Рекомендации семейства X.500

Основные понятия и идеи рекомендаций семейства X.500

Рекомендации семейства X.500 описывают службу директорий. Среди возможностей, предоставляемых этой службой, обычно выделяют дружественное именование (обращение к объектам по именам, удобным с точки зрения человека) и отображение имен в адреса (динамическое связывание объекта и его расположения - необходимое условие поддержки "самоконфигурируемости" сетевых систем).

Основные понятия службы директорий зафиксированы в рекомендациях X.501 " Служба директорий: модели" [ 50 ] и X.511 " Служба директорий: абстрактное определение сервиса" [ 52 ] .

Множество систем, обеспечивающих функционирование службы директорий, вместе с содержащейся в них информацией можно представлять как единое целое - Директорию с большой буквы.

Информация, доступ к которой возможен посредством Директории, называется Информационной Базой Директории . Она обычно используется для облегчения взаимодействия таких сущностей, как объекты прикладного уровня, люди, списки рассылки и т.д., а также для получения сведений о них.

Предполагается, что Информационная База имеет древовидную структуру, называемую Информационным Деревом Директории . Вершины этого дерева, отличные от корня, составляют элементы Директории, в которых хранится информация об объектах .

У каждого элемента есть однозначно идентифицирующее его различительное имя. В пределах поддеревьев Информационного Дерева могут использоваться относительные различительные имена.

Природа объектов, информация о которых хранится в Директории, произвольна. Единственное требование к ним состоит в идентифицируемости (возможности именования).

Объекты объединяются в классы. Каждый объект должен принадлежать по крайней мере одному классу.

Элементы Директории могут быть составными, объединять подэлементы, содержащие информацию об отдельных аспектах объектов.

Каждый элемент состоит из атрибутов, имеющих тип и одно или несколько значений. Набор атрибутов зависит от класса объекта.

Некоторые из концевых узлов (листьев) Информационного Дерева могут представлять собой синонимы, содержащие альтернативное имя и указатель на элемент с информацией об объекте.

Служба директорий предоставляет две группы операций:

• опрос;
• модификацию.

В число операций опроса входят:

• чтение значений атрибутов элемента Директории ;
• сравнение значения атрибута элемента Директории с заданной величиной (полезно, например, для проверки пароля без предоставления доступа к хранимому паролю);
• выдача списка ( перечисление ) непосредственных преемников заданного узла Информационного Дерева ;
• поиск и чтение элементов, удовлетворяющих заданным фильтрам (условиям), в заданных частях Информационного Дерева ;
• отказ от незавершенной операции опроса (например, если она выполняется слишком долго).

В группу операций модификации входят:

• добавление нового (концевого) узла Информационного Дерева ;
• удаление концевого узла Информационного Дерева ;
• модификация элемента Директории с возможным добавлением и/или удалением атрибутов и их значений;
• модификация относительного различительного имени элемента или перемещение узла Информационного Дерева к другому предшественнику.

Рекомендации X.501 описывают три возможные схемы управления доступом к Директории: базовую, упрощенную и основанную на правилах; последняя может реализовывать принудительное (мандатное) управление доступом с использованием меток безопасности. Решения о предоставлении доступа принимаются с учетом существующей политики безопасности.

Разумеется, предусмотрена аутентификация системных агентов и пользователей, а также источников данных Директории.

Таковы основные понятия и идеи службы директорий, зафиксированные в семействе рекомендаций X.500 и необходимые нам для последующего изложения.