6. 网络用户安全系统目前,在服务器系统上基本上存在三种类型的用户I D安全系统:
•本地。
•域。
•网络。
第一种类型(即本地用户I D安全)在上一节中已经介绍过。每一个网络服务器操作系统都有某种形式的本地安全系统。例如,Novell NetWare 2.x和3 . x的文件汇集器就是这种类型的系统。N e t Wa r e的汇集器是一个数据库系统,包含单独服务器的所有用户I D记录。单一系统上的汇集器系统工作起来既容易又简单,但在使用单个用户数据库建立多服务器的用户管理时,它显得力不从心。
1)域控制器网络的灾难恢复
第二种类型的用户I D系统使用域控制器的概念,域控制器通常建立在这样的想法上,即对几个服务器上数据的访问可以使用一个中心安全系统加以管理。在域控制器情况下,每一个服务器文件系统都有自己的用户识别数据,并保存在文件系统中,但用户的I D数据被一个称为域控制器的系统所保存。在用户登录进入域控制器以后,他们使用自己的域用户I D请求要访问的各个服务器,然后,每个服务器使用域用户I D与它们的文件系统元数据进行比较。
使用域控制器的优点之一是需要备份和恢复的用户I D信息更少。通常,定义一个系统为域控制器,另外一个或两个为从属的或备用的域控制器。要保证域及备用域控制器的域用户I D数据可以备份和恢复。除此之外,用户I D信息不必从其他服务器上备份。
当恢复一个非域控制器的服务器时,没有必要恢复用户I D信息,只要服务器是域的一部分,那么不需要提供自己的用户I D数据。当然,恢复完整的文件系统的元数据是很重要的。
2) 目录服务网络的灾难恢复
最后一种类型的用户I D安全系统是使用目录服务。近年来有关目录服务的讨论很多。当目录服务跨越广域连接时,它就变成一个极其有用的灾难恢复工具。
通常,目录服务是专门的数据库应用,包含有关网络中各种资源以及请求访问它们的用户/ 应用信息,这些目录服务数据库定期地通过网络进行复制,以保证每一个服务器拥有网络资源的最新信息。与上述讨论的域服务器概念相类似,当用户登录进入目录服务时,目录服务将对他们进行验证,并给他们网络用户I D,使他们可以访问网络资源。与域服务不同的是目录访问是全局的,可以为全世界广域网络中节点所访问。
综上所述,当灾难在目录服务网络中发生时,可以从网络中的其他系统复制目录服务数据库,恢复所有的用户I D信息,如图7 - 2 5所示。因此,只要服务器正在从网络中其他服务器接受信息,则没有必要执行网络用户I D信息的恢复过程。相比从磁带恢复目录服务数据库,使用这种方式复制网络用户I D信息通常更可取。
注意当服务器间的网络连接很慢,而目录数据库很大时,将产生一个例外的情形,此时,最好先从磁带上恢复一个本地数据库拷贝,然后,使其他服务器上的数据库与这个恢复的数据库一致。
阅读(366) | 评论(0) | 转发(0) |