Khi tới đích, thông tin sẽ được người nhận giải mã.Trước sự phát triển mạnh mẽ của công nghệ thông tin thì nhu cầu cho các phiên giao dịch và trao đổi thông tin điện tử cần bảo mật ngày
TỔNG QUAN VỀ HỆ THỐNG XÁC THỰC
Khái niệm xác thực
Xác thực (Authentication) là việc xác lập hoặc chứng thực một thực thể (người nào đó hay một cái gì đó) đáng tin cậy, có nghĩa là những thông tin do một người đưa ra hoặc về một cái gì đó là đúng đắn Xác thực một đối tượng còn có nghĩa là công nhận nguồn gốc của đối tượng, còn xác thực một người thường bao gồm việc thẩm tra nhận dạng cá nhân của họ Việc xác thực thường phụ thuộc vào một hoặc nhiều yếu tố xác thực (authentication factor) làm minh chứng cụ thể.
Xác thực là khâu đặc biệt quan trọng để bảo đảm an toàn cho hoạt động của một hệ thống thông tin Đó là một quy trình nhằm xác minh nhận dạng số (digital identity) của bên gửi thông tin (sender) trong liên lạc trao đổi, xử lý thông tin, chẳng hạn như một yêu cầu đăng nhập Bên gửi cần phải xác thực có thể là một người sử dụng máy tính, bản thân một máy tính hoặc một phần mềm Đầu tiên, hệ thống luôn xác thực một thực thể khi nó cố gắng thử thiết lập liên lạc Khi đó, nét nhận dạng của thực thể được dùng để xác định sự truy nhập của thực thể đó như một đặc quyền hoặc để đạt được sự sẵn sàng phục vụ Đối với các giao dịch ngân hàng điện tử điển hình như giao dịch qua ATM/POS, giao dịch Online/Internet Banking, giao dịch Mobile Banking thì xác thực là bắt buộc trong quản lý truy cập.
Các yếu tố xác thực
Những yếu tố xác thực cho người sử dụng có thể được phân loại như sau:
Những cái mà người sử dụng sở hữu bẩm sinh, chẳng hạn như dấu vân tay hoặc mẫu dạng võng mạc mắt, chuỗi ADN, mẫu dạng giọng nói, chữ ký, tín hiệu sinh điện đặc thù do cơ thể sống tạo ra, hoặc những định dạng sinh trắc học khác.
Những cái người sử dụng có, chẳng hạn như chứng minh thư, chứng chỉ an ninh (security token), chứng chỉ phần mềm (software token) hoặc điện thoại di động.
Những gì người sử dụng biết, chẳng hạn như mật khẩu (Password), mật ngữ (pass phrase) hoặc mã số định danh cá nhân (personal identification number - PIN).
Trong thực tế, nhiều khi một tổ hợp của những yếu tố trên được sử dụng, lúc đó người ta nói đến xác thực đa yếu tố Chẳng hạn trong giao dịch ATM, thẻ ngân hàng và mã số định danh cá nhân (PIN) được sử dụng – trong trường hợp này là một trong các dạng xác thực hai yếu tố (two – factor authentication – 2FA).
Một số phương pháp xác thực Giới thiệu về IDS
Hiện nay, trong các giao dịch trực tuyến, một số phương pháp xác thực phổ biến gồm:
1.3.1 Xác thực dựa trên định danh người dùng và mật khẩu
Sự kết hợp của một cặp Username và Password là cách xác thực phổ biến nhất hiện nay Với phương thức xác thực này, thông tin cặp Username và Password nhập vào được đối chiếu với dữ liệu đã được lưu trữ trên hệ thống Nếu thông tin trùng khớp thì người sử dụng được xác thực, còn nếu không người sử dụng bị từ chối hoặc cấm truy cập Phương thức xác thực này có tính bảo mật không cao, vì thông tin cặp Username và Password dùng đăng nhập vào hệ thống mà ta gửi đi xác thực là trong tình trạng ký tự văn bản rõ, tức không được mã hóa và có thể bị chặn bắt trên đường truyền, thậm chí ngay trong quá trình nhập vào Password còn có thể bị lộ do đặt quá đơn giản (dạng ‘123456’, ‘abc123’, v.v.) hoặc dễ đoán (tên, ngày sinh của người thân, v.v.).
Hình 1.2: Xác thực dựa trên Username – Password
Tính xác thực (Authentication): PKI phải đảm bảo danh tính của thực thể được xác minh.
Tính không thể chối từ (Non-Repudiation): PKI phải đảm bảo dữ liệu không thể bị không thừa nhận hoặc giao tác bị từ chối
Về cơ bản, tính xác thực cung cấp 2 khía cạnh ứng dụng chính đó là định danh thực thể và định danh nguồn gốc dữ liệu.
Định danh thực thể Định danh thực thể đơn giản dùng để định danh thực thể xác định nào đó có liên quan Do đó, trên thực tế, định danh thực thể thông thường sẽ tạo ra một kết quả cụ thể, sau đó, được sử dụng để thực hiện các hoạt động khác hoặc truyền thông khác. Định danh thực thể bao gồm: một nhân tố và nhiều nhân tố.
Có rất nhiều cách để chứng minh định danh, ta có thể chia thành 4 loại sau: + Cái mà người dùng có (ví dụ thẻ thông minh hoặc thiết bị phần cứng). + Cái mà người dùng biết (ví dụ mật khẩu hoặc Pin).
+ Cái mà là người dùng hoặc gắn với người dùng (ví dụ dấu vân tay hoặc võng mạc mắt).
+ Cái mà người dùng thực hiện(ví dụ gõ các ký tự nào đó)
Có hai kiểu xác thực được biết đến như là định danh thực thể, đó là xác thực cục bộ và xác thực từ xa.
Xác thực ban đầu của một thực thể tới môi trường cục bộ hầu như liên quan trực tiếp tới người dùng Ví dụ như mật khẩu hoặc số định danh cá nhân (Pin) phải được nhập vào, sử dụng dấu vân tay để nhận dạng.
Xác thực của một thực thể tới môi trường ở xa: nghĩa là có thể hoặc không cần liên quan trực tiếp tới người dùng Trên thực tế, hầu hết các hệ thống xác thực từ xa
20 phức tạp không hoàn toàn liên quan tới người dùng vì rất khó để bảo vệ hệ thống xác thực mà đưa ra các thông tin xác thực nhạy cảm, ví dụ như mật khẩu hoặc dấu vân tay, và truyền trên một kênh không an toàn.
Định danh nguồn gốc dữ liệu Định danh nguồn gốc dữ liệu sẽ định danh một thực thể xác định nào đó như nguồn gốc dữ liệu được đưa ra Hoạt động định danh này không phải là định danh cô lập, cũng không phải hoàn toàn là định danh cho mục đích thực hiện các hoạt động khác.
Dịch vụ bí mật đảm bảo tính riêng tư của dữ liệu Không ai có thể đọc được dữ liệu ngoại trừ thực thể nhận Dịch vụ bí mật được yêu cầu khi dữ liệu được lưu trữ trên phương tiện (như phần cứng máy tính) mà người dùng không hợp pháp có thể đọc được Được dự phòng trên thiết bị (ví dụ băng từ) mà có thể bị rơi vào tay người dùng không hợp pháp Được truyền trên mạng không được bảo vệ.
Các kỹ thuật mật mã đảm bảo tính bí mật cần phải được áp dụng với mọi loại dữ liệu nhạy cảm.
Toàn vẹn dữ liệu đảm bảo rằng dữ liệu không bị thay đổi Sự đảm bảo này là một phần thiết yếu trong bất kỳ môi trường thương mại điện tử hoặc loại hình kinh doanh nào Mức độ toàn vẹn dữ liệu có thể đạt được bằng các cơ chế chẵn lẻ của các bit và mã kiểm tra dịch vòng (Cyclic Redundancy Codes - CRCs) Để bảo vệ dữ liệu khỏi tấn công nhằm phá vỡ tính toàn vẹn dữ liệu, các kỹ thuật mật mã được sử dụng Do đó, khóa và các thuật toán phải được triển khai và phải được biết giữa các thực thể muốn cung cấp tính toàn vẹn dữ liệu với thực thể muốn được đảm bảo tính toàn vẹn của dữ liệu.
Dịch vụ toàn vẹn của PKI có thể xây dựng dựa trên hai kỹ thuật:
Mặc dù nó được dùng cho mục đích cung cấp sự xác thực, nhưng nó cũng được sử dụng để cung cấp tính toàn vẹn cho dữ liệu được ký Nếu có sự thay đổi bất kỳ trước và sau khi ký thì chữ ký số sẽ bị loại bỏ khi kiểm tra, vì vậy, việc mất tính toàn vẹn của dữ liệu sẽ dễ dàng bị phát hiện.
+ Mã xác thực thông báo
Kỹ thuật này thông thường sử dụng một mã khối đối xứng (ví dụ DESCBC- MAC) hoặc một hàm băm mật mã (HMAC-SHA-1)
Dịch vụ chống chối bỏ là dịch vụ đảm bảo rằng thực thể không thể chối bỏ hành động của mình Các biến thể thường được nhắc tới nhiều nhất là chống chối bỏ nguồn gốc (người dùng không thể chối bỏ rằng đã gửi một tài liệu hoặc một văn bản) hoặc chối bỏ sự tiếp nhận (người dùng không thể chối bỏ rằng đã nhận được văn bản hoặc tài liệu).
Một vài các biến thể khác của tính chống chối bỏ là: chối bỏ đã tạo ra, chối bỏ đã chuyển, chối bỏ việc tán thànhông thừa nhận hoặc giao tác bị từ chối.
2.4 Các thành phần chính của PKI
PKI là cơ cấu tổ chức gồm con người, tiến trình, chính sách, thủ tục, phần cứng và phần mềm dùng để phát sinh, quản lý, lưu trữ, triển khai và thu hồi các chứng nhận khóa công khai.
Một hệ thống PKI gồm các thành phần sau:
Certification Authority (CA): Cấp và thu hồi chứng thư số.
Rigistration Authority (RA): Gắn kết giữa khóa công khai và định danh
của người giữ chứng thư số.
Clients: Người sử dụng cuối hoặc hệ thống là chủ thể của chứng thư số PKI.
Repositories: Hệ thống lưu trữ chứng thư số và danh sách các chứng thư số bị thu hồi Cung cấp cơ chế phân phối chứng thư số và CRLs đến các thực thể cuối.
Digital certificates (DC) – Thẻ chứng thực số.
Certificate Distribution System (CDS) – Hệ thống phân phối thẻ.
Validation Authority (VA) – Ủy quyền xác nhận hợp lệ: Xác nhận tính hợp lệ thể chứng thực số của một đối tác trao đổi thông tin.
Certificate revocation list (CRL): Chứa danh sách các thẻ chứng thực bị thu hồi bởi CA.
Hình 2 3: Các thành phần trong hệ thống PKI
Người dùng gửi yêu cầu phát hành thẻ chứng thực và khóa công khai của nó đến RA (1); Sau khi xác nhận tính hợp lệ định danh của người dùng thì RA sẽ chuyển yêu cầu này đến CA (2); CA phát hành thẻ chứng thực cho người dùng (3); Sau đó người dùng “ký” thông điệp trao đổi với thẻ chứng thực mới vừa nhận được từ CA và sử dụng chúng (thẻ chứng thực số + chữ ký số) trong giao dịch (4); Định danh của người dùng được kiểm tra bởi đối tác thông qua sự hỗ trợ của VA (5): Nếu thẻ chứng thực của người dùng được xác nhận tính hợp lệ (6) thì đối tác mới tin cậy người dùng và có thể bắt đầu quá trình trao đổi thông tin với nó (VA nhận thông tin về các thẻ chứng thực đã được phát hành từ CA.
2.4.1 Tổ chức chứng nhận(Certificate Authority – CA)
Trong PKI, CA là một thực thể PKI có trách nhiệm cấp chứng thư số cho các thực thể khác trong hệ thống.
TỔNG QUAN VỀ GIẢI PHÁP XÁC THỰC TRONG HỆ THỐNG FREEIPA
Các thành phần chính của PKI
PKI là cơ cấu tổ chức gồm con người, tiến trình, chính sách, thủ tục, phần cứng và phần mềm dùng để phát sinh, quản lý, lưu trữ, triển khai và thu hồi các chứng nhận khóa công khai.
Một hệ thống PKI gồm các thành phần sau:
Certification Authority (CA): Cấp và thu hồi chứng thư số.
Rigistration Authority (RA): Gắn kết giữa khóa công khai và định danh
của người giữ chứng thư số.
Clients: Người sử dụng cuối hoặc hệ thống là chủ thể của chứng thư số PKI.
Repositories: Hệ thống lưu trữ chứng thư số và danh sách các chứng thư số bị thu hồi Cung cấp cơ chế phân phối chứng thư số và CRLs đến các thực thể cuối.
Digital certificates (DC) – Thẻ chứng thực số.
Certificate Distribution System (CDS) – Hệ thống phân phối thẻ.
Validation Authority (VA) – Ủy quyền xác nhận hợp lệ: Xác nhận tính hợp lệ thể chứng thực số của một đối tác trao đổi thông tin.
Certificate revocation list (CRL): Chứa danh sách các thẻ chứng thực bị thu hồi bởi CA.
Hình 2 3: Các thành phần trong hệ thống PKI
Người dùng gửi yêu cầu phát hành thẻ chứng thực và khóa công khai của nó đến RA (1); Sau khi xác nhận tính hợp lệ định danh của người dùng thì RA sẽ chuyển yêu cầu này đến CA (2); CA phát hành thẻ chứng thực cho người dùng (3); Sau đó người dùng “ký” thông điệp trao đổi với thẻ chứng thực mới vừa nhận được từ CA và sử dụng chúng (thẻ chứng thực số + chữ ký số) trong giao dịch (4); Định danh của người dùng được kiểm tra bởi đối tác thông qua sự hỗ trợ của VA (5): Nếu thẻ chứng thực của người dùng được xác nhận tính hợp lệ (6) thì đối tác mới tin cậy người dùng và có thể bắt đầu quá trình trao đổi thông tin với nó (VA nhận thông tin về các thẻ chứng thực đã được phát hành từ CA.
2.4.1 Tổ chức chứng nhận(Certificate Authority – CA)
Trong PKI, CA là một thực thể PKI có trách nhiệm cấp chứng thư số cho các thực thể khác trong hệ thống.
CA là thành phần thứ 3 tin cậy (trusted third part), nó nhận một yêu cầu phát hành (cấp) thẻ chứng thực, từ một tổ chức hoặc một cá nhân nào đó, và phát hành thẻ chứng thực yêu cầu đến họ sau khi đã xác thực client yêu cầu.
CA dựa vào các chính sách, trao đổi thông tin trong môi trường bảo mật, của tổ chức để định nghĩa một tập các quy tắc, các thủ tục liên quan đến việc phát hành thẻ chứng thực Mọi họat động tạo, phát hành, thu hồi thẻ chứng thực sau này đều tuân theo các quy tắc, thủ tục này.
Hình 2 4: Quá trình xác thực dựa trên CA 2.4.2 Tổ chức đăng kí chứng nhận (Registration Authority – RA)
Chức năng quản trị có thể được phân phối cho RA RA đóng vai trò trung gian làm nhiệm vụ tương tác giữa CA và client [9].
RA có thể chịu trách nhiệm cho việc gán tên, tạo cặp khóa, xác thực thực thể cuối trong suốt quá trình đăng ký
RA làm nhiệm vụ nhận các yêu cầu của thực thể, xác minh chúng sau đó gửi yêu cầu cho CA và RA cũng nhận các chứng chỉ từ CA, sau đó gửi chứng thư cho thực
24 thể Thiết lập và xác nhận danh tính của thực thể trong giai đoạn khởi tạo phân phối các bí mật dùng chung tới người sử dụng cuối để xác thực tuần tự trong suốt giai đoạn khởi tạo trực tuyến.
Khởi tạo quá trình chứng thực với CA đại diện cho người dùng cuối
Thực hiện chức năng quản lý vòng đời của khóa/chứng chỉ, tuy nhiên, CA không bao giờ được phép cấp chứng thư số hoặc thu hồi chứng thư số Chức năng này chỉ có ở RA.
Thành phần của RA bao gồm 3 thành phần như sau:
- RA console là một máy chủđược cài đặt cho RA officer để đưa các yêu cầu chứng chỉ Nó có thể kết nối với CA Máy chủ này xử lý các yêu cầu chứng thư số trong quá trình chứng thực.
- RA Officer là một cá nhân thực hiện các tác vụ như đăng ký chứng thư số, làm mới hoặc thu hồi chứng thư số Sau khi RA Officer xác minh và chấp thuận yêu cầu, nó sẽ chuyển trực tiếp các yêu cầu này lên CA server Sau khi CA server xử lý yêu cầu và cấp chứng thư số RA Officer sẽ phân phối chứng thư số.
- RA Manager là một cá nhân làm nhiệm vụ quản lý RA Officer và đảm bảo rằng toàn bộ thủ tục ứng dụng chứng thực được thực hiện mà không có sự lừa đảo của con người RA Manager sẽ cần phải chấp thuận tất cả các yêu cầu được xử lý bởi RA Officer trước khi đưa các ứng dụng chứng thực tới cho CA. Mục đích chính của RA là để giảm tải công việc của CA Chức năng thực hiện của một RA cụ thể sẽ khác nhau tùy theo nhu cầu triển khai PKI nhưng chủ yếu bao gồm các chức năng sau:
Xác thực cá nhân, chủ thể đăng ký chứng thư số.
Kiểm tra tính hợp lệ của thông tin do chủ thể cung cấp.
Xác nhận quyền của chủ thể đối với những thuộc tính chứng thư số được yêu cầu.
Kiểm tra xem chủ thể có thực sự sở hữu khóa riêng đang được đăng ký hay không, điều này thường được đề cập đến như sự chứng minh sở hữu.
Tạo cặp khóa bí mật, công khai.
Phân phối bí mật được chia sẻ đến thực thể cuối (ví dụ khóa công khai của CA).
Thay mặt chủ thể thực thể cuối khởi tạo quá trình đăng ký với CA.
Khởi sinh quá trình khôi phục khóa.
Phân phối thẻ bài vật lý (thẻ thông minh).
2.4.3 Thực thể cuối (End Entity – EE) Đối tượng sử dụng chứng nhận (chứng thư số): có thể là một tổ chức, một người cụ thể hay một dịch vụ trên máy chủ, …
2.4.4 Chứng nhận khoá công khai (Public Key Certificate)
Một chứng nhận khóa công khai thể hiện hay chứng nhận sự ràng buộc của danh tính và khóa công khai của thực thể cuối
Chứng nhận khóa công khai chứa đủ thông tin cho những thực thể khác có thể xác nhận hoặc kiểm tra danh tính của chủ nhận chứng nhận đó Định dạng được sử dụng rộng rãi nhất của chứng nhận số dựa trên chuẩn IETF X.509.
2.4.5 Kho lưu trữ chứng nhận (Certificate Repository – CR)
Hệ thống (có thể tập trung hoặc phân tán) lưu trữ chứng thư và danh sách các chứng thư bị thu hồi Cung cấp cơ chế phân phối chứng thư và danh sách thu hồi chứng thư (CRLs - Certificate Revocatio Lists).
Cách thức hoạt động của PKI
Các hoạt động của PKI bao gồm:
+ Khởi tạo thực thể cuối
+ Áp dụng chữ ký số để xác định danh tình người gửi
+ Kiểm tra định danh người gửi thông qua một CA
+ Giải mã thông báo và kiểm tra nội dung của nó
Các tiến trình trong PKI
Các ứng dụng có thể đạt được các chức năng an toàn khi sử dụng PKI Các chức năng an toàn đó là tính bí mật, tính toàn vẹn, tính xác thực và tính chống chối bỏ. Mỗi một tiến trình trong PKI sẽ thực hiện các yêu cầu để đảm bảo an toàn
Trước khi yêu cầu một chứng thư, người dùng phải biết về CA mà mình muốn tham gia Người dùng phải có địa chỉ của tổ chức CA và kho lưu trữ (nếu tồn tại) Người dùng cũng cần phải có giấy chứng nhận của tổ chức CA và cuối cùng cần phải có cách tạo ra cặp khóa bất đối xứng và lựa chọn các thuộc tính cho tên phân biệt (DN).
2.6.2 Yêu cầu chứng thư số
Hầu hết các CA sử dụng một trong hai phương thức tiêu chuẩn của yêu cầu chứng nhận: PKCS #10 và CRMF
PKCS #10: Định dạng của thông điệp được gửi đến CA để yêu cầu chứng nhận khóa công khai
CRMF: Định dạng của thông điệp được gửi đến CA để yêu cầu bất cứ trường nào của chứng nhận X.509
2.6.3 Tạo lại chứng thư số
Vì nhiều lý do như giấy chứng nhận hết hạn, thêm thông tin mới vào chứng nhận, xác nhận lại khóa công khai hiện có, hoặc xác nhận khóa mới mà người dùng có thể muốn tạo mới lại chứng nhận của mình Khi tổ chức CA đáp ứng yêu cầu tạo mới lại này, nó sẽ phát hành cho đối tác một chứng thư mới và có thể xuất bản chứng thư mới này vào kho lưu trữ.
2.6.4 Hủy bỏ chứng thư số
Lý do để hủy một chứng thư là do sự nhận diện được xác nhận bởi CA đã thay đổi.
Danh sách hủy bỏ chứng nhận (Certificate Revocation List – CRL) chứa thông tin thời gian nhằm xác định thời điểm tổ chức CA phát hành nó CA ký CRL với cùng khóa bí mật được dùng để ký các chứng thư Các CRL thường được chứa trong cùng kho với các chứng thư nhằm dễ dàng cho việc rút trích Các CA phát hành các CRL theo định kì, thường là hàng giờ hoặc hàng ngày.
2.6.5 Lưu trữ và phục hồi khóa
Lưu trữ khóa là một dịch vụ được cung cấp bởi nhiều tổ chức CA Dùng để tránh trường hợp không giải mã được dữ liệu khi bị mất khóa Để lưu trữ khóa, người dùng phải gửi khóa bí mật tới nơi lưu trữ Bởi vì các yêu cầu lưu trữ hay khôi phục khóa đều phải được xác minh nên người sử dụng không thể thao tác trực tiếp đến nơi lưu trữ mà phải thông qua CA phát hành chứng nhận đó.
2.7 So sánh sự khác nhau giữa Public Key và Private Key
Khóa công khai có sẵn cho bất kỳ người dùng nào kết nối với trang web Khóa riêng tư là một khóa duy nhất được tạo ra khi kết nối được thực hiện và nó được giữ bí mật
Khi giao tiếp, máy khách sử dụng khóa công khai để mã hóa và giải mã, máy chủ sử dụng khóa riêng Điều này bảo vệ thông tin của người dùng khỏi bị đánh cắp hoặc giả mạo.
Tốc độ mã hóa-giải mã Nhanh hơn Chậm hơn
Công suất tính toán cần thiết Ít hơn Nhiều Hơn
Cần gửi khóa cá nhân qua kênh bảo mật Đúng Sai
Chiều dài khóa Ngắn hơn Dài hơn
Các bên cần biết khóa cá nhân Người nhận và người gửi Chỉ người nhận
Sự phức tạp của quản lý khóa trong một mạng lớn
Có thể được sử dụng để tạo chữ ký số điện tử
- PKI của một loại hoặc một cách khác, và từ bất kỳ một hãng nào, có nhiều ứng dụng bao gồm việc cung cấp khóa công khai và các ràng buộc để nhận dạng người dùng nó được sử dụng cho:
- Mã hóa thông điệp email hoặc xác thực thông điệp người gửi email (sử dụng OpenPGP hoặc S/MIME).
- Mã hóa hoặc xác thực các văn bản (tiêu chuẩn chữ ký XML hoặc mã hóa XML khi văn bản được nhung dưới dạng XML).
- Xác thực người dùng cho các ứng dụng (ví dụ như thẻ thông minh, xác thực máy khách với SSL) Ngoài ra còn thử nghiệm sử dụng để xác thực chữ ký số HTTP trong các dự án Enigform và mod_openpgp.
- Các giao thức truyền thông an toàn dùng kỹ thuật Bootstrapping (IKE, SSL) Trong hai giao thức này, bước đầu thiết lập một kênh an toàn sử dụng khóa bất đối xứng trong khi giao tiếp thực tế sử dụng khóa đối xứng.
- Chữ ký điện thoại di động là chữ ký điện tử được tạo ra bằng cách sử dụng thiết bị di động và các dịch vụ dựa trên chữ ký hoặc cấp giấy chứng nhận tại một vị trí môi trường viễn thông độc lập.
Ứng dụng của PKI
Nội dung chương này là sẽ định cấu hình server và client, cho phép user đăng nhập bằng thông tin đăng nhập IPA của họ và xuất bản chứng chỉ PKI cho các máy chủ và dịch vụ FreeIPA
3.1 Kịch bản và sơ đồ
Kịch bản: Cấu hình 2 máy centos 8, 2 máy Ubuntu, 1 máy Windows server
Tổng là 5 máy cho hệ thống quản trị tập trung trên FreeIPA
1) Máy centos 1 là server IPA
Domain name: sv.myhome.lan
2) Máy centos 2 là replica IPA
Domain name: sv2.myhome.lan
3) Máy Ubuntu 1 là DNS server
4) Máy Ubuntu 2 là client FreeIPA IP: 192.168.182.140
GW: 192.168.182.2 DNS: 192.168.182.128 Domain name: cl1.myhome.lan 5) Máy Windows server 2012 R2 IP: 192.168.182.141
GW: 192.168.182.2 DNS: 192.168.182.128 Domain name: ad.myhome.lan
TRIỂN KHAI GIẢI PHÁP TĂNG CƯỜNG XÁC THỰC
Kịch bản và sơ đồ
Kịch bản: Cấu hình 2 máy centos 8, 2 máy Ubuntu, 1 máy Windows server
Tổng là 5 máy cho hệ thống quản trị tập trung trên FreeIPA
1) Máy centos 1 là server IPA
Domain name: sv.myhome.lan
2) Máy centos 2 là replica IPA
Domain name: sv2.myhome.lan
3) Máy Ubuntu 1 là DNS server
4) Máy Ubuntu 2 là client FreeIPA IP: 192.168.182.140
GW: 192.168.182.2 DNS: 192.168.182.128 Domain name: cl1.myhome.lan 5) Máy Windows server 2012 R2 IP: 192.168.182.141
GW: 192.168.182.2 DNS: 192.168.182.128 Domain name: ad.myhome.lan
Tại đây ta cấu hình máy server và máy client trên hệ thống FreeIPA và tích hợp LDAP cung cấp chứng chỉ PKI để xác thực đảm bảo an toàn cho hệ thống không bị xâm nhập bởi hacker đồ mạng hiện tại
Mô hình triển khai
Mô hình hệ thống FreeIPA này chỉ là mô hình thử nghiệm sử dụng phần mềm ảo hóa VMware Workstation để triển khai thực nghiệm
3.2.1 Định cấu hình FreeIPA server
B1: Vào /etc/hostname đổi tên miền domain name thành sv.myhome.lan
B2: Vào /etc/hosts thêm địa chỉ ip static và domain name vào host
Hình 3.1: Thêm tên miền FreeIPA server vào domain
B3: Cài đặt gói IPA server
# dnf module -y install idm:DL1/dns
Hình 3.2: Cài đặt FreeIPA server
B4: Cài đặt máy chủ IPA tích hợp DNS
# ipa-server-install setup-dns
Hình 3.3: Cài đặt máy chủ FreeIPA tích hợp DNS
B5: Sau khi cài xong tôi cấu hình firewall cho phép những dịch vụ này
# firewall-cmd add-service={freeipa-ldap,freeipa- ldaps,dns,ntp} permanent
Tôi sử dụng 1 máy ảo Ubuntu để làm DNS server cho hệ thống FreeIPA
# wget -O basic-install.sh https://install.pi- hole.net
# sudo bash basic-install.sh
Hình 3 4: Giao diện DNS server
Tôi đăng nhập vào web bằng địa chỉ IP của DNS server là 192.168.182.128 Sau đó tôi thiết lập hệ thống IPA bằng DNS sử dụng tên miền “myhome.lan”
Hình 3.5: Thêm địa chỉ ip của FreeIPA server vào DNS server 3.2.3 Cài đặt tài khoản người dùng FreeIPA
Sau khi tôi tải xong IPA server thì ta đăng nhập vào hệ thống IPA
Tại đây tôi tạo user
Hình 3 6: Tạo Username và password của người dùng
35 Đăng nhập vào user vừa tạo
Hình 3.7: Đăng nhập vào User vừa tạo và xem id của người dùng
Xem tất cả user trong hệ thống IPA
3.2.4 Định cấu hình Client FreeIPA
Tôi dùng máy Ubuntu client để cấu hình
B1: Vào /etc/hostname đổi tên miền domain name thành cl1.myhome.lan
B2: Vào /etc/hosts thêm địa chỉ ip static và domain name vào host thêm cả ip server IPA
Hình 3.9: Thêm tiền miền FreeIPA vào domain client
B3: Tôi cài gói IPA client
# sudo apt install freeipa-client
Hình 3.10: Cài đặt máy client FreeIPA
B4: Cài đặt máy chủ làm client IPA
3.2.5 Hoạt động cơ bản của người dùng
Thêm tài khoản người dùng
Thay đổi mật khẩu người dùng
Khóa và mở khóa tài khoản người dùng
Xem tài khoản người dùng
Xóa tài khoản người dùng
3.2.6 Web FreeIPA dành cho quản trị viên
3.2.7 Định cấu hình bản sao FreeIPA
B1: Tôi vào IPA server cấu hình vùng đảo ngược tích hợp DNS server
B2: Thêm bản ghi PTR vào trong vùng đảo ngược
# ipa dnsrecord-add 0.0.0.126 30 ptr-rec sv.myhome.lan
# ipa dnsrecord-add 0.0.0.126 51 ptr-rec sv2.myhome.lan
Hình 3 12: Thêm bản ghi PTR trong vùng đảo ngược
B3: Thiết lập fiewall cho phép dịch vụ
# firewall-cmd add-service=freeipa-replication
B4: Cài đặt gói replica cho Centos 2
# dnf module -y install idm:DL1/dns
# ipa-replica-install setup-ca setup-dns no- forwarders
Sau khi cài đặt xong thì có thể tìm thấy người dùng hiện có hoặc thêm tài khoản trên máy chủ IPA server
3.2.8 Định cấu hình Cross Forest Trust giữa miền FreeIPA và miền Windows Active Directory
B1: Tôi vào IPA server cấu hình gói adtrust
# dnf module -y install idm:DL1/adtrust
B2: Tôi cài đặt IPA Adtrust
B3: Cài đặt máy chủ DNS trên máy chủ IPA
# ipa dnsforwardzone-add myhome.lan
# ipa dnszone-mod myhome.lan allow- transfer2.168.182.141
B4: Thêm miền FreeIPA vào thư mục Active Directory Server dnscmd 127.0.0.1 /ZoneAdd sv.myhome.lan /Secondary
B5: Xác minh độ phân giải Tên và nếu không có vấn đề gì, hãy thiết lập độ tin cậy.
# dig SRV _ldap._tcp.myhome.lan
# dig SRV _ldap._tcp.ad.myhome.lan
B6: Xác lập tin cậy 2 chiều giữa miền Active Directory Server
# ipa trust-add two-way=true type ad.myhome.lan admin Administrator Password
3.2.9 Xác thực chứng chỉ PKI
Khách hàng của FreeIPA và các dịch vụ của họ không được mong đợi cũng như không được phép giao tiếp trực tiếp với PKI Thay vào đó, họ phải sử dụng API máy chủ FreeIPA, sử dụng xác thực Kerberos tiêu chuẩn Sau đó, dịch vụ web FreeIPA xác thực yêu cầu và chuyển nó đến dịch vụ PKI, xác thực bằng chứng chỉ tác nhân riêng ( ipaCert được lưu trữ trong /etc/httpd /alias/ )
3.2.9.1 Tất cả chứng chỉ được theo dõi
3.2.9.2 Tất cả chứng chỉ của IPA
3.2.9.3 Tạo khóa chứng chỉ PKI
# ipa service-add HTTP / `hostname`
Tạo cơ sở dữ liệu chứng chỉ NSS sẽ giữ chứng chỉ
# mkdir -p /etc/httpd/nssdb; cd /etc/httpd/nssdb
3.2.9.4 Yêu cầu chứng chỉ PKI mới
# certutil -R -d -a -g 2048 -s CN=`SV`,O=MYHOME.LAN
# ipa cert-request principal = HTTP / `hostname` web.csr
# ipa cert-show $ SERIAL_NUMBER out = web.crt
# certutil -A -d -n Server-Cert -tu, u, u -i web.crt
3.2.9.5 Gia hạn chứng chỉ PKI
# ipa-getcert resubmit -i REQUEST_ID
Tại đây tôi sử dụng ID 20220421093633 để gia hạn chứng chỉ.
3.2.9.6 Hiển thỉ và xác thực chứng chỉ PKI
Hình 3 25 certutil: certificate is valid > chứng chỉ hợp lệ
Kết quả triển khai
Thành công tạo được server FreIPA để quản trị tập trung hệ thống
Thành công cài đặt nhân rộng FreeIPA Đã có thể cài đặt ủy thác cho server Active Directory trên môi trường Windows
Dễ dàng cấu hình user, group và policy truy cập qua FreeIPA GUI hoặc thông qua CLI của nó. Đã có thể yêu cầu xác thực chứng chỉ, tạo khóa chứng chỉ, yêu cầu chứng chỉ, gia hạn chứng chỉ và cấp các chứng chỉ PKI cụ thể cho khách hàng
Ưu điểm và hạn chế của hệ thống
Tiết kiệm thời gian quản lý quá trình xác thực và ủy quyền cho hệ thống FreeIPA được xây dựng dựa trên thành phần mã nguồn mở nổi tiếng và các giao thức chuẩn với sự tập trung mạnh vào việc dễ dàng quản lý và tự động tác vụ cài đặt và cấu hình
Rất hữu ích cho quản trị viên hệ thống phải quản lý một tài khoản người dùng duy nhất.
Việc xác thực Windows Server 2012 R2 vào hệ thống vẫn còn gặp nhiều khó khăn vì giao diện người dùng của Tổ chức phát hành chứng chỉ Windows Server 2012 R2 từ chối ký chứng chỉ
Phải tạo thêm 1 máy chủ DNS để xác thực DNS với hệ thống FreeIPA
