Расширением предназначенного для организации рабочих групп сервера IBM LAN Server 4.0 является сервер IBM Directory and Security Server for OS/2 Warp (DSS), позволяющий реализовать распределенную вычислительную среду, совместимую с моделью OSF DCE. Сервер DSS содержит несколько компонентов обеспечения безопасности, которые позволяют создавать более гибкую и защищенную сетевую среду, чем при использовании сервера IBM LAN Server 4.0.
Основой механизма разграничения доступа в DSS служит понятие области. В отличии от доменов LAN Server, объединяющих ресурсы одной рабочей группы, область может объединять ресурсы всей организации. Кроме того, область администрируется централизованно и может состоять из образующих иерархическую структуру подобластей. Будучи средством "прозрачного" объединения доменов LAN Server, область упрощает администрирование и доступ к ресурсам. Пользователю области достаточно иметь одну учетную запись для доступа к ресурсам всех образующих ее доменов.
Для идентификации и аутентификации пользователей, а также клиентских и серверных приложений в DSS, как ив DCE, применяется служба Керберос. Разграничение доступа к ресурсам области на уровне пользователей реализуется списками контроля доступа, которыми управляют владельцы ресурсов. Списки обеспечивают повышенную гибкость и больше уровней защиты по сравнению со списками контроля доступа в LAN Server, Важное расширение концепции защиты DSS по отношению к LAN Server заключается в том, что защита распространяется не только на сетевые ресурсы, но и на сетевые службы и приложения.
Основными компонентами DSS, участвующими в обеспечении безопасности являются:
- серверы службы каталогов;
- серверы службы безопасности;
- серверы службы времени.
Сервер службы каталогов позволяет приложениям находить сетевые объекты в гетерогенной среде на основе DSS или DCE. Такой сервер поддерживает базу данных с информацией обо всех имеющихся в области ресурсах и службах и обеспечивает сетевых клиентов информацией об адресах нужных им объектов. База данных может быть растиражирована на нескольких серверах или разделена между ними для повышения производительности и доступности.
Сервер безопасности осуществляет аутентификацию пользователей, приложений и других серверов (включая серверы службы каталогов и времени). Он поддерживает базу данных учетных записей для своей области, которая также может быть растиражирована и размещена на серверах, расположенных непосредственно рядом с определенными группами пользователей. При этом одна копия базы данных объявляется главной и в ней производятся все изменения. Остальные копии предназначены только для чтения и должны регулярно обновляться в соответствии с главной копией. Компонентами сервера безопасности являются:
- служба поддержки базы данных учетных записей (Registry Service);
- служба аутентификации (Authentication Service);
- служба разграничения доступа (Privilege Service);
- служба поддержки списков управления доступом (ACL facility);
- служба регистрации в сети (Login facility).
Сервер времени отвечает за синхронизацию всех системных часов в области, что, в частности необходимо для функционирования службы аутентификации Керберос.