Autor: Tomasz Wolniewicz (twoln_at_mat.uni.torun.pl)
Data: Tue 28 Mar 1995 - 19:42:16 MET DST
Wojtek Bogusz (bogusz_at_fuw.edu.pl) wrote:
: Czesc,
: Czy ktos w "Polskim Internecie" prowadzi baze danych uzytkownikow w
: oparciu o X.500 ?
W "Polskim Internecie" funkcjonuje baza X.500 dla srodowiska akademickiego.
Baza ta jest oparta na danych zewnetrznych, pochodzacych z najrozniejszych
zrodel (spisy osobowe, dane z Informatora Nauki Polskiej). Dane sa mocno
okrojone, rzadko zawieraja np. e-mail.
: Ostatnio zastanawialem sie czy nie dalo by sie zrobic takiej
: rozproszonej bazy uzytkowinkow tak aby kazdy mogl swoje dane
: modyfikowac sam kontaktujac sie z lokalnym w danej domenie serwerem (i
: opierajac sie np. na autentykacji passwordem UNIXowym). Potem
: wszystkie zmiany by sie propagowaly do rozproszonego systemu majacego
: np. gateway do WWW. Ot, takie mrzonki... Czy ktos sie tym juz klopotal ?
To nie jest oczywiscie zly (a bardzo naturalny) pomysl. Jest jednak sporo
problemow.
1) Hasla w X.500 sa przechowywane prawie otwarym tekstem,
administrator bazy X.500 moze bez klopotu je zlamac;
2) overload administacyjny zwiazany z taka zabawa jest bardzo znaczny,
X.500 nie jest najprostsze w administrowaniu, a jego serwer zabiera
sporo pamieci operacyjnej,
Tym niemniej to sa tylko wymowki, najwazniejszym problemem
wydaje mi sie pogodzenie bazy uzytkownikow internetu z funkcjonujaca baza
o charakterze spisu adresowego calych instytucji. X.500 nadaje sie bardzo
dobrze do odwzorowywania struktury instytucji, chcialoby sie, aby baza taka
stala sie podstawa do tworzenia spisow osobowych instytucji. W zwiazku z
tym planowane sa dzialania majace na celu powiazanie istniejacych na
uczelniach baz danych z X.500. W bazie tego typu na ogol chce sie miec w
miare spojna strukture i puszczenie tego na zywiol (pozwalanie uzytkownikom
na zmiane informacji) nie jest najlepszym pomyslem. Baza "internetowa"
powinna byc jakos podpieta do funkcjonujacego pilota X.500, pytanie jak.
Funkcjonujacy pilot X.500 bazuje na strukturze administracyjnej, ta nie
zawsze jest zgodna ze struktura domenowa. Mozna rozwazyc podpiecie sie
do galezi o=Internet i dalej isc domenami, konczac na poszczegolnych
uzytkownikach, w ten sposob mielibysmy de facto osobna galaz drzewa, ktora
dalaby sie dosyc latwo wypelnic danymi, jako ze sa one juz obecne na
komputerach. Klopot tylko w tym, ze dane wielu osob juz sa w innej galezi
drzewa, z drugiej stony dane wielu innych (np. studentow) pewnie nigdy sie
tam nie znajda. Mysle jednak, ze pojscie droga galezi Internetowej jest
jedynym realnym pomyslem.
Przechodzac do konkretow musimy rozwazyc kilka spraw:
1) Miejsce podczepieienia galezi drzewa
2) Sposob organizacji drzewa (czy uzywac struktury domenowej, mysle ze tak)
3) Sposob wpisywania uzytkownikow (czy jako atrybut wyrozniony stosowac
login, czy imie i nazwisko -- to pierwsze zapewnia jednoznacznosc i jest
chyba naturalniejsze w sytuacji, o ktorej mowimy)
4) Czy uzytkownicy maja zmieniac swoje entry i jezeli tak to w jakim
stopniu (jako administrator UNIXowy wiem, ze lubie miec przynajmniej
umiarkowany porzadek w /etc/passwd, ale co kto pisze w swoim .plan jest mi
obojetne, podobnie w X.500 mozna by udostepniac pewne atrybuty; moga byc
problemy z interfejsami do zmiany zawartosci bazy, bo te co sa nie zawsze
na 100% dzialaja)
5) Mechanizm wprowadzania hasel (jak mowilem hasla w X.500 nie sa
bezpieczne, ponadto nie mozna ich wziac zywcem z zacryptowanej formy, bo
X.500 takowej nie uzywa (oczywiscie mozna zahackowac zrodla jak sie chce).
6) Jaki bylby system rozdzialu i administracji danych ( Nie mozna miec zbyt
wielu serwerow, bo przeszukanie poddrzewa jest bardzo malo efektywne
(aktualnie prowadzone sa prace nad wprowadzeniem indeksowania, ale to
jeszcze kawal drogi) trzeba by zatem miec serwery dla domen dwu lub
trzy-czlonowych, z drugiej strony administrowanie danymi powinno spasc na
administratorow domen najnizszego poziomu. Jest to oczywiscie mozliwe, ale
wymaga sporo dobrej woli od duzej ilosci administratorow, klopot jednak
polega na tym, ze ktos musi uruchomic u siebie serwera i poswiecic spory
kawalek pamieci operacyjnej).
7) Jaki bylby zwiazek galezi, o ktorej mowimy z galezia "administracyjna"
oraz jakie bylyby zwiazki z wielokrotnymi wystapieniami tych samych
uzytkownikow na wielu domenach (X.500 zna mechanizm aliasow, ale
aliasowanie do hasel w drzewie 'ogranizacyjnym lub odwrotnie wprowadzaloby
klopoty i balagan, trzeba pewnie zyc z podwojna informacja i ewentualnie
uzywac atrybutow seeAlso na wskazanie do innego miejsca. Oczywiecie pojawia
sie ogromny problem zsynchronizowania obu drzew. Pojawianie sie tego samego
uzytkownika w wielu domenach tez bedzie problemem).
To tylko kilka potencjalnych problemow dla unaocznienia zlozonosci
sytuacji, mysle ze warto o tym pomowic, zobaczyc jak duze jest
zainteresowanie i ewentualnie cos wystartowac.
Tomasz
-- Tomasz M. Wolniewicz twoln_at_mat.uni.torun.pl Faculty of Mathematics and Informatics tel: +48-56-26017 Nicholas Copernicus University, Torun, Poland fax: +48-56-28979
To archiwum zostało wygenerowane przez hypermail 2.1.7 : Wed 19 May 2004 - 15:50:23 MET DST