los
derechos. Un tipo especial de Acceso valor del atributo llamado un filtro de derechos heredados (IRF) especifica
qu derechos pueden ser heredados de un objeto a las entradas siguientes en el directorio. El IRF (a veces
llamada una mscara herencia ) toma el lugar del nombre fiduciario en el atributo ACL ( "[Filtro de derechos
heredados]" aparece en el campo ID Fiduciario). Se puede aplicar a [Derechos de entrada], [todos los atributos
Derechos], o de los derechos de atributos especficos. La figura 2 muestra el mismo rbol que la Figura 1.
Objeto Holding
Si no hay ningn objeto en el Directorio tiene un filtro de derechos heredados, Sue tendra los siguientes
derechos efectivos:
El Delete derecho a Sam porque ACL de Sam concede este derecho a demandar
El Delete derecho de Novell y Engineering.Novell porque la comercializacin es parte del nombre
distinguido de Sue (esto hace que la seguridad equivalente a Sue Marketing)
El Cree derecho de Ingeniera y Sam porque Sue es una seguridad equivalente a Joe
La Navegar derecho a Sam, Ingeniera, y Novell porque Sue es una seguridad equivalente a la
comercializacin
Figura 3: Se hereda Derechos Filtro.
Supongamos, sin embargo, que Engineering.Novell tiene un filtro de derechos heredados que enmascara
el Eliminarderecha. Como muestra la Figura 3, Sue ya no tiene la Delete derecho de Ingeniera pero conserva
que a la derecha en Sam.
Heredados de ACL. Una ACL heredada es un atributo de cada entrada de la raz de la particin. Este atributo
se resumen los derechos efectivos que heredan fiduciarios con el fin de realizar operaciones en las
entradas. La ACL heredada atributo es vlida solamente en una entrada de la raz de la particin. A menos que
un filtro de derechos heredados est en uso, estos derechos efectivos se otorgan a todas las entradas en la
particin. Tener este atributo en el nivel raz de la particin permite NDS para calcular los derechos efectivos
para cada entrada de la particin sin tener que caminar toda esa porcin del rbol de
directorios. Heredados ACL no son visibles para los usuarios o clientes.
Cuando un cliente crea una nueva particin, NDS crea una ACL heredada como un atributo multivalor unido a la
entrada de la raz de la particin. NDS actualiza estas ACL cuando cambia el rbol de directorios. En la Figura
4, Ingeniera, Marketing, y Provo han heredado ACL atributos porque son entradas raz de la particin.
los derechos de gestin son importantes porque un administrador que puede modificar la ACL de una entrada
se puede controlar lo que otros pueden hacer entradas a dicha entrada. Las siguientes operaciones de NDS
requieren derechos de administracin para completar:
Para modificar el esquema, un administrador debe tener derechos de gestin a la particin raz del
Directorio.
operaciones de particin requiere que el administrador tiene derechos de gestin sobre la particin de
destino.
Copia de seguridad requiere que el administrador tiene derechos administrados en la entrada que son
sostenidos.
Adicin de una entrada a un atributo de escritura gestionados en otra entrada requiere que se agregan
los derechos de gestin a la entrada.
Atributos escritura Gestionado. Escribir gestionados atributos son los atributos cuyos valores son los nombres
completos de las entradas en el rbol de directorios. Para aadir o eliminar un nombre de entrada a
una escritura gestionados atributo, un administrador debe tener derechos de gestin a la que se aade la
entrada; Sin embargo, el administrador no necesita derechos sobre el objeto que est siendo modificado.
Iguales seguridad
Membresa de grupo
Los privilegios ms altos (no se utiliza)
La membresa perfil
Seguimiento y registro
NDS proporciona caractersticas de seguimiento y de registro accionados por ciertos eventos NDS. Seguimiento
y registro puede ser configurado para proporcionar informacin o para desencadenar utilidades de
administracin basadas en eventos definidos por el usuario.
El DSTrace NLM permite a los administradores establecer grupos de eventos que pueden rastrearse en la
consola del servidor, registrados en un archivo, o ambos. DSTrace utiliza el sistema de eventos de NDS para
inscribirse en los eventos especificados por el usuario y mostrar los datos en la pantalla de traza (o archivo de
registro) a lo solicitado. DSTracepantallas o en los registros de texto asociado con los eventos; sin embargo,
algunos eventos internos contienen texto y no pueden ser localizados, ya que el texto est incrustado dentro de
s mismo DS.NLM. Estos eventos slo se utilizan para fines de depuracin internas.
Varios archivos de datos estn asociados con DSTrace . La primera es SYS: SYSTEM \ DSTRACE.CFG. Este
archivo contiene la lista de los grupos de eventos conocidos en este servidor, los grupos que estn actualmente
activos (eventos en los grupos activos sern registrados para, y el texto que se muestra slo para aquellos
eventos), y la informacin del registro de control de archivos, como el nombre del archivo de registro , el nombre
del archivo de registro de edad, tamao del archivo de registro, y si es o no el archivo de registro debe estar
habilitado en absoluto. Varios grupos predeterminados se incluyen en un archivo DSTRACE.CFG emular todos
los "grupos" existentes definidos por el "DSTRACE = Ajuste" comando de la consola. En este momento hay 26
posibilidades diferentes vlidos que debe darse a este comando conjunto, todos los cuales se pueden dar en
cualquier combinacin. Grupos definidos por el usuario ilimitado son posibles.