ĐẠI HỌC DUY TÂN TRƯỜNG KHOA HỌC MÁY TÍNH KHOA KỸ THUẬT MẠNG MÁY TÍNH & TRUYỀN THƠNG BỘ MƠN KỸ THUẬT MẠNG  KHÓA LUẬN TỐT NGHIỆP ĐẠI HỌC Tên đề tài: TRIỂN KHAI GIẢI PHÁP TĂNG CƯỜNG XÁC THỰC TRONG HỆ THỐNG QUẢN TRỊ TẬP TRUNG DÙNG FREEIPA Chuyên ngành : KỸ THUẬT MẠNG Khóa : 2018 – 2022 Họ tên sinh viên : PHAN HỮU MINH NHÂN MSSV: 24211105073 Lớp sinh hoạt : K24 TMT Giảng viên hướng dẫn : ThS ĐẶNG NGỌC CƯỜNG Đà Nẵng, 05/2021 LỜI CẢM ƠN Khóa luận thực Trường Khoa học máy tính - Đại học Duy Tân hướng dẫn thầy Th.S Đặng Ngọc Cường Tôi xin gửi lời cảm ơn sâu sắc đến thầy định hướng, giúp đỡ, quan tâm tạo điều kiện thuận lợi suốt trình nghiên cứu để hồn thành khóa luận Tơi xin gửi lời cảm ơn tới gia đình bạn bè quan tâm động viên giúp tơi có thêm nghị lực để hồn thành khóa luận Dù có nhiều cố gắng, song khơng tránh khỏi thiếu sót, nên tơi mong nhận góp ý q báu thầy bạn để báo cáo khóa luận hồn thiện Tơi xin chân thành cảm ơn! Đà Nẵng, ngày 15 tháng 05 năm 2022 Người thực Phan Hữu Minh Nhân i LỜI CAM ĐOAN Tôi xin cam đoan: a Những nội dung khóa luận thực hướng dẫn trực tiếp thầy Th.S Đặng Ngọc Cường b Mọi tham khảo dùng khóa luận trích dẫn rõ ràng trung thực tên tác giả, tên cơng trình, thời gian, địa điểm công bố c Mọi chép không hợp lệ, vi phạm quy chế đào tạo, hay gian trá, tơi xin chịu hồn tồn trách nhiệm Đà Nẵng, ngày 15 tháng 05 năm 2022 Người thực Phan Hữu Minh Nhân ii MỤC LỤC DANH MỤC HÌNH ẢNH vi DANH MỤC TỪ VIẾT TẮT vii LỜI MỞ ĐẦU ix CHƯƠNG TỔNG QUAN VỀ HỆ THỐNG XÁC THỰC 1.1 Khái niệm xác thực 1.2 Các yếu tố xác thực 1.3 Một số phương pháp xác thực Giới thiệu IDS 1.3.1 Xác thực dựa định danh người dùng mật 1.3.2 Sử dụng giao thức bắt tay có thử thách ( Challenge Handshake Authentication Protocol – CHAP ) 1.3.3 Xác thực Kerberos 1.3.4 Xác thực sử dụng token 1.3.5 Xác thực áp dụng phương pháp nhận dạng sinh trắc học (Biometrics) 1.3.6 Phương pháp xác thực lẫn 1.3.7 Xác thực đa yếu tố 1.3.8 Xác thực sử dụng mật lần (OTP) .7 1.4 Hoạt động xác thực người dùng .8 1.5 Tầm quan trọng xác thực .9 1.6 Lợi ích xác thực .9 CHƯƠNG TỔNG QUAN VỀ GIẢI PHÁP XÁC THỰC TRONG HỆ THỐNG FREEIPA 11 2.1 Khái niệm FreeIPA .11 2.2 Lịch sử phát triển PKI 13 2.3 Các định nghĩa sở hạ tầng khóa cơng khai khái niệm có liên quan 15 iii 2.3.1 Định nghĩa PKI 15 2.3.2 Các khái niệm liên quan PKI 16 2.3.3 Vai trò chức .19 2.4 Các thành phần PKI 22 2.4.1 Tổ chức chứng nhận(Certificate Authority – CA) 24 2.4.2 Tổ chức đăng kí chứng nhận (Registration Authority – RA) 24 2.4.3 Thực thể cuối (End Entity – EE) .26 2.4.4 Chứng nhận khố cơng khai (Public Key Certificate) .26 2.4.5 Kho lưu trữ chứng nhận (Certificate Repository – CR) 26 2.5 Cách thức hoạt động PKI .26 2.6 Các tiến trình PKI .27 2.6.1 Khởi tạo 27 2.6.2 Yêu cầu chứng thư số .27 2.6.3 Tạo lại chứng thư số .27 2.6.4 Hủy bỏ chứng thư số .28 2.6.5 Lưu trữ phục hồi khóa 28 2.7 Ứng dụng PKI 28 CHƯƠNG TRIỂN KHAI GIẢI PHÁP TĂNG CƯỜNG XÁC THỰC TRONG HỆ THỐNG QUẢN TRỊ TẬP TRUNG DÙNG FREEIPA .30 3.1 Kịch sơ đồ .30 3.2 Mơ hình triển khai 31 3.2.1 Định cấu hình FreeIPA server 31 3.2.2 Định cấu hình DNS 34 3.2.3 Cài đặt tài khoản người dùng FreeIPA 35 3.2.4 Định cấu hình Client FreeIPA 37 3.2.5 Hoạt động người dùng 38 3.2.6 Web FreeIPA dành cho quản trị viên .39 3.2.7 Định cấu hình FreeIPA .39 iv Document continues below Discover more from: Lập trình sở CS 211 Trường Đại Học… 183 documents Go to course Final EXAM CS211AC 2020F 4B8EF… Lập trình sở 100% (7) CS 211 Lap Trinh Co 139 21 So - 2021F -… Lập trình sở 86% (7) LAB Tutorial CS211 2021F Lập trình sở 100% (3) Ceh exam blueprint v4 - CEH v12 Lập trình sở 100% (2) ON TAP TRAC 12 Nghiem CS201 Lập trình sở 75% (4) IS301C - Cơ sở 3.2.8 Định cấu hình Cross Forest Trust miền FreeIPA miền liệu IS 301 Windows Active Directory .41 Lập trình sở 3.2.9 Xác thực chứng PKI 44 100% (1) 3.3 Kết triển khai .47 3.4 Ưu điểm hạn chế hệ thống 48 3.4.1 Ưu điểm 48 3.4.2 Hạn chế 48 KẾT LUẬN 49 TÀI LIỆU THAM KHẢO 50 v DANH MỤC HÌNH Ả Hình 1.1: Xác thực Ủy Quyền .2 Hình 1.2: Xác thực dựa Username – Password Hình 1.3: Xác thực sinh trắc học Hình Y Hình 2.1: Thành phần FreeIPA 13 Hình 2: Cấu trúc chung chứng thư số X.509 v3 17 Hình 3: Các thành phần hệ thống PKI .23 Hình 4: Quá trình xác thực dựa CA 24 Hình 3.1: Thêm tên miền FreeIPA server vào domain 31 Hình 3.2: Cài đặt FreeIPA server 32 Hình 3.3: Cài đặt máy chủ FreeIPA tích hợp DNS 33 Hình 4: Giao diện DNS server .34 Hình 3.5: Thêm địa ip FreeIPA server vào DNS server 35 Hình 6: Tạo Username password người dùng 35 Hình 3.7: Đăng nhập vào User vừa tạo xem id người dùng .36 Hình 3.8: Người dùng FreeIPA 36 Hình 3.9: Thêm tiền miền FreeIPA vào domain client 37 Hình 3.10: Cài đặt máy client FreeIPA .38 Hình 11 Web FreeIPA .39 Hình 12: Thêm ghi PTR vùng đảo ngược .40 Hình 13 41 Hình 14 42 vi Hình 15 42 Hình 16 43 Hình 17 43 Hình 18 44 Hình 19 45 Hình 20 45 Hình 21 45 Hình 22 46 Hình 23 46 Hình 24 47 Hình 25 47 vii 3.2.4 Định cấu hình Client FreeIPA Tơi dùng máy Ubuntu client để cấu hình B1: Vào /etc/hostname đổi tên miền domain name thành cl1.myhome.lan B2: Vào /etc/hosts thêm địa ip static domain name vào host thêm ip server IPA Hình 3.9: Thêm tiền miền FreeIPA vào domain client 37 B3: Tơi cài gói IPA client # sudo apt install freeipa-client Hình 3.10: Cài đặt máy client FreeIPA B4: Cài đặt máy chủ làm client IPA # ipa-client-instal mkhomedir 3.2.5 Hoạt động người dùng Thêm tài khoản người dùng # ipa user-add Password Thay đổi mật người dùng # ipa passwd “hostname” Khóa mở khóa tài khoản người dùng 38 # ipa user-disable “hostname” # ipa user-enable “hostname Xem tài khoản người dùng # ipa user-find Xóa tài khoản người dùng # ipa user-del “hostname” 3.2.6 Web FreeIPA dành cho quản trị viên Hình 11 Web FreeIPA Hinh 3.17 3.2.7 Định cấu hình FreeIPA B1: Tơi vào IPA server cấu hình vùng đảo ngược tích hợp DNS server 39 # ipa dnszone-add 0.0.0.126 B2: Thêm ghi PTR vào vùng đảo ngược # ipa dnsrecord-add 0.0.0.126 30 ptr-rec sv.myhome.lan # ipa dnsrecord-add 0.0.0.126 51 ptr-rec sv2.myhome.lan Hình 12: Thêm ghi PTR vùng đảo ngược B3: Thiết lập fiewall cho phép dịch vụ # firewall-cmd add-service=freeipa-replication permanent # firewall -cmd reload B4: Cài đặt gói replica cho Centos # dnf module -y install idm:DL1/dns B5: Cài đặt IPA Replica # ipa-replica-install setup-ca setup-dns noforwarders 40 Hình 13 Sau cài đặt xong tìm thấy người dùng có thêm tài khoản máy chủ IPA server 3.2.8 Định cấu hình Cross Forest Trust miền FreeIPA miền Windows Active Directory B1: Tơi vào IPA server cấu hình gói adtrust # dnf module -y install idm:DL1/adtrust B2: Tôi cài đặt IPA Adtrust # ipa-adtrust-install B3: Cài đặt máy chủ DNS máy chủ IPA # ipa dnsforwardzone-add myhome.lan forwarder=192.168.182.141 forward-policy=only # ipa dnszone-mod myhome.lan allowtransfer=192.168.182.141 41 Hình 14 B4: Thêm miền FreeIPA vào thư mục Active Directory Server dnscmd 127.0.0.1 /ZoneAdd sv.myhome.lan /Secondary 192.168.182.130 Hình 15 B5: Xác minh độ phân giải Tên khơng có vấn đề gì, thiết lập độ tin cậy # dig SRV _ldap._tcp.myhome.lan 42 Hình 16 # dig SRV _ldap._tcp.ad.myhome.lan Hình 17 B6: Xác lập tin cậy chiều miền Active Directory Server # ipa trust-add two-way=true type=ad ad.myhome.lan admin Administrator Password 43 3.2.9 Xác thực chứng PKI Khách hàng FreeIPA dịch vụ họ không mong đợi không phép giao tiếp trực tiếp với PKI Thay vào đó, họ phải sử dụng API máy chủ FreeIPA, sử dụng xác thực Kerberos tiêu chuẩn Sau đó, dịch vụ web FreeIPA xác thực yêu cầu chuyển đến dịch vụ PKI, xác thực chứng tác nhân riêng ( ipaCert lưu trữ /etc/httpd /alias/ ) 3.2.9.1 Tất chứng theo dõi # getcert list Hình 18 3.2.9.2 Tất chứng IPA # getcert list -c IPA 3.2.9.3 Tạo khóa chứng PKI # ipa service-add HTTP / `hostname` Tạo sở liệu chứng NSS giữ chứng # mkdir -p /etc/httpd/nssdb; cd /etc/httpd/nssdb # certutil -N -d 44 Hình 19 3.2.9.4 Yêu cầu chứng PKI # certutil -R -d -a -g 2048 -s CN=`SV`,O=MYHOME.LAN > web.csr Hình 20 # ipa cert-request principal = HTTP / `hostname` web.csr Hình 21 # ipa cert-show $ SERIAL_NUMBER out = web.crt # certutil -A -d -n Server-Cert -tu, u, u -i web.crt 45 Hình 22 3.2.9.5 Gia hạn chứng PKI # ipa-getcert resubmit -i REQUEST_ID Tại sử dụng ID 20220421093633 để gia hạn chứng Hình 23 3.2.9.6 Hiển thỉ xác thực chứng PKI # certutil -L -d -n Server-Cert 46 Hình 24 # certutil -V -u V -d -n Server-Cer Hình 25 certutil: certificate is valid > chứng hợp lệ 47 3.3 Kết triển khai Thành công tạo server FreIPA để quản trị tập trung hệ thống Thành công cài đặt nhân rộng FreeIPA Đã cài đặt ủy thác cho server Active Directory môi trường Windows Dễ dàng cấu hình user, group policy truy cập qua FreeIPA GUI thơng qua CLI Đã u cầu xác thực chứng chỉ, tạo khóa chứng chỉ, yêu cầu chứng chỉ, gia hạn chứng cấp chứng PKI cụ thể cho khách hàng 3.4 Ưu điểm hạn chế hệ thống 3.4.1 Ưu điểm Tiết kiệm thời gian quản lý trình xác thực ủy quyền cho hệ thống FreeIPA xây dựng dựa thành phần mã nguồn mở tiếng giao thức chuẩn với tập trung mạnh vào việc dễ dàng quản lý tự động tác vụ cài đặt cấu hình Rất hữu ích cho quản trị viên hệ thống phải quản lý tài khoản người dùng 3.4.2 Hạn chế Việc xác thực Windows Server 2012 R2 vào hệ thống gặp nhiều khó khăn giao diện người dùng Tổ chức phát hành chứng Windows Server 2012 R2 từ chối ký chứng Phải tạo thêm máy chủ DNS để xác thực DNS với hệ thống FreeIPA 48 KẾT LUẬN KẾT QUẢ ĐẠT ĐƯỢC Thành cơng tạo hệ thống FreeIPA chạy môi trường ảo hóa VMware Workstation cách ổn định trơn tru HẠN CHẾ CỦA ĐỀ TÀI Dung lượng máy chưa thể đáp ứng để cấu hình hệ thống FreeIPA hồn chỉnh đưa quan để triển khai HƯỚNG PHÁT TRIỂN Mong muốn phát triển hệ thống FreeIPA quan, doanh nghiệp công ty nhỏ 49 TÀI LIỆU THAM KHẢO  Tiếng Việt [1] Lê Thị Thu Huyền " Nghiên Cứu, Tìm Hiểu Về Hệ Thống Chứng Thực Số Và Ứng Dụng " Đại học Công Nghệ (2016) [2] https://viblo.asia/p/phan-1-tong-quan-ve-pki-1Je5EJo0KnL? fbclid=IwAR0L4kJbSsZIEJ94AKy28N6y9uxtwIzweoGv8qczvhcsdFDDBuaI0lENXk c [3] https://www.securityandit.com/security/freeipa-active-directory-integration/? fbclid=IwAR3gmzI0T94EdZqRx7pjRZPyNGH4NWNDl0DAdDu_xgNzcvgc4qQT6q ukuSM  Tiếng Anh [ ] https://www.freeipa.org/page/Active_Directory_trust_setup [ ] https://www.freeipa.org/page/PKI [ ] https://www.freeipa.org/page/Howto/Change_Directory_Manager_Password  Website 50