1 QTM-CĐ-MĐ30-CĐ TUYÊN BỐ BẢN QUYỀN: Tài liệu thuộc loại sách giáo trình nên nguồn thơng tin phép dùng nguyên trích dùng cho mục đích đào tạo tham khảo Mọi mục đích khác mang tính lệch lạc sử dụng với mục đích kinh doanh thiếu lành mạnh bị nghiêm cấm LỜI GIỚI THIỆU Kiến thức môn học CHUYÊN ĐỀ tản người muốn tìm hiểu sâu Cơng nghệ thơng tin đặt biệt việc học nhành Quản trị mạng máy tính để giải tốn máy tính điện tử Nắm vững Quản trị sở để sinh viên tiếp cận với việc thiết kế quản trị phịng máy nhue cơng ty Mặc dầu có nhiều cố gắng, khơng tránh khỏi khiếm khuyết, mong nhận đóng góp ý kiến độc giả để giáo trình hoàn thiện Cần Thơ, ngày tháng năm 2017 Tham gia biên soạn Chủ biên Nguyễn Hoàng Vũ MỤC LỤC LỜI GIỚI THIỆU MỤC LỤC GIÁO TRÌNH MƠN HỌC/MƠ ĐUN Bài 1: CÀI ĐẶT DNS Tổng quan DNS 1.1 Giới thiệu DNS 1.2 Đặc điểm DNS Windows Server 11 Cách phân bố liệu quản lý tên miền 11 3.Cơ chế phân giải tên 12 3.1 Phân giải tên thành IP 12 3.2 Phân giải IP thành tên máy tính 12 4.Một số khái niệm 13 4.1 Domain name zone 13 4.2 Fully Qualified Domain Name (FQDN) 13 4.3 Sự ủy quyền(Delegation) 13 4.4 Forwarders 14 4.5 Stub zone 14 4.6 Dynamic DNS 14 4.7 Active Directory-integrated zone 14 Phân loại Domain Name Server 14 5.1 Primary Name Server 14 5.2 Secondary Name Server 14 5.3 Caching Name Server 14 Resource Record (RR) 15 6.1 SOA(Start of Authority) 15 6.2 NS (Name Server) 15 6.3 A (Address) CNAME (Canonical Name) 15 6.4 AAAA 15 6.5 SRV 15 6.6 MX (Mail Exchange) 16 6.7 PTR (Pointer) 16 Cài đặt 16 7.1 Các bước cài đặt dịch vụ DNS 16 Bài 2: CẤU HÌNH DNS 18 Cấu hình dịch vụ DNS 18 Tạo Forward Lookup Zones 18 Tạo Reverse Lookup Zone 19 Bài tập thực hành học viên 20 Bài 3: NÂNG DOMAIN (ACTIVE DIRECTORY) 28 Active Directory 28 1.1 Giới thiệu 28 1.2 Chức Active Directory 28 1.3 Directory Services 28 Các thành phần AD 29 2.1 Cấu trúc AD logic 29 2.2 Cấu trúc AD vật lý 31 3.1 Nâng cấp Server thành Domain Controller(DC) 31 3.2 Gia nhập máy trạm vào Domain 32 Bài tập thực hành học viên 33 Bài 4: JOIN MÁY TRẠM VÀO DOMAIN 37 Chuẩn bị cho hệ thống mạng: 37 Địa IP máy sau: 37 Chi tiết Join client vào domain 37 Bài tập thực hành học viên 40 Cài đặt cấu hình AD 41 Gia nhập máy trạm vào Domain 44 Bài 5: TẠO USER, GROUP TRÊN DOMAIN 46 Mục tiêu: 46 Định nghĩa tài khoản người dùng tài khoản nhóm 46 1.1 Tài khoản người dùng 46 1.2 Tài khoản nhóm 47 Các tài khoản tạo sẵn 48 2.1 Tài khoản người dùng tạo sẵn 48 2.2 Tài khoản nhóm Domain Local tạo sẵn 49 2.3 Tài khoản nhóm Global tạo sẵn 51 2.4 Các nhóm tạo sẵn đặc biệt 51 Quản lý tài khoản người dùng nhóm cục 52 3.1 Công cụ quản lý tài khoản người dùng cục 52 3.2 Các thao tác tài khoản người dùng cục 52 3.2.3 Khóa tài khoản 53 3.2.4 Đổi tên tài khoản 53 3.2.5 Thay đổi mật 53 Quản lý tài khoản người dùng nhóm active directory 53 4.1 Tạo tài khoản người dùng 53 4.2 Các thuộc tính tài khoản người dùng 54 4.3 Tạo tài khoản nhóm 57 4.4 Các tiện ích dịng lệnh quản lý tài khoản người dùng tài khoản nhóm 58 Bài tập thực hành học viên 60 Bài 6: THIẾT LẬP CÁC THUỘC TÍNH CHO CÁC USER, GROUP TRONG DOMAIN 64 Nội dung chính: 64 Cấu hình hệ thống tâp tin 64 Cấu hình đĩa lưu trữ 65 2.1 Basic storage 65 2.2 Dynamic storage 65 Sử dụng chương trình Disk Manager 67 3.1 Xem thuộc tính đĩa 68 3.2 Xem thuộc tính volume đĩa cục 69 3.3 Bổ sung thêm ổ đĩa 71 3.4 Tạo partition volume 71 3.5 Thay đổi ký tự ổ đĩa đường dẫn 73 3.6 Xoá partition/volume 73 3.7 Cấu hình Dynamic Storage 73 Bài 7: CHIA SẺ TÀI NGUYÊN MẠNG CHO CÁC USER, GROUP 78 Mục tiêu: 78 Nội dung chính: 78 Tạo thư mục dùng chung 78 1.1 Chia sẻ thư mục dùng chung 78 1.2 Cấu hình Share Permissions 79 1.3 Chia sẻ thư mục dùng lệnh netshare 80 Quản lý thư mục dùng chung 81 2.1 Xem thư mục dùng chung 81 2.2 Xem phiên làm việc thư mục dùng chung 81 2.3 Xem tập tin mở thư mục dùng chung 82 Quyền truy cập NTFS 82 3.2 Các mức quyền truy cập dùng NTFS 83 3.3 Gán quyền truy cập NTFS thư mục dùng chung 84 3.4 Kế thừa thay quyền đối tượng 85 3.5 Thay đổi quyền di chuyển thư mục tập tin 86 3.6 Giám sát người dùng truy cập thư mục 87 3.7 Thay đổi người sở hữu thư mục 87 DFS 88 4.1 So sánh hai loại DFS 88 4.2 Cài đặt Fault-tolerant DFS 88 Bài tập thực hành học viên 91 Bài 8: CÀI ĐẶT VÀ QUẢN TRỊ VIỆC IN ẤN TRONG MẠNG 97 Nội dung chính: 97 Cài đặt máy in 97 Quản lý thuộc tính máy in 98 2.1 Cấu hình Layout 98 2.2 Giấy chất lượng in 98 2.3 Các thông số mở rộng 98 Cấu hình chia sẻ máy in 99 Cấu hình thơng số port 99 4.1 Cấu hình thơng số Tab Port 99 4.2 Printer Pooling 100 4.3 Điều hướng tác vụ in đến máy in khác 101 Cấu hình tab advanced 101 5.1 Các thông số Tab Advanced 102 5.2 Khả sẵn sàng phục vụ máy in 102 5.3 Độ ưu tiên (Printer Priority) 102 5.4 Print Driver 103 5.5 Spooling 103 5.6 Print Options 103 5.7 Printing Defaults 103 5.8 Print Processor 103 5.9 Separator Pages 104 Cấu hình tab security 105 6.1 Giới thiệu Tab Security 105 6.2 Cấp quyền in cho người dùng/nhóm người dùng 106 Quản lý print server 106 7.1 Hộp thoại quản lý Print Server 106 7.2 Cấu hình thuộc tính Port Print Server 107 7.3 Cấu hình Tab Driver 107 Giám sát trạng thái hàng đợi máy in 107 Bài tập thực hành học viên 109 Hướng dẫn thực hiện: 110 Bài 9: BẢO MẬT MẠNG 120 Nội dung chính: 120 Các khái niệm 120 1.1 Mơ hình client server số khả ứng dụng 120 1.2 Socket 120 1.3 Phương thức hoạt động đặc điểm dịch vụ Proxy 121 1.4 Cache phương thức cache 122 Triển khai dịch vụ proxy 123 2.1 Các mô hình kết nối mạng 123 2.2 Thiết lập sách truy cập qui tắc 125 2.3 Proxy client phương thức nhận thực 126 Bài tập thực hành học viên 129 TÀI LIỆU THAM KHẢO 131 GIÁO TRÌNH MƠN HỌC/MƠ ĐUN Tên mơn học/mơ đun: CHUN ĐỀ Mã mơn học/mơ đun: MĐ 30 Vị trí, tính chất, ý nghĩa vai trị mơ đun - Vị trí: Là mơn mơ đun tự chọn bố trí học kỳ cuối năm - Tính chất: Là mơ đun tự chọn, chọn chuyên đề nêu - Ý nghĩa vai trị: mơ đun giúp sinh viên Quản trị chuyên sâu hệ thống mạng; cài đặt, triển khai cấu hình đảm bảo an tồn cho hệ thống mạng Mục tiêu môn học/mô đun - Về kiến thức: + Lựa chọn chủ đề nghiên cứu thưc hành riêng cho chuyên ngành học + Xác định yêu cầu đề tài, điều kiện kỹ thuật, tài chính, hạn chế + Biết lập kế hoach thực đề tài + Sử dụng kỹ thuật học để thực đề tài + Biết cách viết báo cáo đề tài + Trình bày bước cài đặt hệ điều hành Windows Server + Xác định cài đặt cấu hình DNS + Xác định nâng Domain + Trình bày bước Đăng ký máy trạm vaò Domain (Join Domain); + Tạo User, Group, OU miền Domain + Trình bày bước Quản trị người dùng mạng Client/Server - Về kỹ năng: + Biết cách viết báo cáo đề tài + Cài đặt hệ điều hành Windows Server + Thực hành cài đặt cấu hình DNS + Thực nâng Domain + Thực hành đăng ký máy trạm vào Domain (Join Domain) + Tạo User, Group, OU miền Domain + Quản trị người dùng mạng Client/Server - Về lực tự chủ trách nhiệm: + Nghiêm túc, tỉ mỉ trình tiếp cận với công cụ + Chủ động sáng tạo tìm kiếm ứng dụng quản trị mạng cho cơng ty + Bố trí làm việc khoa học đảm bảo an toàn cho người phương tiện học tập + Thực thao tác an toàn với máy tính U CẦU VỀ ĐÁNH GIÁ HỒN THÀNH MƠN HỌC/MƠ ĐUN Phương pháp đánh giá + Hình thức kiểm tra hết mơn chọn hình thức sau: - Đối với lý thuyết :Viết, vấn đáp, trắc nghiệm - Đối với thực hành : Bài tập thực hành máy tính + Thời gian kiểm tra: - Lý thuyết: Không 150 phút - Thực hành: Không + Thực theo qui chế thi, kiểm tra công nhận tốt nghiệp dạy nghề hệ qui định 14/2007/BLĐTB&XH ban hành ngày 24/05/2007 Bộ trưởng Bộ LĐ-TB&XH Nội dung đánh giá - Về kiến thức: Được đánh giá qua kiểm tra viết, trắc nghiệm đạt yêu cầu sau: + - Lựa chọn chủ đề nghiên cứu thưc hành riêng cho chuyên ngành học + Xác định yêu cầu đề tài, điều kiện kỹ thuật, tài chính, hạn chế + Biết lập kế hoach thực đề tài + Sử dụng kỹ thuật học để thực đề tài + Biết cách viết báo cáo đề tài + Trình bày bước cài đặt hệ điều hành Windows Server + Xác định cài đặt cấu hình DNS + Xác định nâng Domain + Trình bày bước Đăng ký máy trạm vaò Domain (Join Domain); + Tạo User, Group, OU miền Domain + Trình bày bước Quản trị người dùng mạng Client/Server -Về kỹ năng: Đánh giá kỹ thực hành sinh viên thực hành Tạo CSDL, truy vấn liệu, tạo quan hệ bảo mật liệu + Biết cách viết báo cáo đề tài + Cài đặt hệ điều hành Windows Server + Thực hành cài đặt cấu hình DNS + Thực nâng Domain + Thực hành đăng ký máy trạm vào Domain (Join Domain) + Tạo User, Group, OU miền Domain + Quản trị người dùng mạng Client/Server - Về thái độ: Cẩn thận, tự giác Bài 1: CÀI ĐẶT DNS Mã bài: MĐ 30 – 01 Giới thiệu: Bài học cung cấp cho người học cách trình bày cấu trúc sở liệu hệ thống tên miền, mô tả phân cấp hệ thống tên miền, trình bày chế phân giải tên máy tính thành địa IP ngược lại, trình bày phân bố liệu quản lý tên miền Mục tiêu: - Trình bày cấu trúc sở liệu hệ thống tên miền; - Mô tả hoạt động phân cấp hệ thống tên miền; - Cài đặt hệ thống tên miền DNS - Thực thao tác an toàn với máy tính Nội dung chính: Tổng quan DNS Mục tiêu: - Trình bày cấu trúc sở liệu hệ thống tên miền; - Mô tả phân cấp hệ thống tên miền; 1.1 Giới thiệu DNS Mỗi máy tính mạng muốn liên lạc hay trao đổi thông tin, liệu cho cần phải biết rõ địa IP Nếu số lượng máy tính nhiều việc nhớ địa IP khó khăn Vì vậ y, DNS (Domain Name System) giải pháp dùng tên thay cho địa IP khó nhớ sử dụng dịch vụ mạng Vì thế, người ta nghĩ cách ánh xạ địa IP thành tên máy tính Dịch vụ DNS hoạt động theo mơ hình Client-Server: phần Server gọi máy chủ phục vụ tên hay cịn gọi Name Server, cịn phần Client trình phân giải tên - Resolver Name Server chứa thông tin CSDL DNS, Resolver đơn giản hàm thư viện dùng để tạo truy vấn (query) gửi chúng qua đến Name Server DNS thi hành giao thức tầng Application mạng TCP/IP DNS CSDL phân tán Điều cho phép người quản trị cục quản lý phần liệu nội thuộc phạm vi họ, đồng thời liệu dễ dàng truy cập tồn hệ thống mạng theo mơ hình Client-Server Hiệu suất sử dụng dịch vụ tăng cường thông qua chế nhân (replication) lưu tạm (caching) Một hostname domain kết hợp từ phân cách dấu chấm(.) 10 Hình 1.1: Sơ đồ tổ chức DNS Loại tên Gốc (domain root) Miêu tả Nó đỉnh nhánh tên miền Nó xác định kết thúc domain (fully qualified domain names FQDNs) Tên miền cấp Là hai ba ký tự xác định (Top-level domain) nước/khu vực cáctổ chức Tên miền cấp hai (Second-level domain) Ví dụ Đơn giản dấu chấm (.) sử dụng cuối tên ví "example.microsoft.com” ".com", xác định tên sử dụng xác định tổ chức thương mại "microsoft.com.", tên miền cấp hai đăng ký cơng ty Microsoft Nó đa dạng internet, tên cơng ty, tổ chức hay cá nhân v.v đăng ký internet Tên miền cấp nhỏ Chia nhỏ thêm tên miên cấp hai xuống thường sử dụng chi "example.microsoft.com." phần quản lý tài liệu ví dụ microsof (Subdomain) nhánh, phong ban quan hay chủ đề Cơ sở liệu(CSDL) DNS đảo ngược Mỗi nút lại gốc Mỗi phân vùng toàn CSDL DNS gọi miền (domain) Mỗi domain phân chia thành phân vùng nhỏ gọi miền (subdomain) Mỗi domain có tên (domain name) Tên domain vị trí CSDL DNS Trong DNS tên miền chuỗi tên nhãn nút ngược lên nút gốc phân cách dấu chấm Tên nhãn bên phải domain name gọi top-level domain Trong ví dụ trước srv1.csc.hcmuns.edu.vn, miền “.vn” top-level domain Bảng sau liệt kê top-level domain Tên miền Mô tả com Các tổ chức, công ty thương mại 117 Group policyObject Editor mở Mở tính Pre-populate printer search location text Và tính Printer browsing 118 Refresh group policy Dùng lệnh Find để tìm printers Điền vào location Click vào Find Now Thiết lập đọ ưu tiên tính sẵn sàng in Right click vào biểu tượng máy in HP 2200 chọn properties để cấu hình printer pool, vào thẻ Advanced để cấu hình: 119 Tương tự Right click vào biểu tượng máy in HP 2200 NEW chọn properties, vào thẻ Advanced, thay đổi giá trị 50 khung Priority in máy in có độ ưu tiên chậm so với máy in HP 2200 120 Bài 9: BẢO MẬT MẠNG Mã bài: MĐ 30 – 09 Giới thiệu: - Bài học cung cấp cho người học trình bày khái niệm, phương thức hoạt động, đặc điểm dịch vụ Proxy, lựa chọn mơ hình mạng để triển khai dịch vụ Proxy, cài đặt dịch vụ Proxy Mục tiêu: - Trình bày khái niệm dịch vụ Proxy; - Mô cách triển khai khai thác tốt dịch vụ Proxy - Thực thao tác an tồn với máy tính Nội dung chính: Các khái niệm Mục tiêu: - Trình bày khái niệm dịch vụ Proxy - Trình bày phương thức hoạt động dịch vụ Proxy - Trình bày đặc điểm dịch vụ Proxy 1.1 Mơ hình client server số khả ứng dụng Mơ hình chuẩn cho ứng dụng mạng mơ hình client-server Trong mơ hình máy tính đóng vai trị client máy tính có nhu cầu cần phục vụ dịch vụ máy tính đóng vai trị server máy tính đáp ứng yêu cầu dịch vụ từ client Khái niệm client-server mang tính tương đối, điều có nghĩa máy lúc đóng vai trị client lúc khác lại đóng vai trị server Nhìn chung, client máy tính cá nhân, cịn Server máy tính có cấu hình mạnh có chứa sở liệu chương trình ứng dụng để phục vụ dịch vụ từ u cầu client Hình 9.1: Mơ hình client server số khả ứng dụng Cách thức hoạt động mơ hình client-server sau: tiến trình server khởi tạo trạng thái chờ yêu cầu từ tiến trình client tiến trình client khởi tạo hệ thống hệ thống khác kết nối thông qua mạng, tiến trình client thường khởi tạo lênh từ người dùng Tiến trình client yêu cầu gửi chúng qua mạng tới server để yêu cầu phục vụ dịch vụ Tiến trình server thực việc xác định yêu cầu hợp lệ từ client sau phục vụ trả kết tới client tiếp tục chờ đợi yêu cầu khác Một số kiểu dịch vụ mà server cung cấp như: dịch vụ thời gian (trả yêu cầu thông tin thời gian tới client), dịch vụ in ấn (phục vụ yêu cầu in client), dịch vụ file (gửi, nhận thao tác file cho client), thi hành lệnh từ client server 1.2 Socket Một kết nối định nghĩa liên kết truyền thơng tiến trình, để xác định kết nối cần phải xác định thành phần sau: {Protocol, local-addr, local-process, remote-addr, remote-process} 121 Trong local-addr remote-addr địa máy địa phương máy từ xa local-process, remote-process để xác định vị trí tiến trình hệ thống Chúng ta định nghĩa nửa kết nối {Protocol, local-addr, local-process} {Protocol, remote-addr, remote-process} hay gọi socket Chúng ta biết để xác đinh máy ta dựa vào địa IP nó, máy có vơ số tiến trình ứng dụng chạy, để xác định vị trí tiến trình ứng dụng người ta định danh cho tiến trình số hiệu cổng, giao thức TCP sử dụng 16 bit cho việc định danh cổng tiến trình qui ước số hiệu cổng từ 1-1023 sử dụng cho tiến trình chuẩn (như FTP qui ước sử dụng cổng 21, dịch vụ WEB qui ước cổng 80, dịch vụ gửi thư SMTP cổng 25 ) số hiệu cổng từ 1024- 65535 dành cho ứng dụng người dùng 1.3 Phương thức hoạt động đặc điểm dịch vụ Proxy 1.3.1 Phương thức hoạt động Dịch vụ proxy triển khai nhằm mục đích phục vụ kết nối từ máy tính mạng dùng riêng Internet Khi đăng ký sử dụng dịch vụ internet tới nhà cung cấp dịch vụ, khách hàng cấp hữu hạn số lượng địa IP từ nhà cung cấp, số lượng IP nhận khơng đủ để cấp cho máy tính trạm Mặt khác với nhu cầu kết nối mạng dùng riêng Internet mà không muốn thay đổi lại cấu trúc mạng đồng thời muốn gia tăng khả thi hành mạng qua kết nối Internet muốn kiểm sốt tất thơng tin vào ra, muốn cấp quyền ghi lại thông tin truy cập người sử dụng… Dịch vụ proxy đáp ứng tất yêu cầu Hoạt động sở mơ hình client-server Q trình hoạt động dịch vụ proxy theo bước sau: Hình 9.2: Sơ đồ Phương thức hoạt động dịch vụ proxy Client yêu cầu đối tượng mạng Internet Proxy server tiếp nhận yêu cầu, kiểm tra tính hợp lệ thực việc xác thực client thỏa mãn proxy server gửi yêu cầu đối tượng tới server Internet Server Internet gửi đối tượng yêu cầu cho proxy server Proxy server gửi trả đối tượng cho client Ta thiết lập proxy server để phục vụ cho nhiều dịch vụ dịch vụ truyền file, dịch vụ web, dịch vụ thư điện tử…Mỗi dịch vụ cần có proxy server cụ thể để phục vụ yêu cầu đặc thù dịch vụ từ client Hình 9.3: Sơ đồ Proxy server gửi trả đối tượng cho client Các client tổ chức cấu trúc mạng gọi mạng (Inside network) hay gọi mạng dùng riêng IANA (Internet Assigned Numbers Authority) dành 122 riêng khoảng địa IP tương ứng với lớp mạng tiêu chuẩn cho mạng dùng riêng là: 10.0.0.0 - 10.255.255.255 (lớp A) 172.16.0.0 - 172.31.255.255 (lớp B) 192.168.0.0 - 192.168.255.255 (lớp C) Các địa sử dụng cho client mạng dùng riêng mà không gán cho máy chủ mạng Internet Trong việc thiết kế cấu hình mạng dùng riêng khuyến nghị nên sử dụng khoảng địa IP 1.3.2 Đặc điểm Proxy Server kết nối mạng dùng riêng với mạng Internet toàn cầu cho phép máy tính mạng internet truy cập tài nguyên mạng dùng riêng Proxy Server tăng cường khả kết nối Internet máy tính mạng dùng riêng cách tập hợp yêu cầu truy cập Internet từ máy tính mạng sau nhận kết từ Internet trả lời lại cho máy có yêu cầu ban đầu 1.4 Cache phương thức cache Nhằm tăng cường khả truy cập Internet từ máy tính trạm mạng sử dụng dịch vụ proxy ta sử dụng phương thức cache Dịch vụ proxy sử dụng cache để lưu trữ đối tượng truy cập trước Tất đối tượng lưu trữ (như hình ảnh tệp tin), nhiên số đối tượng yêu cầu xác thực (Authenticate) sử dụng SSL (Secure Socket Layer) không cache Như với đối tượng cache, yêu cầu từ máy tính trạm tới proxy server, proxy server thay kết nối tới địa mà máy tính trạm yêu cầu tìm kiếm cache đối tượng thỗ mãn gửi trả kết máy tính trạm Như cache cho phép cải thiện hiệu truy cập Internet máy trạm làm giảm lưu lượng đường kết nối Internet Vấn đề gặp phải sử dụng cache đối tượng cache có thay đổi từ nguồn, máy tính trạm yêu cầu đối tượng tới proxy server, proxy server lấy đối tượng cache để phục vụ thơng tin chuyển tới máy tính trạm thông tin cũ so với nguồn, để giải vấn đề cần phải có sách để cache đối tượng đồng thời đối tượng phải liên tục cập nhật Hình vẽ sau mơ tả proxy server xử lý yêu cầu người dùng sao: Hình 9.4: mơ tả proxy server xử lý yêu cầu người dùng Client yêu cầu đối tượng mạng Internet Proxy server kiểm tra xem đối tượng có cache hay khơng Nếu đối tượng khơng có cache proxy server proxy server gửi yêu cầu đối tượng tới server Internet Server Internet gửi đối tượng yêu cầu cho proxy server proxy server giữ copy đối tượng cache trả đối tượng cho client1 Client gửi yêu cầu đối tượng tương tự 123 Proxy server gửicho client đối tượng từ cache khơng phải từ Internet Ta triển khai dịch vụ proxy để quảng bá server mạng dùng riêng Internet Với yêu cầu đến, proxy server địng vai trị server bên ngoài, đáp ứng yêu cầu client từ nội dung web cache Proxy server chuyển tiếp yêu cầu cho server cache khơng thể phục vụ yêu cầu (Reverse cache) Triển khai dịch vụ proxy Mục tiêu: - Lựa chọn mơ hình mạng để triển khai dịch vụ Proxy - Cài đặt dịch vụ Proxy 2.1 Các mơ hình kết nối mạng Đối tượng phục vụ proxy server rộng, từ mạng văn phòng nhỏ, mạng văn phòng vừa tới mạng tập đồn lớn Với quy mơ tổ chức có cấu trúc mạng sử dụng proxy server cho phù hợp Sau xem xét số mơ hình mạng cỡ nhỏ, mạng cỡ trung bình mạng tập đồn lớn Trong sâu vào mơ hình thứ dành cho mạng văn phịng nhỏ phù hợp quy mơ tổ chức cơng ty vừa nhỏ Việt nam Mơ hình mạng văn phòng nhỏ : - Bao gồm mạng LAN độc lập - Sử dụng giao thức IP - Kết nối Internet đường thoại (qua mạng điện thoại công cộng hình thức quay dial-up hay sử dụng công nghệ ADSL) đường trực tiếp (Leased Line) - 250 máy tính trạm Mơ hình kết nối mạng hình vẽ: Hình 9.5: Mơ hình kết nối mạng Theo mơ hình này, với phương thức kết nối Internet Proxy server sử dụng 02 giao tiếp sau: - Kết nối Internet đường thoại qua mạng PSTN: • 01 giao tiếp với mạng nội thơng qua card mạng • 01 giao tiếp với Internet thơng qua Modem - Kết nối Internet đường trực tiếp (Leased Line) • 01 giao tiếp với mạng nội thơng qua card mạng • 01 giao tiếp với Internet thông qua card mạng khác Lúc bảng địa nội (LATLocal Address Table) xây dựng dựa danh sách địa IP mạng nội Mơ hình kết nối mạng cỡ trung bình 124 Đặc trưng mạng văn phịng cỡ trung bình sau: - Văn phòng trung tâm với vài mạng LAN - Mội văn phịng chi nhánh có mạng LAN - Sử dụng giao thức IP - Kết nối đường thoại từ văn phòng chi nhánh tới văn phòng trung tâm - Kết nối Internet từ văn phòng trung tâm tới ISP đường thoại đường trực tiếp (Leased Line) - 2000 máy tính trạm Mơ hình mạng hình 6.8 Theo mơ hình này, văn phịng chi nhánh sử dụng máy chủ Proxy cung cấp khả lưu trữ thông tin nội (local caching), quản trị kết nối kiểm soát truy cập tới văn phòng trung tâm Tại văn phòng trung tâm, số máy chủ Proxy hoạt động theo kiến trúc mảng (array) cung cấp khả bảo mật chung cho toàn mạng, cung cấp tính lưu trữ thơng tin phân tán (distributed caching) cung cấp kết nối Internet Hình 9.6: Mơ hình kết nối mạng tập đồn lớn Mạng tập đồn lớn có đặc trưng sau: - Văn phịng trung tâm có nhiều mạng LAN có mạng trục LAN - Có vài văn phịng chi nhánh, văn phịng chi nhánh có mạng LAN - Sử dụng giao thức mạng IP - Kết nối đường thoại từ văn phòng chi nhánh tới văn phòng trung tâm - Kết nối Internet từ văn phòng trung tâm tới ISP đường đường trực tiếp (Leased Line) - Có nhiều 2000 máy tính trạm Mơ hình mạng hình đây: Theo mơ hình mạng văn phòng chi nhánh cấu hình tương tự mơ hình văn phịng cỡ trung bình Các u cầu kết nối Internet không đáp ứng cache nội máy chủ Proxy văn phòng chi nhánh chuyển tới loạt máy chủ Proxy hoạt động theo kiến trúc mảng văn phòng trung tâm Tại văn phòng trung tâm máy chủ Proxy sử dụng 02 giao tiếp mạng (card mạng) 01 card mạng giao tiếp với mạng trục LAN 01 card mạng giao tiếp với mạng LAN thành viên 125 Hình 9.7: mơ hình mạng LAN văn phịng cỡ trung bình 2.2 Thiết lập sách truy cập qui tắc 2.2.1 Các qui tắc Ta thiết lập proxy server để đáp ứng yêu cầu bảo mật vận hành cách thiết lập qui tắc để xác định xem liệu người dùng, máy tính ứng dụng có quyền truy cập truy cập tới máy tính mạng hay Internet hay không Thông thường proxy server định nghĩa loại qui tắc sau: Qui tắc sách truy nhập, qui tắc băng thông, qui tắc sách quảng bá, đặc tính lọc gói qui tắc định tuyến chuỗi (chaining) Khi client mạng yêu cầu đối tượng proxy server xử lý qui tắc để xác định xem yêu cầu có xác định chấp nhận hay khơng Tương tự client bên ngồi (Internet) u cầu đối tượng từ server mạng, proxy server cững xử lý qui tắc xem yêu cầu có cho phép khơng Các qui tắc sách truy nhập:Ta sử dụng proxy server để thiết lập sách bao gồm qui tắc giao thức, qui tắc nội dung Các qui tắc giao thức định nghĩa giao thức sử dụng cho thông tin mạng Internet Qui tắc giao thức xử lý mức ứng dụng Ví dụ qui tắc giao thức cho phép Client sử dụng giao thức HTTP Các qui tắc nội dung qui định nội dung site mà client truy nhập Các qui tắc nội dung xử lý mức ứng dụng Ví dụ qui tắc nội dung cho phép client truy nhập tới địa Internet Qui tắc băng thông: Qui tắc băng thông xác định kết nối nhận quyền ưu tiên.Trong việc điều khiển băng thơng thường proxy server khơng giới hạn độ rộng băng thơng Hơn cho biết chất lượng dịch vụ (QoS) cấp phát ưu tiên cho kết nối mạng Thường kết nối khơng có qui tắc băng thơng kèm theo nhận quyền ưu tiên ngầm định kết nối có qui tắc băng thông kèm xếp với quyền ưu tiên quyền ưu tiên ngầm định Các qui tắc sách quảng bá: Ta sử dụng proxy server để thiết lập sách quảng bá, bao gồm qui tắc quảng bá server qui tắc quảng bá web Các qui tắc 126 quảng bá server web lọc tất yêu cầu đến từ yêu cầu client mạng (internet) tới server mạng Các qui tắc quảng bá server web đưa yêu cầu đến cho server thích hợp phía sau proxy server Đặc tính lọc gói: Đặc tính lọc gói proxy server cho phép điều khiển luồng gói IP đến từ proxy server Khi lọc gói hoạt động gói giao diện bên bị rớt lại, trừ chúng hoàn toàn cho phép cách cố định lọc gói IP, cách động sách truy cập hay quảng bá Qui tắc định tuyến cấu hình chuỗi proxy (chaining): thường qui tắc áp dụng sau để định tuyến yêu cầu client tới server định để phục vụ yêu cầu 2.2.2 Xử lý yêu cầu Một chức proxy server khả kết nối mạng dùng riêng Internet bảo vệ mạng khỏi nội dung có ác ý Để thuận tiện cho việc kiểm soát kết nối này, ta dùng proxy server để tạo sách truy cập cho phép client truy cập tới server Internet cụ thể, sách truy cập với qui tắc định tuyến định client truy cập Internet Khi proxy server xử lý yêu cầu đi, proxy server kiểm tra qui tắc định tuyến qui tắc nội dung qui tắc giao thức để xem xét việc truy cập có phép hay khơng u cầu cho phép quy tắc giao thức, qui tắc nội dung site cho phép không qui tắc từ chối yêu cầu Một vài qui tắc thiết lập để áp dụng cho client cụ thể Trong trường hợp này, client định địa IP user name Proxy server xử lý yêu cầu theo cách khác phụ thuộc vào kiểu yêu cầu client việc thiết lập proxy server.Với yêu cầu, qui tắc xử lý theo thứ tự sau: qui tắc giao thức, qui tắc nội dung, lọc gói IP, qui tắc định tuyến cấu hình chuỗi proxy 2.2.3 Xử lý yêu cầu đến Proxy server thiết lập để Server bên truy cập an tồn đến từ client ngồi Ta sử dụng proxy server để thiết lập sách quảng bá an tồn cho Server mạng Chính sách quảng bá (bao gồm lọc gói IP, qui tắc quảng bá Web, qui tắc quảng bá Server, với qui tắc định tuyến) định Server quảng bá Khi proxy server xử lý yêu cầu xuất phát từ client bên ngồi, kiểm tra lọc gói IP, qui tắc quảng bá qui tắc định tuyến để định xem liệu u cầu có thực hay khơng Server thực yêu cầu 2.3 Proxy client phương thức nhận thực Chính sách truy nhập qui tắc quảng bá Proxy server thiết lập phép từ chối nhóm máy tính hay nhóm người dùng truy nhập tới server Nếu qui tắc áp dụng riêng với người dùng, Proxy server kiểm tra đặc tính yêu cầu để định người dùng nhận thực Ta thiết lập thơng số cho yêu cầu thông tin đến để người dùng phải proxy server nhận thực trước xử lý qui tắc Việc đảm bảo yêu cầu phép người dùng đưa yêu cầu xác thực Bạn thiết lập phương pháp nhận thực sử dụng thiết lập phương pháp nhận thực cho yêu cầu yêu cầu đến khác 2.3.1 Phương pháp nhận thực Phương pháp nhận thực gửi nhận thông tin người dùng ký tự text dễ dàng đọc Thơng thường thơng tin user name password mã 127 hố phương pháp khơng có mã hố sử dụng Tiến trình nhận thực mơ tả sau, proxy client nhắc người dùng đưa vào username password sau thơng tin client gửi cho proxy server Cuối username password kiểm tra tài khoản proxy server 2.3.2 Phương pháp nhận thực Digest Phương pháp có tính chất tương tự phương pháp nhận thực khác việc chuyển thông tin nhận thực Các thơng tin nhận thực qua tiến trình xử lý chiều thường biết với tên "hashing" Kết tiến trình gọi hash hay message digest giải mã chúng Thông tin gốc phục hồi từ hash Các thông tin bổ sung vào password trước hash nên không bắt password sử dụng chúng để giả danh người dùng thực Các giá trị thêm vào để giúp nhận dạng người dùng Một tem thời gian thêm vào để ngăn cản người dùng sử dụng password sau bị huỷ Đây ưu điểm rõ ràng so với phương pháp nhận thực người dùng bất hợp pháp chặn bắt password 2.3.3 Phương pháp nhận thực tích hợp Phương pháp sử dụng tích hợp sản phẩm Microsoft Đây phương pháp chuẩn việc nhận thực username password khơng gửi qua mạng Phương pháp sử dụng giao thức nhận thực V5 Kerberos giao thức nhận thực challenge/response 2.3.4 Chứng thực client chứng thực server Ta sử dụng đặc tính SSL để nhận thực Chứng thực sử dụng theo hai cách client yêu cầu đối tượng từ server: server nhận thực cách gửi chứng thực server cho client Server yêu cầu client nhận thực (Trong trường hợp client phải đưa chứng thực client phù hợp tới server) SSL nhận thực cách kiểm tra nội dung chứng thực số mã hố proxy client đệ trình lên q trình đăng nhập (Các người dùng có chứng thực số từ tổ chức ngồi có độ tin tưởng cao) Các chứng thực server bao gồm thông tin nhận biết server Các chứng thực client thường gồm thông tin nhận biết người dùng tổ chức đưa chứng thực Chứng thực client: Nếu chứng thực client lựa chọn phương thức xác thực proxy server yêu cầu client gửi chứng thực đến trước yêu cầu đối tượng Proxy server nhận yêu cầu gửi chứng thực cho client Client nhận chứng thực kiểm tra xem có thực thuộc proxy server Client gửi yêu cầu cho proxy server, nhiên proxy server yêu cầu chứng thực từ client mà đưa trước Proxy server kiểm tra xem chứng thực có thực thuộcc client phép truy cập không Chứng thực server: Khi client yêu cầu đối tượng SSL từ server, client yêu cầu server phải nhận thực Nếu proxy server kết thúc kết nối SSL sau proxy server phải nhận thực cho client Ta phải thiết lập định chứng thực phía server để sử dụng nhận thực server cho client 2.3.5 Nhận thực pass-though Nhận thực pass-though đến khả proxy server chuyển thông tin nhận thực client cho server đích Proxy server hỗ trợ nhận thực cho u cầu đến Hình vẽ sau mơ tả trường hợp nhận thực pass-though 128 Hình 9.8: Mô tả trường hợp nhận thực pass-though Client gửi yêu cầu lấy đối tượng web server cho proxy server Proxy server chuyển yêu cầu cho web server, việc nhận thực qua bước sau: Webserver nhận yêu cầu lấy đối tượng đáp lại client cần phải nhận thực Web server kiểu nhận thực hỗ trợ Proxy server chuyển yêu cầu nhận thực cho client Client tiếp nhận yêu cầu trả thông tin nhận thực cho proxy server Proxy server chuyển lại thơng tin cho web server Từ lúc client liên lạc trực tiếp với web server SSL Tunneling Với đường hầm SSL, client thiết lập đường hầm qua proxy server trực tiếp tới server yeu cầu với đối tượng yêu cầu HTTPS Bất client yêu cầu đối tượng HTTPS qua proxy server sử dụng đường hầm SSL Đường hầm SSL làm việc ngầm định yêu cầu tới cổng 443 563 Hình 9.9: mơ hình SSL Tunneling Tiến trình tạo đường hầm SSL mơ tả sau: Khi client yêu cầu đối tượng HTTPS từ web server Internet, proxy server gửi yêu cầu kết nối https://URL_name Yêu cầu gửi tới cổng 8080 máy proxy server CONNECT URL_name:443 HTTP/1.1 Proxy server kết nối tới Web server cổng 443 Khi kết nối TCP thiết lập, proxy server trả lại kết nối thiết lập HTTP/1.0 200 Từ đây, client thông tin trực tiếp với Web server bên SSL bridging SSL bridging đề cập đến khả proxy server việc mã hóa giải mã yêu cầu client chuyển yêu cầu tới server đích Ví dụ, trường hợp quảng bá (hoặc reverse proxy), proxy server phục vụ yêu cầu SSL client cách 129 chấm dứt kết nối SSL với client mở lại kết nối với web server SSL bridging sử dụng proxy server kết thúc khởi tạo kết nối SSL Bài tập thực hành học viên Trình bày khái niệm dịch vụ Proxy Trình bày qui tắc trinh cập Proxy Server Trình bày phương thức nhận thực Proxy Server 130 PHUƠNG PHÁP VÀ NỘI DUNG ĐÁNH GIÁ Về kiến thức: - Lựa chọn chủ đề nghiên cứu thưc hành riêng cho chuyên ngành học - Xác định yêu cầu đề tài, điều kiện kỹ thuật, tài chính, hạn chế - Biết lập kế hoach thực đề tài - Sử dụng kỹ thuật học để thực đề tài - Biết cách viết báo cáo đề tài - Trình bày bước cài đặt hệ điều hành Windows Server - Xác định cài đặt cấu hình DNS - Xác định nâng Domain - Trình bày bước Đăng ký máy trạm vaò Domain (Join Domain); - Tạo User, Group, OU miền Domain - Trình bày bước Quản trị người dùng mạng Client/Serve Về kỹ năng: - Biết cách viết báo cáo đề tài - Cài đặt hệ điều hành Windows Server - Thực hành cài đặt cấu hình DNS - Thực nâng Domain - Thực hành đăng ký máy trạm vào Domain (Join Domain) - Tạo User, Group, OU miền Domain - Quản trị người dùng mạng Client/Server Về thái độ: Cẩn thận, thao tác nhanh, chuẩn xác, tự giác học tập 131 TÀI LIỆU THAM KHẢO (1) Quản trị mạng Windows Server 2008, Nhà xuất Phương Đông, Năm 2009, Phương Lan Tô Thanh Hải (Tập 1, 2) (3) Microsoft Windows 2008s - Cài Đặt & Quản Trị , Nhà xuất Mũi Cà mau, Phạm Thế Bảo (4) MCSE Training Kit, Published by Microsoft Press, 2008 (5) http://technet.microsoft.com/en-us/library/dd349801%28v=ws.10%29.aspx