IT-GSHB 2000 - Komplexität der NDS

G 2.42 Komplexität der NDS

Die Novell Verzeichnisdienste NDS (Novell Directory Services) ermöglichen das Einrichten einer gemeinsamen, dezentralen Verzeichnisdatenbank aller logischen und physischen Ressourcen in einem Netz. Jede Netzressource wird durch einen eindeutigen Eintrag in dieser Datenbank repräsentiert, wobei es keine Rolle spielt, wo sich die Ressourcen tatsächlich befinden. Der Zugang zum Netz bzw. der Zugriff auf eine Netzressource erfolgt dabei, anders als bei Novell Netware 3.x, nicht über einen bestimmten Netware 4.x Server, sondern über den Verzeichnisdienst des Novell Netzes (siehe M 2.151 Entwurf eines NDS Konzept).

Die NDS ist die zentrale Komponente der Ressourcenverwaltung von Novell Netware 4.x und die Anforderungen an deren korrekte Funktionsweise sind entsprechend hoch. Aufgrund der komplexen Administrationsmöglichkeiten kann es zum Verlust der Verfügbarkeit, Vertraulichkeit sowie Integrität und dabei beispielswiese zu folgenden konkreten Gefährdungen kommen:

Der Zugang eines Benutzers zum Netz erfolgt über die Authentisierung gegenüber der NDS. Diese Anmeldung findet am nächstgelegenen Netware 4-Server statt, der die Master-Partition des Verzeichnisbaums oder eine Kopie davon gespeichert hat. Existieren zu wenige Kopien im Netz, müssen sich alle Benutzer an den gleichen Servern beglaubigen. Jeder Anmeldevorgang bedeutet zusätzliche Serverbelastung und zusätzliche Netzlast. Dies kann zu längeren Wartezeiten bei der Anmeldung führen sowie die Verfügbarkeit beeinträchtigen.
Werden keine Kopien der Master-Partition auf weiteren Netware 4-Servern angelegt, ist eine Anmeldung am Netz bei einem Fehler in der NDS-Datenbank nicht mehr möglich.
Werden beim Entwurf des Verzeichnisbaumes zu viele Organisationen und Unterorganisationen ineinander verschachtelt, erhöht sich der Administrationsaufwand erheblich. Außerdem wird dann das Auffinden von Netzressourcen für die Administratoren und die Benutzer unübersichtlich.
Wenn in einem WAN-Verbund nicht an jedem Standort eine Reproduktion der zugehörigen Partitions des Standortes gespeichert wird, ist eine Anmeldung am Netz bei einem Ausfall des WANs für die betroffenen Standorte nicht mehr möglich.
Werden zuviele Reproduktionen einer Partition in einem WAN-Verbund eingerichtet, entsteht sehr hoher Netzverkehr im WAN, da bei jeder Anmeldung das Anmeldedatum des Benutzers in allen Reproduktionen geändert werden muß.
In den verschiedenen Versionen und Patchleveln von Novell Netware Version 4 kann auch das Modul DS.NLM verschiedene Versionen aufweisen. Diese Information wird jedoch von den Netware 4-Servern genutzt, um Änderungswünsche an der NDS-Datenbank zu filtern. Dies kann u. U. dazu führen, daß sich die Netware 4-Server untereinander nicht über die Änderungen an der NDS informieren können, so daß es dort zu Inkonsistenzen kommt.