HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG KHOA AN TỒN THƠNG TIN Mơn: HỆ ĐIỀU HÀNH WINDOWS VÀ LINUX/UNIX BÁO CÁO BÀI TẬP DSEC Tìm hiểu dịch vụ xác thực LDAP Họ tên sinh viên: Nguyễn Xuân Khải Mã số sinh viên: B21DCAT106 Họ tên giảng viên: TS Đinh Trường Duy Hà Nội - 11/2023 GIỚI THIỆU BÀI THỰC HÀNH 1.1 Mục đích - Bài thực hành minh họa việc sử dụng LDAP để xác thực người dùng hệ thống Linux, cho nhiều máy tính chia sẻ kho thơng tin người dùng nhóm nhất, bao gồm mật xác thực người dùng Chiến lược cho phép người dùng quản trị viên quản lý tập hợp thông tin đăng nhập sử dụng để truy cập vào nhiều máy tính 1.2 Yêu cầu - Nắm kiến thức kiến thức người dùng, nhóm xác thực Linux, ví dụ tệp /etc/passwd /etc/shadow Ngồi ra, cần có kiến thức việc sử dụng Lightweight Directory Access Protocol (LDAP) NỘI DUNG THỰC HÀNH Chuẩn bị lab Khởi động lab: labtainer –r ldap Chúng ta có Terminal ra, admin@ldap, mike@client, admin@server1 admin@server2 chung terminal Nhiệm vụ 1: Tìm hiểu Trước tiên ta sử dụng lệnh ldapsearch -x | less admin@ldap để xem thông tin thư mục ldap, bao gồm thông tin user, group miền example.com Lưu ý mục “mike” “projx” nhiệm vụ sau sử dụng đến Khởi động wireshark admin@ldap chọn lọc thiết bị eth0: wireshark & Chọn thiết bị eth0 Từ máy tính client, kết nối SSH đến server1 với người dùng "mike" , mật password123 ssh mike@server1 Vì sử dụng ssh để kết nối nên Server sử dụng key để mã hóa mật khẩu, từ thấy wireshark gói tin bắt Hệ thống yêu cầu ta đổi mật mật cũ hết hạn, ta đổi mật thành tuan123, tiến trình bắt phần wireshark Đăng nhập lại với mật mới, ta vào server1 với tài khoản “mike” Dùng lệnh id để kiểm tra userID groupID “mike” Từ biết id mike 1501 gourp mike projx với id 1500 ta dùng lệnh ldapsearch admin@ldap Ta dùng lệnh cat /etc/passwd để kiểm tra người dùng nhóm Nhiệm vụ 2:Xem lưu lượng giao thức Ta thấy có root, admin login Tiện đăng nhập vào user “mike” server2 với câu lệnh ssh mike@server2 mật tuan123 Tiếp theo ta tìm gói tin thay đổi mật “mike” Với giao thức truyền tin ldap, ta sử dụng filter ldap để lọc giao thức Follow chọn tcp stream, ta nhận thông tin trơng có phần giống với ta dùng lệnh ldapsearch ban đầu => wireshark bắt tồn thơng tin đăng nhập vào máy chủ ldap Về liệu ldap thông tin ldap lưu trữ file ldif chứa thơng tin người dùng, mật (mã hóa) userID groupID người dùng group Và userPassword user đổi định dạng đổi có dạng userPassword: {crypt}x Vậy nên wireshark ta tìm gói tin có định dạng => gói tin gói tin đổi mật người dùng “mike” Chọn File => Export Specified Packets => Selected Packets only => lưu tên file password.pcapng Nhiệm vụ 3: Sử dụng tài khoản mike để truy cập máy chủ cịn lại Thốt khỏi phiên SSH đến server1 cách nhập lệnh "exit" Sau đó, SSH đến server2 cách nhập lệnh "ssh mike@server2" Mật bạn mong đợi sử dụng để xác thực đến server2 mật mà bạn thay đổi server1 Sau đăng nhập vào server2, khỏi phiên SSH cách nhập lệnh "exit" Nhiệm vụ 4: Thêm người dùng LDAP Chuyển đến cửa sổ terminal ảo LDAP sử dụng lệnh ls để xem danh sách thư mục Xem tệp có tên mike.ldif, tệp sử dụng để định nghĩa người dùng có tên "mike" Sau đó, xem tệp projx.ldif Lệnh LDAP sử dụng để thêm mục định nghĩa tệp mike.ldif là: ldapadd -x-W -D "cn=admin,dc=example,dc=com" -f mike.ldif Với -x định nghĩa bình thường; -W mật admin ẩn; -D định admin (mật admin adminpass) Sau cấp cho người dùng mật mặc định (mật ban đầu) với câu lệnh: ldappasswd-s password123-W-D"cn=admin,dc=example,dc=com" -x "uid=mike,ou=users,dc=example,dc=com" Ta thử tạo nhóm có tên “qa” người dùng có tên “mary”, gán mary vào nhóm qa Trong admin ldap tạo file ldif có tên mary.ldif qa.ldif câu lệnh: vi mary.ldif vi qa.ldif Sau ấn ESC :wq để lưu file khỏi phần soạn thảo Sử dụng lệnh ldapadd cho file ldif lệnh ldappasswd cho người dùng “mary” Đã hồn thành tạo người dùng “mary” nhóm “qa” Dùng ldapsearch -x để kiểm tra xem người dùng nhóm thêm vào ldap chưa Đã thêm thành công Thử đăng nhập vào server1 server2 ldap với người dùng “mary” mật “password123” server yêu cầu đổi lại mật khẩu, đổi thành “tuan123” Nhiệm vụ 5: Mã hóa liệu truyền LDAP Ta sử dụng sudo su để vào chương trình root sau dùng lệnh nano để chỉnh sửa file /etc/ldap.conf file /etc/ldap/ldap.conf server1 server2 Chỉnh sửa tệp /etc/ldap.conf thay đổi dòng sau: uri ldap://ldap thành uri ldaps://ldap xóa dấu thích khỏi dịng: #ssl on trở thành: ssl on Sau đó, chỉnh sửa tệp /etc/ldap/ldap.conf (lưu ý thư mục khác biệt!) thêm dòng vào cuối tệp: TLS_REQCERT allow Thử connect lại tài khoản mike ta thấy thơng tin mã hóa 10