ĐỒ ÁN TỐT NGHIỆP Tên đề tài: QUẢN LÝ XÁC THỰC TẬP TRUNG VỚI DỊCH VỤ LDAP LINUX Tp Hồ Chí Minh, Ngày 19 Tháng 10 Năm 2011 NHẬN XÉT CỦA GIẢNG VIÊN HƯỚNG DẪN GVHD: TRẦN VĂN TÀI SVTH: 1. DƯƠNG QUỐC TUẤN MSSV: 99510030043 2. TRẦN HUỲNH AN DUY MSSV: 99510030007 3. TRẦN ĐOÀN KIẾN MSSV: 99510030017 Mã lớp:03CCHT01 Khóa:03 TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE 240 Võ Văn Ngân, QuậnThủ Đức, TP. Hồ Chí Minh ĐT: 08.6. 2678999 Fax: 08 – 6261 0304 Khoa CNTT – Đồ Án Tốt Nghiệp: Quản lý xác thực tập trung với dịch vụ LDAP Linux Trang 3/176 MỤC LỤC LỜI CẢM ƠN 14 MỤC TIÊU ĐỀ TÀI 15 CHƯƠNG I: GIỚI THIỆU TỔNG QUAN 16 I. Lịch sử phát triển của Linux: 16 II. Ưu điểm & khuyết điểm của Linux: 17 1. Ưu điểm: 17 1.1 Kinh tế: 17 1.2 Linh hoạt, uyển chuyển: 17 1.3 Độ an toàn cao: 17 1.4 Thích hợp cho quản trị mạng: 18 2. Khuyết điểm: 19 2.1 Đòi hỏi người dùng phải thành thạo: 19 2.2 Tính tiêu chuẩn hóa: 19 2.3 Số lượng các ứng dụng chất lượng cao trên Linux còn hạn chế: 20 2.4 Phần cứng: 20 CHƯƠNG II: CÀI ĐẶT HỆ ĐIỀU HÀNH LINUX (CENTOS) 21 I. Yêu cầu phần cứng: 21 II. Đĩa cứng và phân vùng đĩa trong Linux: 21 III. Quản lý ổ đĩa và partition trong Linux: 21 IV. Các bước cài đặt hệ điều hành Linux: 23 1. Chọn phương thức cài đặt: 23 2. Chọn chế độ cài đặt: 23 3. Chọn ngôn ngữ hiển thị trong quá trình cài đặt: 24 4. Cấu hình bàn phím: 24 5. Chia partition: 25 6. Cài đặt chương trình Boot Loader: 26 7. Cấu hình mạng: 27 8. Cấu hình khu vực địa lý: 28 TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE 240 Võ Văn Ngân, QuậnThủ Đức, TP. Hồ Chí Minh ĐT: 08.6. 2678999 Fax: 08 – 6261 0304 Khoa CNTT – Đồ Án Tốt Nghiệp: Quản lý xác thực tập trung với dịch vụ LDAP Linux Trang 4/176 9. Đặt mật khẩu cho người quản trị: 29 10. Chọn loại cài đặt: 30 11. Tiến hành cài đặt hệ điều hành: 32 12. Sử dụng hệ điều hành: 33 CHƯƠNG III: GIỚI THIỆU CÁC DỊCH VỤ LIÊN QUAN 35 I. Dịch vụ DNS (Domain Name System): 35 1. Giới thiệu: 35 2. Cách phân bổ dữ liệu quản lý domain name: 39 3. Phân giải thuận: 40 4. Phân giải nghịch: 40 5. Sự khác nhau giữa Zone và Domain: 41 6. Chứng nhận tên miền: 41 7. Phân loại Domain Name Server: 41 8. Sự ủy quyền (Delegation domain) 42 9. Resource record: 43 10. Giới thiệu phần mềm BIND: 45 II. Dịch vụ FTP (File Transfer Protocol): 50 1. Giới thiệu: 50 2. Mô hình hoạt động: 50 3.Chương trình FTP Client: 53 4. Một số tập lệnh của FTP Client: 53 5. Cài đặt và cấu hình FTP: 55 III. Dịch vụ Web: 58 1. Giới thiệu giao thức HTTP: 58 2. Web server và hoạt động: 60 3. Web client: 62 4. Web động: 62 5. Cài đặt và cấu hình Web server: 63 5.1 Giới thiệu phần mềm Apache: 63 TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE 240 Võ Văn Ngân, QuậnThủ Đức, TP. Hồ Chí Minh ĐT: 08.6. 2678999 Fax: 08 – 6261 0304 Khoa CNTT – Đồ Án Tốt Nghiệp: Quản lý xác thực tập trung với dịch vụ LDAP Linux Trang 5/176 5.2 Cài đặt Apache: 64 5.3 Thông tin cấu hình: 64 5.4 Cấu hình cơ bản: 64 5.5 Cấu hình chứng thực: 65 IV. Dịch vụ Squid Proxy: 68 1. Giới thiệu Squid: 68 2. Những giao thức hổ trợ trên Squid: 69 3. Trao đổi cache: 70 4. Cài đặt và cấu hình Squid Proxy: 70 V. Dịch vụ Mail Server: 74 1. Giới thiệu: 74 2. Hệ thống mail: 76 3. Các khái niệm: 78 4. Mail và DNS: 80 5. Phần mềm mail Postfix: 80 6. Phần mềm webmail: 81 VI. Dịch vụ Samba: 82 1. Giới thiệu: 82 2. Cài đặt: 82 CHƯƠNG IV: CƠ SỞ LÝ THUYẾT LDAP 89 I. Giới thiệu về LDAP: 89 1. Khái niệm cơ bản: 89 II. Phương thức hoạt động của LDAP: 90 1. Một nghi thức client/sever: 90 2. LDAP Là một nghi thức hướng thông điệp: 90 3. Các thao tác của nghi thức LDAP: 92 4. Các thao tác mở rộng: 93 5. Mô hình kết nối Client – Server: 93 III. Các mô hình LDAP: 94 TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE 240 Võ Văn Ngân, QuậnThủ Đức, TP. Hồ Chí Minh ĐT: 08.6. 2678999 Fax: 08 – 6261 0304 Khoa CNTT – Đồ Án Tốt Nghiệp: Quản lý xác thực tập trung với dịch vụ LDAP Linux Trang 6/176 1. LDAP Information Model: 94 2. LDAP Naming Model: 98 3. Mô hình LDAP Function: 103 4. Mô hình LDAP Security: 111 IV. Sử dụng LDAP: 112 1. Ứng dụng xác thực dùng LDAP: 112 2. Một số ứng dụng sử dụng nghi thức LDAP: 112 CHƯƠNG V: TRIỂN KHAI HỆ THỐNG 114 I. Phân tích hiện trạng hệ thống: 114 II. Cài đặt và cấu hình Open LDAP Replication Multi Master: 116 1.Cài đặt: 116 1.1 Các gói cài đặt: 116 2.Các file cấu hình: 116 2.1 Cấu hình file /usr/local/etc/openldap/slapd.conf: 116 III. Xây dựng Primary Domain Controller (Openldap with Samba): 121 1. Cài đặt: 121 1.1 Các gói cài đặt: 121 2. Các file cấu hình: 122 2.1 Cấu hình file /etc/openldap/slapd.conf: 122 2.2 Cấu hình file /etc/samba/smb.conf: 124 2.3 Tạo file script logon trong /var/lib/samba/netlogon/scripts 125 2.4 Cấu hình file /var/lib/samba/sbin/smbldap_tools.pm: 128 IV. Xây dựng File-Server chứng thực LDAP (Samba): 130 1. Cài đặt: 130 1.1 Các gói cài đặt: 130 2. Các file cấu hình: 130 2.1 Cấu hình file /etc/samba/smb.conf: 130 2.2 Giám sát truy cập tài nguyên chia sẽ: 132 V. Xây dựng Mail-Server chứng thực LDAP (Postfix): 133 TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE 240 Võ Văn Ngân, QuậnThủ Đức, TP. Hồ Chí Minh ĐT: 08.6. 2678999 Fax: 08 – 6261 0304 Khoa CNTT – Đồ Án Tốt Nghiệp: Quản lý xác thực tập trung với dịch vụ LDAP Linux Trang 7/176 1. Cài đặt: 133 1.1 Các gói cài đặt: 133 2. Các file cấu hình: 133 2.1 Cấu hình file /etc/postfix/main.cf: 133 2.2 Tạo file /etc/postfix/accountsmap.cf: 135 2.3 Tạo file /etc/postfix/ldap-aliases.cf: 135 2.4 Cấu hình file dovecot-ldap.conf: 135 2.5 Cấu hình file dovecot.conf: 135 3. Tạo mail và kiểm tra: 137 3.1 Tạo email account: 137 3.2 Kiểm tra gởi – nhận mail: 137 4. Cấu hình webmail: 139 4.1 Cấu hình file /etc/squirrelmail/config.php 139 4.2 Sử dụng webmail: 139 VI. Xây dựng FTP-Server chứng thực LDAP (vsftpd): 140 1. Cài đặt: 140 1.1 Các gói cài đặt: 140 2. Các file cấu hình: 140 2.1 Cấu hình file /etc/pam.d/vsftpd (chứng thực ldap): 140 2.2 Cấu hình file /etc/vsftpd/ vsftpd.conf (cấu hình cơ bản): 141 3. Kiểm tra – sử dụng: 141 VII. Xây dựng Web-Server chứng thực LDAP (apache): 142 1. Cài đặt: 142 1.1 Các gói cài đặt: 142 2. Các file cấu hình: 142 2.1 Cấu hình file /etc/httpd/conf/httpd.conf (chứng thực ldap): 142 3. Kiểm tra chứng thực truy cập: 144 VIII. Xây dựng Proxy, Firewall, VPN Server (IPCOP): 145 TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE 240 Võ Văn Ngân, QuậnThủ Đức, TP. Hồ Chí Minh ĐT: 08.6. 2678999 Fax: 08 – 6261 0304 Khoa CNTT – Đồ Án Tốt Nghiệp: Quản lý xác thực tập trung với dịch vụ LDAP Linux Trang 8/176 1. Cài đặt: 145 1.1 Cài đặt IPCOP: 145 1.2 Các bước cài đặt: 145 1.3 Cấu hình Proxy Server: 158 1.4 Cấu hình firewall: 162 1.5 Cấu hình logs: 165 1.6 Cấu hình VPN Server: 170 CHƯƠNG VI: ĐÁNH GIÁ VÀ HƯỚNG PHÁT TRIỂN 176 I. Kết quả thực hiện đề tài: 176 1. Yêu cầu đề tài: 176 2. Hướng phát triển đề tài: 176 II. Tài liệu tham khảo: 176 III. Các website: 176 DANH MỤC HÌNH Hình 1: Partition trong Linux 22 Hình 2: Chọn chế độ cài đặt 23 Hình 3: Chọn ngôn ngữ sử dụng 24 Hình 4: Chọn kiểu bàn phím 25 Hình 5: Chia partition 26 Hình 6: Cài Boot Loader 27 Hình 7: Cấu hình mạng 28 Hình 8: Cấu hình khu vực địa lý 29 Hình 9: Đặt mật khẩu cho người quản trị 29 Hình 10: Chọn loại cài đặt 30 Hình 11: Quá trình cài đặt hệ điều hành 32 Hình 12: Cài đặt hoàn tất 33 Hình 13: Cấu hình firewall 33 Hình 14: Cài đặt ngày giờ hệ thống 34 TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE 240 Võ Văn Ngân, QuậnThủ Đức, TP. Hồ Chí Minh ĐT: 08.6. 2678999 Fax: 08 – 6261 0304 Khoa CNTT – Đồ Án Tốt Nghiệp: Quản lý xác thực tập trung với dịch vụ LDAP Linux Trang 9/176 Hình 15: Tạo user 34 Hình 16: Giao diện Desktop 35 Hình 17a: Cơ chế phân cấp DNS 37 Hình 17b: Cơ chế phân cấp DNS 38 Hình 18: Zone và Domain 41 Hình 19: Delegation Domain 43 Hình 20: File cấu hình zone thuận 49 Hình 21: File cấu hình zone nghịch 49 Hình 22: Sơ đồ kết nối active FTP 51 Hình 23: Sơ đồ kết nối passive FTP 53 Hình 20: Hoạt động của giao thức HTTP 60 Hình 21: Mô tả phát sinh web động từ chương trình CGI 63 Hình 22: Chứng thực Digest 67 Hình 22: Squid Proxy 69 Hình 23: Sơ đồ hệ thống mail 76 Hình 24: Hệ thống mail cục bộ 77 Hình 25: Hệ thống mail cục bộ có kết nối từ xa 78 Hình 26: Hệ thống mail hai Domain & một Gateway 78 Hình 27: Truy xuất samba swat 86 Hình 28: Đăng nhập samba thành công 86 Hình 29: Thao tác tìm kiếm cơ bản 91 Hình 30: Những thông điệp Client gửi cho Server 91 Hình 31: Nhiều kết quả tìm kiếm được trả về 92 Hình 32: Mô hình kết nối giữa client và server 94 Hình 33: Cây thư mục với các entry là các thành phần cơ bản 95 Hình 34: Cây thư mục LDAP 99 Hình 35: Hệ thống tập tin của UNIX 100 Hình 36: Một phần thư mục LDAP với các entry chứa thông tin 101 Hình 37: Ví dụ về relative distingguished name (RDN) 102 TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE 240 Võ Văn Ngân, QuậnThủ Đức, TP. Hồ Chí Minh ĐT: 08.6. 2678999 Fax: 08 – 6261 0304 Khoa CNTT – Đồ Án Tốt Nghiệp: Quản lý xác thực tập trung với dịch vụ LDAP Linux Trang 10/176 Hình 38: LDAP với alias entry 103 Hình 39: Thao tác tìm kiếm với phạm vi base 105 Hình 40: Thao tác tìm kiếm với phạm vi onelevel 105 Hình 41: Thao tác tìm kiếm với phạm vi subtree 105 Hình 42: Xác thực dùng LDAP 112 Hình 43: Mô hình đơn giản lưu trữ 113 Hình 44: Dùng LDAP để quản lý thư 114 Hình 45: Khai báo schema 116 Hình 46: Khai báo tham số ldap 116 Hình 47: Định nghĩa database, tên phân giải, user quản trị, thư mục lưu trữ database. 117 Hình 48: Khai báo các tham số đồng bộ ldap 117 Hình 49: Chỉ định logfile 117 Hình 50: Tạo các đối tượng cho ldap 118 Hình 51: Khai báo schema 118 Hình 52: Khai báo tham số ldap 118 Hình 53: Định nghĩa database, tên phân giải, user quản trị, thư mục lưu trữ database. 118 Hình 54: Khai báo các tham số đồng bộ ldap 119 Hình 55: User u1 đã được đồng bộ sang ldap-svr2 120 Hình 56: User u2 đã được đồng bộ sang ldap-svr1 121 Hình 57: Khai báo samba.schema 122 Hình 58: Khai báo tham số ldap 122 Hình 59: Định nghĩa database, tên phân giải, user quản trị, thư mục lưu trữ database. 123 Hình 60: Khai báo chỉ mục cho database 123 Hình 61: Phân quyền cho các đối tượng 124 Hình 62: Khai báo thông tin chứng thực bằng ldap 124 Hình 63: Khai báo tên Domain, kiểu chứng thực 124 Hình 64: Khai báo logfile, logsize, script tạo các đối tượng cho DC 124 Hình 65: Cấu hình logon script, kiểu chứng thực 125 Hình 66: Cấu hình netlogon, tạo Profiles cho user 125 [...]... trên một cách tùy ý Hình 10: Chọn loại cài đặt Khoa CNTT – Đồ Án Tốt Nghiệp: Quản lý xác thực tập trung với dịch vụ LDAP Linux Trang 30/176 TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE 240 Võ Văn Ngân, QuậnThủ Đức, TP Hồ Chí Minh ĐT: 08.6 2678999 Fax: 08 – 6261 0304 Khoa CNTT – Đồ Án Tốt Nghiệp: Quản lý xác thực tập trung với dịch vụ LDAP Linux Trang 31/176 TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE 240 Võ Văn Ngân, QuậnThủ... CNTT – Đồ Án Tốt Nghiệp: Quản lý xác thực tập trung với dịch vụ LDAP Linux Trang 33/176 TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE 240 Võ Văn Ngân, QuậnThủ Đức, TP Hồ Chí Minh ĐT: 08.6 2678999 Fax: 08 – 6261 0304 Hình 14: Cài đặt ngày giờ hệ thống Tạo user đăng nhập: Hình 15: Tạo user Hoàn tất, đăng nhập và sử dụng: Khoa CNTT – Đồ Án Tốt Nghiệp: Quản lý xác thực tập trung với dịch vụ LDAP Linux Trang 34/176 TRƯỜNG... 6261 0304 MỤC TIÊU ĐỀ TÀI Xây dựng hệ thống mạng chứng thực tập trung với OpenLDAP Xây dựng hệ thống chứng thực tập trung cho các dịch vụ: mail, ftp, samba, web Xây dựng hệ thống quản lí tập trung trên HDH Linux thay thế cho hệ thống MS Active Directory Khoa CNTT – Đồ Án Tốt Nghiệp: Quản lý xác thực tập trung với dịch vụ LDAP Linux Trang 15/176 TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE 240 Võ Văn Ngân, QuậnThủ... thể thực hiện đồ án này Tp.Hồ Chí Minh, ngày 19 tháng 10 năm 2011 Học viên thực hiện Dương Quốc Tuấn Trần Huỳnh An Duy Trần Đoàn Kiến Khoa CNTT – Đồ Án Tốt Nghiệp: Quản lý xác thực tập trung với dịch vụ LDAP Linux Trang 14/176 TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE 240 Võ Văn Ngân, QuậnThủ Đức, TP Hồ Chí Minh ĐT: 08.6 2678999 Fax: 08 – 6261 0304 MỤC TIÊU ĐỀ TÀI Xây dựng hệ thống mạng chứng thực tập trung với. .. partition trong nó III Quản lý ổ đĩa và partition trong Linux: Linux sử dụng cơ chế truy xuất ổ đĩa thông qua tập tin Mỗi ổ đĩa được gán với một tập tin trong thư mục /dev/ Ký hiệu ổ đĩa fd cho ổ mềm, hd cho ổ cứng, sd dành cho ổ SCSI Ký tự a, b, c … gắn thêm vào để xác định các ổ đĩa khác nhau cùng loại Khoa CNTT – Đồ Án Tốt Nghiệp: Quản lý xác thực tập trung với dịch vụ LDAP Linux Trang 21/176 TRƯỜNG... HOSTS.TXT có các nhược điểm sau: Lưu lượng mạng và máy chủ duy trì tập tin HOSTS.TXT bị quá tải do hiệu ứng “cổ chai” Xung đột tên vì không thể có hai máy tính cùng tên trong tập tin HOSTS.TXT Tuy nhiên do tên máy không phân cấp và không có gì bảo đảm để ngăn chặn Khoa CNTT – Đồ Án Tốt Nghiệp: Quản lý xác thực tập trung với dịch vụ LDAP Linux Trang 35/176 TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE 240 Võ Văn Ngân,... CNTT – Đồ Án Tốt Nghiệp: Quản lý xác thực tập trung với dịch vụ LDAP Linux Trang 27/176 TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE 240 Võ Văn Ngân, QuậnThủ Đức, TP Hồ Chí Minh ĐT: 08.6 2678999 Fax: 08 – 6261 0304 Hostname: Nếu chúng ta có tên dns đầy đủ thì khai báo tên đầy đủ Trong trường hợp không kết nối vào mạng chúng ta cũng đặt tên cho máy thông qua mục chọn manually Nếu không tên nào được điền vào thì... phiên bản thử nghiệm Khoa CNTT – Đồ Án Tốt Nghiệp: Quản lý xác thực tập trung với dịch vụ LDAP Linux Trang 16/176 TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE 240 Võ Văn Ngân, QuậnThủ Đức, TP Hồ Chí Minh ĐT: 08.6 2678999 Fax: 08 – 6261 0304 II Ưu điểm & khuyết điểm của Linux: 1 Ưu điểm: 1.1 Kinh tế: Đó là một đặc điểm không thể bỏ qua của Linux Tuy nhiên đối với Linux đó vẫn chưa là tất cả Hệ điều hành này còn rất... những từ phân cách nhau bởi dấu “.” Ví dụ: hostname là server.thanhlong.com, trong đó server là tên máy và thanhlong.com là tên vùng Domain name phân bổ theo cơ chế phân cấp tương tự như sự phân cấp của hệ thống tập tin Unix /Linux Khoa CNTT – Đồ Án Tốt Nghiệp: Quản lý xác thực tập trung với dịch vụ LDAP Linux Trang 36/176 ... Hình 90: Yêu cầu chứng thực khi truy cập vào trang /admin 143 Hình 91: Chứng thực truy cập 144 Hình 92: Chứng thực truy cập thành công 145 Hình 93: Chọn ngôn ngữ sử dụng 145 Hình 94: Chọn source cài đặt 146 Hình 95: Thông báo prepare harddisk 147 Khoa CNTT – Đồ Án Tốt Nghiệp: Quản lý xác thực tập trung với dịch vụ LDAP Linux Trang 11/176 . Nghiệp: Quản lý xác thực tập trung với dịch vụ LDAP Linux Trang 15/176 MỤC TIÊU ĐỀ TÀI Xây dựng hệ thống mạng chứng thực tập trung với OpenLDAP. Xây. ĐỒ ÁN TỐT NGHIỆP Tên đề tài: QUẢN LÝ XÁC THỰC TẬP TRUNG VỚI DỊCH VỤ LDAP LINUX