IN00106C

6 El servicio de directorio
125
6.1 El Directorio de OSI
6.1.1 Introduccin El Directorio es una aplicacin distribuida definida dentro de la arquitectura de sistemas abiertos (OSI) para dar soporte a la asignacin de nombres, almacenamiento, bsqueda, catlogo y gestin de informacin relacionada con objetos OSI. En particular, un objeto OSI puede ser un usuario humano, un proceso de aplicacin, un nodo de red, etc. La palabra Directorio siempre aparecer iniciada con mayscula cuando nos refiramos al sistema distribuido OSI. Por el contrario, aparecer iniciada con minscula cuando nos refiramos al trmino general de catlogo o gua. Se debe mencionar que las traducciones oficiales existentes al castellano utilizan la palabra Gua para referirse al trmino ingls Directory. Sin embargo, aqu se opta por el uso del trmino Directorio. Una de las principales misiones del Directorio es la de proveer mecanismos para construir y manipular nombres amigables (esto es, fciles de manejar y recordar por usuarios humanos) para referirse a los distintos objetos OSI. Cualquier objeto OSI tiene asignado un nombre nico de Directorio que lo distinguir de otros objetos, y que permite a las entidades OSI acceder a informacin sobre dicho objeto almacenada en el Directorio utilizando un nombre distintivo como ndice.
los autores, 1998; Edicions UPC, 1998. Quedan rigurosamente prohibidas, sin la autorizacin escrita de los titulares del "copyright", bajo las sanciones establecidas en las leyes, la reproduccin total o parcial de esta obra por cualquier medio o procedimiento, comprendidos la reprografa y el tratamiento informtico, y la distribucin de ejemplares de ella mediante alquiler o prstamo pblicos, as como la exportacin e importacin de ejemplares para su distribucin y venta fuera del mbito de la Unin Europea.
126
Aplicaciones distribuidas abiertas
Aunque el Directorio puede verse como una base de datos de uso general, ste ha sido diseado pensando en los requerimientos de directorio necesarios en las aplicaciones OSI y en los servicios de telecomunicacin. No obstante, el Directorio puede ser implementado sobre una base de datos de uso general. A nivel de transacciones, el servicio de Directorio se caracteriza porque el nmero de interrogaciones (lectura de informacin) al sistema siempre ser muy superior al nmero de actualizaciones (escritura de informacin). El Directorio asla a los usuarios de los cambios frecuentes de una red con la introduccin de nombres para sus componentes. De esta forma, por ejemplo, una mquina o una entidad de aplicacin pueden identificarse mediante un nombre nico y permanente que lo independice de una direccin fsica de red o de una direccin de presentacin respectivamente. Al mismo tiempo, el Directorio proporciona una visin ms amigable de la red en cuanto los nombres son ms manejables por los humanos que las direcciones fsicas. El Directorio se encuentra definido en la Recomendacin ITU-T X.500 y en el estndar internacional ISO/IEC 9594 [DIR0194]. Ambos son documentos tcnicamente alineados, esto es, su contenido es idntico.
6.1.2 Visin general del Directorio El Directorio es un conjunto de sistemas abiertos que cooperan para establecer una base de datos lgica con informacin sobre objetos y entidades que componen o utilizan el mundo OSI. Los usuarios del Directorio, incluyendo personas y programas de ordenador, pueden leer y modificar la informacin, o parte de ella, almacenada en el Directorio, siempre y cuando tengan permiso para realizar tal accin. Cada usuario del Directorio utiliza un agente de usuario de Directorio (DUA, Directory User Agent) para acceder a los servicios proporcionados por el sistema (Fig. 6.1).
Punto de acceso Usuario DUA El Directorio
Fig. 6.1 Acceso al Directorio
La informacin almacenada en el Directorio se denomina de una forma general Base de informacin del directorio (DIB, Directory Information Base). Esta informacin se encuentra distribuida a lo
127
largo de los sistemas que forman el Directorio global. En particular, existirn varios agentes de sistema de Directorio (DSA, Directory System Agent) encargados de proporcionar acceso a los usuarios (a travs de los DUA) a las diferentes partes del DIB (Fig. 6.2). Los DSA cooperarn entre ellos para poder proporcionar a los usuarios la visin de un Directorio global aunque el usuario acceda al sistema a travs de un nico punto (normalmente el ms prximo a l).
El Directorio DSA
Usuario
DUA
DSA
DSA
DUA
Usuario
DSA
DUA
Usuario
Fig. 6.2 Visin global del Directorio
Los agentes del sistema de Directorio forman diferentes dominios de gestin encargados de administrar partes del DIB siguiendo directrices funcionales u organizativas. As, son las distintas autoridades que administren el Directorio quienes impongan control de acceso sobre su parte de informacin. Desde el punto de vista de acceso y cooperacin entre los sistemas que forman el Directorio, ste proporciona un conjunto estndar de servicios abstractos y de protocolos a sus usuarios. La especificacin abstracta del servicio de Directorio incluye la descripcin formal de servicios para la modificacin y recuperacin de informacin. Estos servicios son consumidos por los usuarios a travs de los DUA. Tambin, y aparte de los servicios propios de usuario, el Directorio incluye servicios y protocolos para la gestin y distribucin interna del sistema de Directorio.
6.1.3 La base de informacin del Directorio (DIB) De forma general, la base de informacin del Directorio (DIB) est formada por informacin sobre objetos. Tcnicamente, la DIB est compuesta por entradas (entries) de directorio, las cuales consisten en una coleccin de informacin sobre un objeto. Cada informacin en particular sobre un
128
objeto se denomina atributo (attribute) y se caracteriza mediante un tipo de atributo y uno o varios valores de ese tipo. Los tipos de atributos que pueden aparecer en una entrada depender de la clase (class) de objeto que describe la entrada. Algunos de los atributos ms tpicos se enumeran en la siguiente tabla.
Tabla 6.1 Diferentes tipos de atributos X.500
Tipo de atributo businessCategory commonName countryName description facsimileTelephoneNumber iSDNAddress localityName objectClass organizationName physicalDeleiveryOfficeName postalAddress postalCode postOfficeBox preferredDeliveryMethod
Tipo de atributo presentationAddress registeredAddress roleOccupant serialNumber stateOrProvinceName streetAddress supportedApplicationContext surname telephoneNumber teletexTerminalNumber telexNumber title X121Address
Las entradas de la DIB estn organizadas jerrquicamente en modo de rbol formando el rbol de informacin del Directorio (DIT, Directory Information Tree). Cada vrtice del DIT representa una entrada para un objeto particular, donde entradas de alto nivel cercanas a la raz suelen describir objetos como pases u organizaciones, mientras que entradas de bajo nivel en el rbol suelen describir objetos como personas o aplicaciones. Existen dos tipos de entradas, aqullas que contienen la descripcin de un objeto, llamadas entradas de objeto (object entries), y aquellas que contienen un alias a una entrada de objeto, llamadas entradas de alias (alias entries). Las entradas de alias se utilizan como base para la construccin de nombres alternativos para las entradas de objeto. La figura 6.3 muestra la relacin entre los conceptos de rbol de informacin de Directorio, entrada objeto, entrada alias, atributos, tipo de atributo y valores de atributo. Cada entrada tiene un nombre distintivo (DN, Distinguished Name) el cual identifica de forma nica y no ambigua la entrada dentro del DIT. Sin embargo, un objeto puede tener varios nombres
129
distintivos (DN), esto es, el nombre correspondiente a la entrada objeto y tantos nombres como entradas alias existan para dicha entrada objeto.
DIT
entrada de objeto entrada de alias
Entrada
AA AA AAAA AAAAAAAAAA AAAA AAAAAAAAAAAA AA
AA AAAA AAAAAA AAAAAA
Atributo
AAAAAAAA AAAA AAAAAAAA AAAAAAAA AAAAAAAA AAAA AAAAAAAA AAAAAAAA AAAA tipo valor(es) AAAAAAAA AAAAAAAA AAAA AAAA AAAAAAAA AAAAAAAA AAAAAAAA AAAA AAAAAAAA
Fig. 6.3 Estructura del DIT y sus componentes
6.1.4 El nombre distintivo (DN) Un nombre distintivo es una construccin lingstica amigable (que significa cercana o fcil de manipular por las personas) que identifica de forma nica y no ambigua una entrada del Directorio. El DN se utiliza por los usuarios como ndice para acceder a la informacin referente a un objeto almacenado en la DIB.
atributo distintivo (RDN) Entrada atributo

AAAA AA AA AAAA AA AAAA AAAA AA AAAAAA AAAAAA AAAA AA AAAA AA AAAAAA
atributo
Atributo
AAAA AAAAAAAAAAAAAAAAA A AAAA AAAA AAAA AAAA A AAAA AAAAAAAA AAAA AAAA AAAA tipo valor(es) A AAAA AAAA AAAA AAAA AAAAAAAA AAAA AAAA AAAA AAAA AAAAAAAAAAAAAAAAAAAAA A
Fig. 6.4 Estructura de una entrada y del RDN asociado
Un DN est formado por una secuencia de nombres distintivos relativos (RDN, Relative Distinguished Name). Cada entrada en el DIT define un RDN que generalmente coincide con un
130
atributo, denominado atributo distintivo, de la entrada (Fig. 6.4). El RDN (o atributo distintivo en cuestin) se fija en la creacin de la entrada. Formalmente, un RDN est compuesto por una lista de de atributos distintivos, pero en la prctica, los RDN se construyen generalmente con uno slo. Por simplicidad, se ha considerado el caso ms comn. As, un nombre (DN) ser la secuencia jerrquica de nombres relativos de cada una de las entradas que aparecen en una rama del rbol (DIT). La figura 6.5 muestra un ejemplo de DIT en el que aparecen los RDN asociados a cada entrada.
raz
C=ES
C=US
O=UPC
L=Los Angeles
OU=CTT
OU=DAC CN=John Jones
O=Graphic Services
CN=Mquina Fax
CN=Jos Fernndez
CN=Laser Printer
CN=Fax Machine
Fig. 6.5 Ejemplo de DIT
La figura 6.5 tambin muestra ejemplos de algunos tipos de atributos usados (pas -C-, organizacin -O-, unidad organizativa -OU-, localidad -L-, nombre comn -CN-) como atributos distintivos para diferentes objetos. Por ejemplo, el nombre: { C=US, L=Los Angeles, O=Graphic Services, CN=Laser Printer } identifica una entidad de aplicacin Laser Printer que en su DN tiene un atributo geogrfico de localidad. La persona civil "John Jones" cuyo nombre es: { C=US, L=Los Angeles, CN=John Jones } tiene el mismo atributo geogrfico en su nombre. En el caso de una estructuracin del DIT siguiendo un esquema puramente organizativo, vese el ejemplo de "Jos Fernndez", que se trata de una persona afiliada a una unidad organizativa "DAC" dentro de la organizacin "UPC" situada en Espaa. Su nombre distintivo ser entonces:
131
{ C=ES, O=UPC, OU=DAC, CN=Jos Fernndez } Por ltimo, se debe mencionar que la raz del DIT tiene como nombre distintivo el valor nulo, esto es, una secuencia nula de RDN y se representa como el nombre vaco: {}
6.1.5 Dominios de gestin del Directorio La asignacin de nombres conlleva el cumplimiento de un esquema que determina la seleccin de los nombres para las entradas a medida que se van creando stas. La responsabilidad del cumplimiento de dicho esquema es de varias autoridades cuya relacin jerrquica viene fijada por el DIT. En realidad, la jurisdiccin para la asignacin de nombres se va delegando hacia abajo en el rbol, desde autoridades superiores a subordinadas. Por ejemplo, y volviendo a la figura 6.5, la autoridad responsable dentro de la UPC asigna nombres a las entradas que ella cree, por ejemplo el DAC. Entonces, la UPC delega a la autoridad dentro del DAC la asignacin de nombres para sus entradas subordinadas (esto es, Jos Fernndez, etc.). Se denomina dominio de gestin del Directorio (DMD, Directory Management Domain) a la porcin del DIT que se encuentra bajo la responsabilidad de cierta autoridad. Dentro de un dominio se sigue el esquema para la gestin del espacio de nombres especificado por dicha autoridad.
raz
ADMD
C=ES
C=US
ADMD
PRMD O=UPC OU=CCT OU=DAC CN=John Jones L=Los Angeles O=Graphic Services
CN=Mquina Fax
CN=Jos Fernndez PRMD
CN=Laser Printer PRMD
Fig. 6.6 Ejemplo de dominios de gestin
Dependiendo de las autoridades y su naturaleza, se distinguen dos tipos de dominios de gestin:
132
Pblicos o administrativos (ADDMD, ADministration Directory Management Domain). Son dominios gestionados por organismos o administraciones pblicas. Por ejemplo, las PTT (proveedores pblicos de telecomunicaciones) nacionales, que en el caso de Espaa es Telefnica. Privados (PRDMD, PRivate Directory Management Domain). Son dominios gestionados por organizaciones privadas. Por ejemplo, un banco, gran empresa o institucin.
La figura 6.6 muestra un ejemplo de estructuracin del DIT en dominios
6.1.6 Servicios del Directorio Todos los servicios definidos por el Directorio son suministrados en respuesta a peticiones de usuarios a travs de DUA (Fig. 6.1). Existen peticiones que permiten la interrogacin y la modificacin del Directorio. Adems, tambin existen servicios que permiten el establecimiento y la liberacin de una unin temporal entre un usuario y el Directorio a travs de un punto de acceso al Directorio.
6.1.6.1 Servicios de Interrogacin Existen cinco servicios diferentes: servicios de lectura (Read), comparacin (Compare), catlogo o listado (List), bsqueda (Search) y abandono (Abandon). A continuacin se describe brevemente cada una de las operaciones que realizan los servicios. Leer (Read): Operacin de lectura de algunos o todos los atributos de una entrada especfica. Comparar (Compare): Operacin de comparacin de un atributo especfico de una entrada especfica con un valor aportado en la operacin. Listar (List): Operacin para listar todos los RDN de todas las entradas subordinadas a una entrada especfica. Buscar (Search): Operacin que hace al Directorio iniciar una bsqueda de todas las entradas dentro de cierta porcin del DIT que satisfacen un filtro. La informacin retornada para cada entrada puede ser algunos o todos los atributos de cada entrada (como en leer). Abandonar (Abandon): Operacin que hace al Directorio abandonar la peticin de interrogacin en curso. El Directorio cesar el procesado de la peticin en curso y descartar cualquier posible resultado obtenido hasta el momento.
133
6.1.6.2 Servicios de modificacin Existen cuatro servicios diferentes, servicios de aadir entrada (add entry), borrar entrada (remove entry), modificar entrada (modify entry) y modificar DN (modify DN). A continuacin se describe brevemente cada una de las operaciones que realizan los servicios. Aadir entrada (add entry): Operacin que aade una nueva entrada objeto o alias al DIT. Una nueva entrada slo se puede aadir a una hoja del DIT, esto es, bajo un DN especfico que determine una entrada final (sin subordinados). Borrar entrada (remove entry): Operacin que borra una entrada final (sin subordinados) del DIT. Modificar entrada (modify entry): Operacin que hace al Directorio iniciar una secuencia de cambios sobre una entrada especfica. En la operacin siempre se realizan todos los cambios o no se realiza ninguno. Los cambios que se pueden realizar son la adicin, borrado o cambio de atributos completos o valores de atributos. Modificar DN (modify DN): Operacin para ordenar un cambio de nombre distintivo relativo de una entrada (objeto o alias) especfica, o para mover una entrada especfica hacia un nuevo punto superior en el DIT. Ntese que cambiar un RDN implica un cambio en todos los DN que contuvieran dicho RDN. As, si la entrada a modificar el nombre es final, entonces slo se ve modificado un DN, el de la propia entrada. Sin embargo, en el caso de que tuviera subordinados, todos los subordinados tambin se veran modificados.
6.1.6.3 Servicios de establecimiento y liberacin de unin Estrictamente, este no es un servicio que pertenezca al Directorio sino que es un servicio general para todas las aplicaciones OSI. En el caso del Directorio, un usuario a travs de su DUA inicia un establecimiento de unin (bind) con el sistema de Directorio por medio de un punto de acceso al Directorio asociado a un DSA. Este punto de acceso estar localizado en un vrtice del rbol del directorio, esto es, en una entrada especfica del DIT. Una vez realizada la unin, el usuario podr ordenar operaciones que impliquen la entrada asociada al punto de acceso o podr especificar en la operacin otra entrada del DIT. Generalmente, en el proceso de establecimiento de unin se requiere que el usuario incluya algn tipo de credencial para poder realizar su autenticacin y un control de acceso posterior. As, el usuario slo podr realizar operaciones en entradas sobre las que tenga ciertos derechos. El usuario libera la unin (unbind) entre DUA y el sistema de Directorio cuando no requiera solicitar ms operaciones al Directorio.
134
6.1.6.4 Otros servicios definidos en el Directorio Una de las contribuciones ms importantes del Directorio es la definicin de un marco de autenticacin (authentication framework). Aqu se propone un marco estndar para la implantacin de servicios de seguridad utilizando tecnologas de clave pblica (autenticacin, control de acceso, integridad, confidencialidad, etc.) para la proteccin de los usuarios y del propio Directorio. Estas recomendaciones tambin han sido incorporadas a otras aplicaciones OSI y no OSI. Otros servicios, aunque no visibles directamente por el usuario, son los de replicacin de la informacin y gestin de parmetros operacionales entre DSA.
6.1.7 El modelo distribuido del Directorio En la figura 6.2 del apartado 6.1.2 se muestra la visin global o modelo funcional del sistema de Directorio. Bsicamente, un agente de sistema de Directorio (DSA) es un proceso de aplicacin OSI cuya misin es la de proporcionar acceso al DIB a los usuarios del Directorio a travs de los DUA y/o a otros DSA. Un DSA puede utilizar la informacin almacenada en su base de datos local o interaccionar con otros DSA para atender las peticiones. As, un DSA implementa el proveedor del servicio de Directorio y un DUA ser el consumidor de dicho servicio.
DSA1 ADMD DSA1 C=ES
raz ADMD C=US DSA1
DSA2 O=UPC PRMD OU=CCT OU=DAC CN=John Jones PRMD CN=Mquina Fax CN=Jos Fernndez DSA1 PRMD CN=Laser Printer DSA1 O=Graphic Services DSA1 L=Los Angeles
Fig. 6.7 Ejemplo de DIB con distribucin funcional y organizativa
Un DSA gestiona localmente una parte del DIB, y un conjunto de DSA que cooperan entre ellos forman el DIB completo. La forma de implementar la base de datos local que contiene las entradas
135
de una porcin del DIB es dependiente de la implementacin y no est estandarizada (p.e. se pueden utilizar bases de datos relacionales comerciales). Un conjunto de uno o ms DSA y cero o ms DUA gestionados por una nica organizacin forman un dominio de gestin del Directorio (DMD). La figura 6.7 muestra, de forma conjunta, un ejemplo de modelo organizativo y funcional del sistema de Directorio. Ntese que todos los dominios, incluido la raz del Directorio, estn contenidos en un DSA menos el dominio que gestiona la rama de C=ES que est contenido en dos DSA. Una vez vistos los modelo funcional y organizativo del sistema distribuido del Directorio, queda por ver el modelo operacional, esto es, cmo interaccionan DUA y DSA para proveer un servicio global de Directorio a los usuarios.
6.1.8 Modelo operacional del Directorio Un DUA interacciona con el Directorio estableciendo comunicacin con uno o ms DSA. En principio, un DUA no necesita estar sujeto a un nico DSA, sino que puede acceder directamente a varios DSA para solicitar peticiones. Sin embargo, por razones administrativas o de control, puede ocurrir que un DUA no pueda acceder directamente al DSA que contiene la informacin buscada o que el DUA est restringido a interaccionar con un nico DSA de forma fija. Un DSA es responsable de llevar a cabo las peticiones de los DUA para obtener la informacin solicitada, ya sea localmente o remotamente interaccionando con otros DSA en nombre del DUA. Cuando un DUA realiza una peticin a un DSA, la realizacin de esa peticin puede ocurrir de diferentes formas dependiendo de si la informacin se encuentra almacenada localmente o si dicha informacin hay que buscarla en otros DSA.
El Directorio
peticin Usuario DUA respuesta DSA
Fig. 6.8 Interaccin simple
136
Interaccin simple. Es el caso ms sencillo y ocurre cuando la informacin solicitada por el DUA se encuentra en el DSA al cual se realiz la peticin. La figura 6.8 muestra este caso.
El Directorio
DSA B
peticin Usuario DUA indireccin (a A) peticin DSA A DSA C
Fig. 6.9.a Interaccin con un nivel de indireccin
Interaccin con indireccin (referral). En este caso (Fig. 6.9.a), el DUA solicita una informacin que el DSA (C) al que se realiz la peticin no tiene, pero sabe de otro DSA (A) que s la tiene. Entonces, el DSA contactado responde al DUA con una referencia al DSA (A) y ser responsabilidad del DUA acceder al DSA (A) para solicitar la informacin.
El Directorio
i etic 1)p n
DSA B
peticin Usuario DUA 2) indireccin (a B) DSA C

ind pet ici
ire (a B c c i n )
DSA A
Fig. 6.9.b Interaccin con dos niveles de indireccin
La figura 6.9.b muestra otro tipo de indireccin. Puede ocurrir que el DSA al que se realiz la peticin (C) no tenga la informacin y ste encamine (ver siguiente tipo de interaccin) la peticin a otro DSA (A). El DSA (A) tampoco tiene la informacin solicitada pero sabe de otro DSA (B) que s la tiene. Entonces, el DSA (A) pasa un referencia al DSA (C) indicando que el DSA (B) tiene la
137
informacin. Ahora, el DSA (C) puede optar por realizar la peticin directamente al DSA (B) -caso 1)- o responder al DUA con la referencia al DSA (B) -caso 2)-. Interaccin con encadenamiento simple (uni-chaining). Una peticin puede ser encaminada a travs de varios DSA hasta que se encuentra la respuesta a la informacin solicitada (Fig. 6.10).
El Directorio
peticin DSA respuesta
Fig. 6.10 Interaccin con encadenamiento simple
Interaccin con encadenamiento mltiple (multi-chaining). Una peticin ser encaminada por el DSA asociado al DUA hacia varios DSA en paralelo. La peticin es la misma para todos los DSA y puede ocurrir que ninguno, uno o varios DSA respondan con la informacin solicitada (Fig. 6.11).
El Directorio
pet ici n
DSA
ta ues resp
pet
ici
res pue sta
DSA
Fig. 6.11 Interaccin con encadenamiento mltiple
138
6.1.9 Protocolos del Directorio En la versin de 1988 del Directorio existan dos protocolos diferentes: El protocolo de acceso al Directorio (DAP, Directory Access Protocol) que define el intercambio de peticiones y respuestas entre un DUA y un DSA. El protocolo de sistema de Directorio (DSP, Directory System Protocol) que define el intercambio de peticiones y respuestas entre dos DSA.
En la ltima versin del Directorio (1993) aparecen dos protocolos ms que estn relacionados con la replicacin de la informacin entre DSA (DISP, Directory Information Shadowing Protocol) y con la gestin de informacin operacional entre DSA (DOP, Directory Operational binding management Protocol). Ambos protocolos proporcionan servicios de gestin para DSA y no ofrecen ningn servicio directo al usuario, por lo que no han sido tratados aqu. Cada uno de los protocolos existe dentro de un contexto de aplicacin que est formado por elementos de servicio de aplicacin que utilizan ROSE (elemento de servicio de operaciones remotas) para llevar a cabo las interacciones. As, el DAP y el DSP estn definidos como un conjunto de operaciones y errores remotos usando la notacin RO.
6.2 Servicio de nombres de Internet
6.2.1 Introduccin El servicio de nombres de dominio (DNS, Domain Name Service) de Internet es un servicio de nombres que asocia informacin con objetos. Cualitativamente, el DNS de Internet es equivalente al Directorio de OSI pero teniendo en cuenta los siguientes matices: DNS slo manipula informacin sobre mquinas (hosts, siguiendo la terminologa Internet) en la red. DNS se dise con el objetivo principal de sustituir las direcciones de red IP por nombres amigables en el uso de las aplicaciones Internet. As, DNS se utiliza bsicamente como un servicio de resolucin de nombres en direcciones IP.
Se debe mencionar que las siglas DNS se suelen utilizar indistintamente para referirse al sistema de nombres de dominio (DNS, Domain Name System) como al servicio de nombres de dominio. Comparando DNS con el Directorio, el primero es un subconjunto del segundo en cuanto a un servicio final. Mediante el Directorio se puede implementar un servicio de nombres como el que
139
proporciona DNS; sin embargo, utilizando DNS no se puede implementar una base de informacin como la del Directorio. Por otra parte, la generalidad que ofrece el Directorio se paga en agilidad y velocidad de respuesta del sistema; el primero es bastante ms lento que DNS, el cual implementa unos protocolos sumamente sencillos.
6.2.2 Visin general de DNS DNS es un sistema distribuido que est compuesto por varios servidores de nombres (name server) a los cuales se accede mediante un proceso cliente denominado resolver (trmino original sin traducir). Cuando una aplicacin necesita obtener una direccin fsica de red a partir de un nombre, sta invoca al resolver, el cual realiza una interrogacin a su servidor de nombres local. La figura 6.12 muestra el acceso a DNS, as como la visin global del sistema.
DNS
servidor nombres servidor nombres servidor nombres
Usuario
resolver
servidor nombres
resolver
Usuario
resolver
Usuario
Fig. 6.12 Visin global de DNS
Desde un punto de vista arquitectnico, se puede extraer un paralelismo entre las entidades del Directorio y de DNS. As, resolvers y servidores de nombres de DNS seran equivalentes a DUA y DSA del Directorio respectivamente. No se debe olvidar tampoco que los servidores de nombres manipulan una base de datos de informacin sobre mquinas de la red.
140
6.2.3 La base de informacin de DNS La base de informacin de DNS est formada por registros de recursos (RR, Resource Records). Un nombre de dominio identifica un nodo en el DNS y tiene asociado un conjunto de registros RR. De nuevo, extendiendo la equivalencia con el Directorio, los nodos y registros de DNS seran las entradas y los atributos del Directorio respectivamente. Existen unos pocos tipos de registros RR. En particular, a un nombre de dominio se le puede asociar informacin sobre una direccin IP, un alias, informacin textual sobre la CPU y el sistema operativo, servidores de correo asociados, etc. Los nodos de DNS estn organizados jerrquicamente en forma de rbol. Cada vrtice del rbol representa un nodo que contiene informacin sobre un dominio o una mquina de la red. Al contrario que en el Directorio, en DNS se define el formato de la base de datos que implementa la base de informacin. Concretamente, se trata de unos ficheros tipo texto donde cada lnea contiene un registro RR. Cada nodo tiene un nombre de dominio DNS (DNS domain name), el cual identifica de forma nica y no ambigua el nodo dentro del espacio de nombres DNS (DNS domain space). En DNS, un objeto tambin puede tener varios nombres, esto es, el nombre correspondiente al nodo objeto, y tantos nombres como alias existan para dicho objeto.
6.2.4 Nombres de dominio DNS El espacio de nombres de dominio es una estructura en forma de rbol. Cada nodo tiene una etiqueta de 0 a 63 octetos de longitud. Los nodos hermanos no pueden tener la misma etiqueta; sin embargo, nodos superiores o subordinados s pueden tener la misma etiqueta. La etiqueta nula (0 octetos) est reservada para denotar la raz del rbol. El nombre de dominio de un nodo es la lista de etiquetas en el camino desde el nodo hasta la raz del rbol. Comparando con el Directorio, nodos y nombres de dominios de DNS tendran su equivalente en RDN y DN del Directorio. Por convenio, las etiquetas slo pueden tener caracteres imprimibles (sin incluir el punto '.'), en donde maysculas y minsculas indican el mismo carcter. Por tanto, un nombre de dominio es una secuencia de etiquetas separadas por punto. Por ejemplo, el siguiente es el nombre de dominio de la mquina sirius del Departamento de Arquitectura de Computadores (AC) dentro de la Universitat Politcnica de Catalunya (UPC) en Espaa (ES): sirius.ac.upc.es
141
Cada nodo del rbol que no es una hoja (nodo final) representa un dominio del cual se pueden derivar otros dominios subordinados o mquinas. El nodo final representa siempre una mquina (host). En la asignacin de nombres, los nombres de dominios ms superiores (llamados top level domains) ya han sido fijados; como son EDU, ARPA, COM, GOV, ES, US, el resto de pases, y otros. Adems, la asignacin de un nombre de dominio de segundo nivel debe corresponder a la categora adecuada de los niveles superiores existentes (Fig. 6.13).
"."
COM
EDU
ARPA
ES
GOV
(otros)
xxx
xxx
UPC
xxx
(otros)
diable
AC
(otros)
deneb
orion
sirius
vega
(otros)
Fig. 6.13 Jerarqua de dominios de Internet
6.2.5 Gestin de dominios DNS DNS define el concepto de zonas (zone). Una zona est formada por un conjunto de mquinas dispuestas jerrquicamente y gestionadas por una nica autoridad. Una zona se encuentra servida por uno o varios servidores de nombres. Cada servidor de nombres se ejecuta en una mquina distinta de la zona y sus clientes estn jerrquicamente por debajo de estos servidores. Comparando con el Directorio, las zonas seran equivalentes a los dominios de gestin del Directorio. Las zonas generalmente representan fronteras entre autoridades en la administracin del espacio de nombres. La figura 6.14 muestra una estructuracin en zonas para el espacio de nombres dentro de Espaa y de la Universitat Politcnica de Catalunya.
142
"."
zona root
COM
EDU
ARPA
ES
GOV
(otros)
xxx zona upc.es
xxx diable
UPC
xxx (otros)
(otros)
AC zona ac.upc.es
deneb
orion
sirius
vega
(otros)
Fig. 6.14 Ejemplo de zonas en el espacio de nombres de Internet
6.2.6 Servicios y protocolos DNS slo ofrece servicios de interrogacin para obtener informacin sobre un determinado dominio o mquina utilizando un nombre como ndice. DNS no ofrece servicios de modificacin de la base de informacin sino que sta debe ser modificada localmente por el administrador mediante la edicin de los ficheros que contienen los registros RR. En cuanto a los protocolos, DNS es una aplicacin Internet que trabaja directamente sobre el nivel de transporte de Internet, tanto TCP como UDP. Sin embargo, el modo preferido de trabajo es mediante datagramas que utilizan UDP. Actualmente, todas las implementaciones usan UDP y son pocas las que incorporan TCP. El puerto TCP normalizado para acceder a DNS es el nmero 53.

IN00106C

Încărcat de

Informații document

Drepturi de autor

Formate disponibile

Partajați acest document

Partajați sau inserați document

Opțiuni de partajare

Vi se pare util acest document?

Este necorespunzător acest conținut?

Drepturi de autor:

Formate disponibile

IN00106C

Încărcat de

Drepturi de autor:

Formate disponibile

6 El servicio de directorio

Aplicaciones distribuidas abiertas

Punto de acceso Usuario DUA El Directorio

Fig. 6.1 Acceso al Directorio

Fig. 6.2 Visin global del Directorio

Aplicaciones distribuidas abiertas

Tabla 6.1 Diferentes tipos de atributos X.500

entrada de objeto entrada de alias

AA AA AAAA AAAAAAAAAA AAAA AAAAAAAAAAAA AA

AA AAAA AAAAAA AAAAAA

Fig. 6.3 Estructura del DIT y sus componentes

atributo distintivo (RDN) Entrada atributo

Fig. 6.4 Estructura de una entrada y del RDN asociado

Aplicaciones distribuidas abiertas

OU=DAC CN=John Jones

Fig. 6.5 Ejemplo de DIT

CN=Jos Fernndez PRMD

CN=Laser Printer PRMD

Fig. 6.6 Ejemplo de dominios de gestin

Dependiendo de las autoridades y su naturaleza, se distinguen dos tipos de dominios de gestin:

Aplicaciones distribuidas abiertas

La figura 6.6 muestra un ejemplo de estructuracin del DIT en dominios

Aplicaciones distribuidas abiertas

DSA1 ADMD DSA1 C=ES

raz ADMD C=US DSA1

Fig. 6.7 Ejemplo de DIB con distribucin funcional y organizativa

peticin Usuario DUA respuesta DSA

Fig. 6.8 Interaccin simple

Aplicaciones distribuidas abiertas

peticin Usuario DUA indireccin (a A) peticin DSA A DSA C

Fig. 6.9.a Interaccin con un nivel de indireccin

peticin Usuario DUA 2) indireccin (a B) DSA C

Fig. 6.9.b Interaccin con dos niveles de indireccin

peticin Usuario DUA respuesta DSA

peticin DSA respuesta

Fig. 6.10 Interaccin con encadenamiento simple

peticin Usuario DUA respuesta DSA

res pue sta

Fig. 6.11 Interaccin con encadenamiento mltiple

Aplicaciones distribuidas abiertas

6.2 Servicio de nombres de Internet

servidor nombres servidor nombres servidor nombres

Fig. 6.12 Visin global de DNS

Aplicaciones distribuidas abiertas

Fig. 6.13 Jerarqua de dominios de Internet

Aplicaciones distribuidas abiertas

xxx zona upc.es

Fig. 6.14 Ejemplo de zonas en el espacio de nombres de Internet

S-ar putea să vă placă și