Московский государственный университет путей сообщения
Опубликован: 13.04.2006 | Доступ: свободный | Студентов: 850 / 83 | Оценка: 4.41 / 3.73 | Длительность: 24:53:00
Лекция 2:

Принципы построения и основные компоненты z/OS

< Лекция 1 || Лекция 2: 123 || Лекция 3 >

Сервисы поддержки распределенных вычислений

Сервисы поддержки распределенных вычислений обеспечивают взаимодействие приложений и управление данными в распределенных вычислительных системах на основе промышленного стандарта DCE 1.1 (Distributed Computing Environment). Фактически DCE представляет собой сетевую операционную систему, обслуживающую работу клиент-серверных приложений в гетерогенных средах (включая IP и SNA сети). В составе z/OS в рамках рассматриваемых сервисов представлено три базовых элемента.

Базовые службы DCE (DCE Base Services) предназначены для разработки и поддержки выполнения клиент-серверных приложений и включают:

  • службу вызова удаленных процедур (RPC, Remote Procedure Call) - взаимные вызовы программ, работающих на различных платформах, в формате вызова локальных процедур;
  • службу каталога (Directory Services) - ведение общего каталога имен всех ресурсов распределенной системы;
  • службу времени (Distributed Time Services) - синхронизация часов на всех узлах распределенной системы;
  • службу безопасности (Security Services) - идентификация и аутентификация пользователей, приложений и узлов распределенной системы.

Служба поддержки распределенных файлов DFS (Distributed File Service) обеспечивает приложениям прозрачный защищенный доступ к файлам, размещенным на различных узлах сети. Фактически DFS объединяет файловые системы различных ОС в единую глобальную файловую систему, доступную для множества пользователей сети. Одним из новшеств z/OS стало появление файловой системы zFS (zSeries File System), которая может быть использована в дополнение к файловой системе HFS UNIX. zFS, используя аналогичную HFS структуру, обеспечивает значительное увеличение производительности и устойчивости к системным сбоям. Кроме того, в рамках DFS реализована поддержка SMB сервера для доступа клиентов ОС Windows к наборам данных z/OS.

Сетевая файловая система NFS (Network File System) выполняет функции файл-сервера для рабочих станций, персональных компьютеров и других авторизованных систем в сети TCP/IP. NFS-сервер дает возможность удаленным пользователям (клиентам) получить доступ к наборам данных z/OS и файлам UNIX-сервиса, которые могут быть смонтированы как часть файловой системы клиента.

Службы безопасности

Службы безопасности включают широкий набор функций контроля доступа к системным ресурсам, содержат средства настройки, аудита и управления защитой от несанкционированного доступа к данным в распределенных и централизованных средах, а также обеспечивают эффективное шифрование данных "на лету" благодаря наличию криптографического сопроцессора. Службы безопасности состоят из двух групп элементов: сервера защиты и криптографических сервисов.

Сервер защиты (Security Server) является опциональным интегрированным элементом, служащим для конфигурирования и управления доступом к ресурсам z/OS, и состоит из следующих компонентов:

  • Средства управления доступом к ресурсам RACF (Resource Access Control Facility) являются базовым звеном сервера защиты и обеспечивают централизованное управление доступом к ресурсам системы на основе авторизации пользователей и приложений в многомашинных и мультисистемных средах. С помощью RACF администратор осуществляет регистрацию всех пользователей системы, настраивает индивидуальные и групповые права и проводит аудит по использованию тех или иных ресурсов (устройств, данных, системных и прикладных программ).
  • Средства сетевой защиты (Firewall Technologies) предназначены для обеспечения защиты от внешних атак в IP-сети (совместно с коммуникационным сервером), включая поддержку FTP proxy, демона SOCKS, встроенных процедур шифрования на основе алгоритма DES, интерфейса администратора для настройки и конфигурирования.
  • Сервер LDAP обеспечивает защищенный доступ пользователей к сетевым приложениям на основе стандарта LDAP (Lightweight Directory Access Protocol). Этот индустриальный стандарт служит для создания и ведения каталога пользователей масштаба предприятия, используемого для получения общей информации о пользователях и их атрибутах при аутентификации. LDAP-сервер применяет компонент System SSL, входящий в состав криптографических сервисов.
  • Служба сетевой аутентификации (Network Authentication Service) осуществляет аутентификацию пользователей на основе стандарта Kerberos Version 5, с использованием криптографических ключей. Включает программный интерфейс API, известный пользователям Internet под названием GSS-API.
  • Сервер защиты DCE (DCE Security Server) служит для аутентификации пользователей и серверов сети при использовании клиент-серверных приложений в распределенных системах на основе тесной интеграции с RACF.
  • Служба PKI (Public Key Infrastructure Services) служит для создания инфраструктуры общих ключей и авторизации сертификатов для внешних и внутренних пользователей на основе Web-интерфейса.
  • Дополнительные криптографические модули OCEP (Open Cryptographic Enhanced Plug-ins) реализуют прикладной интерфейс (API) для управления серверными сертификатами и защиты серверных ключей.

Отметим, что сервер LDAP, служба сетевой аутентификации, служба PKI и OCEP являются частью базового программного обеспечения z/OS и не требуют специального заказа и установки сервера защиты. В качестве опционального элемента, расширяющего возможности шифрования данных на основе 64-разрядных ключей и алгоритма TDES для службы сетевой аутентификации в состав z/OS входит Security Server Network Authentication Security Level 3.

Криптографические сервисы (Cryptographic Services) являются базовым элементом z/OS. С их помощью реализуют различные методы шифрования данных для обеспечения защиты хранящейся в системе и передаваемой по сети информации от несанкционированного использования. Криптографические сервисы в базовой конфигурации не поддерживают ключи размером более 56 бит и включают следующие компоненты: ICSF, OCSF и System SSL.

Опциональный компонент OCSF Security Level 3 расширяет стандартные возможности шифрования данных за счет использования 64-разрядных битных ключей и алгоритмов TDES, DES, RC2/RC4/RC5.

Опциональный компонент System SSL Security Level 3 обеспечивает конфиденциальность обмена данными между клиентом и сервером на основе протокола SSL и шифрования с использованием ключей длиной свыше 64 бит на основе алгоритмов TDES, AES, RC2/RC4.

Средства поддержки криптографических сервисов представлены в главе 4.

Сервисы поддержки электронного бизнеса

В настоящее время ядро информационных систем в сфере электронного бизнеса строится на основе Web-технологий. z/OS включает в качестве базового элемента масштабируемый высокопроизводительный защищенный HTTP сервер (IBM HTTP Server), обеспечивающий поддержку множества тонких клиентов, использующих стандартные браузеры для доступа к корпоративным данным. Помимо основных функций, IBM HTTP сервер поддерживает протокол SSL, динамический кэш страниц, выполняет функции proxy-сервера, ведет статистику обращений к Web-узлу.

В состав сервисов поддержки электронного бизнеса включен также базовый элемент текстового поиска (Text Search), выполняющий функции поисковой машины для баз данных и Web. Поисковая машина обеспечивает поддержку сложных запросов для различных национальных языков1Русский язык не поддерживается., использует алгоритмы нечеткого поиска, ранжирует результаты поиска по релевантности. Кроме того, в состав Text Search входит компонент NetQuestion Solution, производящий полнотекстовый поиск документов, хранящихся в операционной системе z/OS.

Сервис печати

Для управления печатью и организации сетевого доступа к принтерам z/OS служит опциональный элемент сервер печати Infoprint Server. Сервер печати состоит из следующих компонентов:

  • Print Interface - принимает запросы вывода на печать от системных сервисов UNIX и от удаленных систем в IP-сети, формирует выходные наборы данных печати в спуле JES2 или JES3 и, наконец, последовательно выводит данные на локальный или удаленный принтер;
  • Windows Client - клиент Windows, используемый для передачи документов и атрибутов заданий серверу печати z/OS;
  • IP Printway - передает наборы данных печати из спула JES2 или JES3 на удаленные принтеры в IP или SNA сети;
  • NetSpool - переадресует потоки вывода на печать, формируемые VTAM-приложениями, и размещает их в спуле JES2 or JES3 для последующей печати.

Сервер печати поддерживает множество различных форматов представления документов, включая PostScript, PCL, ASCII, а при установке дополнительных расширителей - PDF, XML и SAP OTF.

Сервис электронных публикаций

Для создания и распространения электронных документов IBM использует собственный формат, получивший название BookManager по имени семейства соответствующих программных продуктов. В составе z/OS представлен полный комплект электронной документации в указанном формате, а также три компонента для работы с ней:

  • BookManager BUILD - опциональный элемент, служащий для создания электронных документов в формате IBM BookManager;
  • BookManager READ - базовый элемент, служащий для просмотра электронных документов, поддерживает функции поиска;
  • BookManager BookServer - базовый элемент, преобразующий документы, созданные в формате BookManager, в формат HTML для последующего отображения через Web-браузер.

Следует отметить, что использование графических иллюстраций в электронных документах основано на возможностях компонента GDDM.

< Лекция 1 || Лекция 2: 123 || Лекция 3 >
Александр Качанов
Александр Качанов
Япония, Токио
Оксана Пагина
Оксана Пагина
Россия, Москва