Báo cáo Đồ án hệ Điều hành mạng Đề tài tìm hiểu và triển khai active directory với bind (centos 7)

Active Directory sử dụng LDAP Lightweight Directory Access Protocolvà được xây dựng trên cơ sở Hệ thống xác định domain theo tên DNS.Một trong những điểm ưu việt của Active Directory là

Thành Phố Hồ Chí Minh KHOA CÔNG NGHỆ THÔNG TIN



BÁO CÁO ĐỒ ÁN HỆ ĐIỀU HÀNH MẠNG

ĐỀ TÀI: Tìm hiểu và triển khai Active Directory với

Bind (CentOS 7)Giáo Viên Hướng Dẫn : Ths.Cao Tiến Thành

PHIẾU CHẤM ĐIỂM MÔN THI VẤN ĐÁP

Điểm phần trình bày – Điểm hệ 10

Họ tên

CBCT ………

Chữ ký: ………

………

Chữ ký: ………

Điểm ………

Bằng chữ: ………

………

Bằng chữ: ………

Nhận xét Điểm quá trình – Điểm hệ 10 Họ tên CBCT: ………

Điểm tổng kết: ………(Bằng chữ:………)

LỜI CẢM ƠN

Để đánh giá kết quả học tập và có thêm nhiều hiểu biết trước khi rời ghế nhà trường, chúng em đã có cơ hội làm khóa đồ án để học hỏi và tìm hiểu kinh nghiệm Được sự phân công của khoa Công Nghệ Thông Tin

Đề tài khóa luận của chúng em chủ yếu là tìm hiểu và triển khai active directory với Bind và ứng dụng của nó trong thực tiễn Trong quá trình làm khóaluận chúng em được sự hướng dẫn nhiệt tình của Thầy ………Cao Tiến

Thành…….và các th ầy cô khoa Công Nghệ Thông Tin Nhờ đó, qua thời gian làm khóa luận chúng em được biết thêm nhiều vấn đề về mạng máy tính mà nó

sẽ hỗ trợ tích cực cho chúng em trong công việc sau này

Em xin chân thành cảm ơn thầy …Cao Tiến Thành……….và các th ầy

cô đã nhiệt tình gúp đỡ chúng em trong quá làm khóa luận

Em xin chân thành cảm ơn các thầy cô khoa công nghệ thông tin đã

tạo điều kiện cho chúng em hoàn thành tốt khóa luận đồ án này

Mục Lục

LỜI CẢM ƠN 3

Mục lục hình 5

Chương I: Giới Thiệu Đề Tài 7

I Nghiên cứu thực tiễn 7

II Mục tiêu đề tài 7

Chương II: Cơ Sở Lý Thuyết 8

I Workgroup 8

II Domain 9

III Active Directory (AD) 10

IV Directory Services 13

1 Object (đối tượng) 13

2 Attribute (thuộc tính) 14

3 Schema (cấu trúc tổ chức) 14

4 Container (vật chứa) 14

5 Global Catalog 15

6 Objects class 16

7 Domain 17

8 Domain tree 18

V BIND 21

CHƯƠNG III: Triển Khai Và Cài Đặt 22

I Sơ Đồ Triển Khai: 22

1 Sơ đồ logic: 22

2 Sơ đồ vật lý: 23

II Cài Đặt 24

KẾT LUẬN 44

Tài liệu tham khảo 44

Mục lục hình

Hình 2.1: Domain controller 10

Hình 2.2: Tìm kiếm trên Global Catalog 16

Hình 2.3: Objects class 16

Hình 2.4: khu vực quản trị 17

Hình 2.5 : Bảo mật tài nguyên chia sẻ 18

Hình 2.6: Đồng bộ thông tin trên các server 18

Hình 2.7: Cây Domain và Rừng 19

Hình 2.8 : Công cụ quản lý các đối tượng (object) trong Active Directory 19

Hình 1 Sơ đồ logic 22

Hình 2 Sơ đồ vật lý 23

Hình 3 Cài IP cho máy Server 24

Hình 4 Cấu hình AD 25

Hình 5 Cấu hình AD 25

Hình 6 Cấu hình AD 26

Hình 7 Cấu hình AD 26

Hình 8 Cấu hình AD 27

Hình 9 Cấu hình AD 28

Hình 10 Cấu hình AD 29

Hình 11 Cấu hình AD 29

Hình 12 Cấu hình AD 30

Hình 13 Cấu hình AD 31

Hình 14 Cấu hình AD 31

Hình 15 Cấu hình AD 32

Hình 16 Cấu hình DNS = BIND 33

Hình 17 Cấu hình DNS 34

Hình 18 Cấu hình DNS 34

Hình 19 Cấu hình DNS 35

Hình 20 Cấu hình BIND 36

Hình 21 Cấu hình BIND 37

Hình 22 Cấu hình BIND 38

Hình 23 Cấu hình BIND 38

Hình 24 Cấu hình BIND 39

Hình 25 Cấu Hình WebServer 39

Hình 26 Cấu Hình WebServer 39

Hình 28 Cấu Hình WebServer 40

Hình 29 Tạo địa chỉ IP cho máy Client 41

Hình 30 Tắt IP máy Client 42

Hình 31 Phát IP thành công 42

Chương I: Giới Thiệu Đề Tài

I Nghiên cứu thực tiễn

Trong môi trường máy tính mạng thì việc cấp phát và quản lý account làmột việc không hoàn toàn đơn giản Nếu tất cả các máy tính không nối mạng vớinhau và mỗi một nhân viên đều chỉ đơn thuần sử dụng một máy tính cụ thể thì mọiviệc sẽ trở nên tầm thường Tuy nhiên, trong điều kiện làm việc ngày nay thì hầuhết các máy tính đều được nối mạng và nhu cầu đặt ra là mỗi người nhân viên cóthể cơ động làm việc ở các máy khác nhau đã khiến cho việc quản lý đăng nhậptập trung trở nên cầp thiết

Giải pháp cho vấn đề này là tạo tất cả các account trên một máy để mọingười có thể linh động làm việc ở bất cứ máy nào là giao thức dùng để quản lý tậptrung và chứng thực tài khoản người dùng và nguyên trên mạng

II Mục tiêu đề tài

o Tìm hiểu và triển khai Active Directory với BIND (CentOs7)

o Tìm hiểu Active Directory trên Windows

o Tìm hiểu BIND và thực thi

o Lập một mô hình nhỏ ứng dụng để lưu trữ tập trung tài khoản người dùng, tài nguyên trên mạng

Chương II: Cơ Sở Lý Thuyết

Giới thiệu Active Directory:

- Mô hình quản lý mạng cần dựa trên các y ếu tố sau để quyết định chọn

mô hình sao cho phù hợp với nhu cầu

Số lượng máy

Số tài nguyên chia sẻ

Tính bảo mật (tài nguyên, thiết bị ngọai vi, người dùng)

tự bảo mật và quản lý các tài nguyên của riêng mình Đồng thời các máy tính cục

bộ này cũng tự chứng thực cho người dùng c ục bộ

Đặc điểm:

Còn gọi là mô hình peer-to-peer

Không cần server

Một máy vừa là Client vừa là Server

Các tài nguyên lưu trữ phân tán t ại các hệ thống cục bộ

Dành cho các mạng nhỏ (dưới 10 máy), hoặc không yêu cầu tính bảo mật cao, hoặc việc phục vụ tập trung không quá lớn

Lưu giữ thông tin người dùng trong tập tin SAM (Security Accounts

Manager) trên hệ thống cục bộ

Thuận lợi: Rẻ tiền, dễ thiết lập, bảo trì.

Bất lợi: Dữ liệu bị phân tán, khó định vị tài nguyên, tính bảo mật thấp.

II Domain

Ngược lại với mô hình Workgroup, trong mô hình Domain thì việc quản lý

và chứng thực người dùng mạng tập trung tại máy tính Primary DomainController Các tài nguyên mạng cũng được quản lý tập trung và cấp quyền hạncho từng người dùng Lúc đó trong hệ thống có các máy tính chuyên dụng làmnhiệm vụ cung cấp các dịch vụ và quản lý các máy trạm

Đặc điểm:

Còn gọi là mô hình phục vụ (Server-Client/Server based)

o Client: yêu cầu dịch vụ, không cung cấp dịch vụ, chỉ cần cấu hình phần cứng tối thiểu

o Server: phục vụ các yêu cầu từ Client, thường là máy có cấu hình mạnh

Trong mạng phải có ít nhất 1 máy làm chức năng điều khiển tòan b ộ hệ thống mạng (Domain Controller)

Dùng cho các công ty vừa và lớn

Thông tin người dùng quản lý trong các Active Directory trên Domain Controller (trong file NTDS.DIT)

Thuận lợi: Bảo mật tập trung, dễ truy xuất, backup

Bất lợi: Server đắt tiền, phụ thuộc vào người quản trị mạng Chứng thực, quản

lý tài nguyên tập trung trên server

Active Directory sử dụng LDAP (Lightweight Directory Access Protocol)

và được xây dựng trên cơ sở Hệ thống xác định domain theo tên (DNS).Một trong những điểm ưu việt của Active Directory là nó quản lý hệ thốngmạng bằng cách tạo ra tên domain cho workgroup, trên cơ sở đó cho phépcác hệ thống mạng khác (Unix, Mac) truy cập vào

Là một CSDL lưu các tài nguyên (đối tượng) trên mạng và các thông tin liên quan đến chúng

Tại sao dùng AD trong Domain ?

Đối với mạng nhỏ nên dùng mạng Workgroup

Đối với mạng như xí nghiệp, công ty, … nên chia thành nhiều Domain để dễ dàng trong việc quản lý Vì thế ta nên sử dụng Active Directory

Được lưu trữ trong Domain Controller (DC)

Hỗ trợ phân nhiều domain và ủy quyền để quản lý cho d ễ dàng

Quản lý 10 triệu người dùng cho m ỗi Domain

Chức năng Active Directory:

Centralized Data Store – Lưu trữ dữ liệu tập trung: Toàn bộ dữ liệu, thông

tin trong hệ thống được lưu trữ một cách tập trung, cho phép người dùng cóthể truy cập dữ liệu từ bất cứ nơi đâu, bất cứ lúc nào đồng thời nâng cao hiệunăng quản trị của hệ thống, giảm thiếu độ rủi ro cho tài nguyên

Scalability – khả năng linh hoạt với nhu cầu: Active Directory cung ứng

một cách linh hoạt các giải pháp quản trị khác nhau cho từng nhu cầu cụ thếtrên nền tảng hạ tầng xác định của các doanh nghiệp

Extensibility – Cơ sở dữ liệu của Active Directory cho phép nhà quản trị có

thể tuy chọn và phát triển, ngoài ra ta còn có thể phát triển các ứng dụng sửdụng cơ sở dữ liệu này, giúp tận dụng hết khả năng, hiệu năng của

Active Directory

Manageability – khả năng quản trị linh hoạt dễ dàng: Active Directory

được tổ chức theo cơ chế của Directory Service dưới mô hình tổ chứcDirectory giúp các nhà quản trị có cái nhìn tổng quan nhất đối với cả hệthống, đồng thời giúp user có thể dễ dàng truy xuất và sử dụng tài nguyên

hệ thống

Integration with Domain Name System (DNS) DNS là một partner rất

cần thiết đối với Active Directory, trong một hệ thống mạng, các dịch vụcủa Active Directory chỉ hoạt động được khi dịch vụ DNS được cài đặt.DNS có trách nhiệm dẫn đường, phân giải các Active Directory DomainController trong hệ thống mạng, và càng quan trọng hơn trong môi trườngMulti Domain DNS được dễ dàng tích hợp vào Active Directory để nângcao độ bảo mật và khả năng đồng bộ hóa giữa các Domain Controller vớinhau trong môi trường nhiều Domain

Client Configuration Management: Active Directory cung cấp cho chúng

ta một khả năng quản trị các cấu hình phía client, giúp quản trị hệ thống dễdàng hơn và nâng cao khả năng di động của user

Policy – based administration: Trong Active Directory, việc quản trị hệ

thống mạng được đảm bảo một cách chắn chắc thông qua các chính sáchquản trị tài nguyên, các quyền truy xuất trên các site, domain và cácorganization unit Đây là một trong những tính năng quan trọng nhất đượctích hợp vào Active Directory

Replication of information: Active Directory cung cấp khả năng đồng bộ

dữ liệu thông tin gi ữa các domain, trên nền tảng, môi trường nhiều domainnhằm mục đích giảm thiếu đến mức tối đa rủi ro và nâng cao khả năng họatđộng của hệ thống mạng

Flexible, secure authentication and authorization: Active Directory cung

cấp nhiều cơ chế authentication như Kerberos, Secure Socket Layer vàTransport Layer Security giúp cho việc bảo mật thông tin của user khi xác thực thông tin truy xuất tài nguyên

Security integration: Active Directory được tích hợp mặc định trong các

phiên bản Windows Server, do đó Active Directory làm việc rất dễ dàng vàlinh hoạt, truy xuất điều khiển trên hệ thống được định nghĩa trên từng đốitượng, từng thuộc tính của đối tượng Không những thế, các chính sách bảomật được áp dụng không phải đơn thuần trên local mà còn được áp dụngtrên các site, domain hay ou xác định

Directory – enable applications and infrastructure: Active Directory là

một môi trường tuyệt hảo cho các nhà quản trị thiết lập các cấu hình vàquản trị các ứng dụng trên hệ thống Đồng thời Active Directory cung cấpmột hướng mở cho các nhà phát triển ứng dụng (developer) xây dựng cácứng dụng trên nền tảng Active Directory thông qua Active DirectoryService Interfaces

Interoperability with other directory services: Active Directory được xây

dựng trên giao thức directory service chuẩn gồm 2 giao thức là LightweightDirectory Access Protocol (LDAP) và Name Service Provider

Interface (NSPI), do đó Active Directory có khả năng tương thích với cácdịch vụ khác được xây dựng trên nền tảng directory service thông qua cácgiao thức này Vì LDAP là một giao thức directoy chuẩn, do đó ta có thểphát triển, tích hợp các sản phẩm ứng dụng trao đổi, chia sẻ thông tin v ớiActive Directory thông qua giao thức LDAP Còn giao thức NSPI được hỗtrợ bởi Active Directory nằm mục đích đảm bảo và nâng cao khả năngtương thích với directoy của Exchange

Signed and encrypted LDAP traffic: Mặc định là công cụ Active Directoy

trong windows server sẽ tự động xác thực và mã hóa thông tin, dữ liệutruyền tải trên giao thức LDAP Việc xác thực giao thức nhằm đảm bảothông tin được gửi đến từ 1 nguồn chính thức và không bị giả mạo

IV Directory Services

Directory Services (dịch vụ thư mục) là hệ thống thông tin chứa trong NTDS.DIT và các chương trình quản lý, khai thác tập tin này

Chứa danh sách của nhiều đối tượng khác nhau cũng như các thông tin và thuộc tính liên quan đến các đối tượng đó

Dịch vụ thư mục là một dịch vụ cơ sở làm nền tảng để hình thành một hệ thống Active Directory

Các thành phần:

2 Object (đối tượng)

Là thành tố căn bản nhất của dịch vụ thư mục

Gồm: máy in, người dùng mạng, các server, các máy trạm, các thư mục dùng chung, dịch vụ mạng, …

3 Attribute (thuộc tính)

Một thuộc tính mô tả một đối tượng

Ví dụ: Mật khẩu và tên là thuộc tính của đối tượng người dùng m ạng

Các đối tượng khác nhau có danh sách thuộc tính khác nhau

Tuy nhiên, các đối tượng khác nhau cũng có thể có một số thuộc tính giống nhau

Ví dụ: Như một máy in và một máy trạm cả hai đều có một thuộc tính là địa chỉ IP

4 Schema (cấu trúc tổ chức)

Là một danh bạ của các danh bạ Active Directory

Một schema định nghĩa danh sách các thuộc tính dùng để mô tả một lớp đốitượng nào đó

Ví dụ: cho rằng tất cả các đối tượng máy in đều được định nghĩa bằng cácthuộc tính tên, loại, tốc độ Danh sách các đối tượng này hình thành nênschema cho lớp đối tượng “máy in”

Các thuộc tính của schema dùng để định nghĩa một lớp đối tượng có th ể sửa đổi được

 Một OU không thể chứa các đối tượng nằm trong domain khác, sử dụng

OU để giảm thiểu số lượng domain cần phải thiết lập trên hệ thống

 Nhờ việc một OU có thể chứa các OU khác, bạn có th ể xây dựng một môhình thứ bậc của các vật chứa để mô hình hoá cấu trúc của một tổ chức bêntrong một domain

Hình 2.2: Tìm kiếm trên Global Catalog

7 Objects class

Là một khuôn mẫu cho các loại đối tượng mà có thể tạo ra trong ActiveDirectory

Có ba loại object classes thông dụng là: User, Computer, Printer

o Attributes là tập các giá trị phù hợp và được kết hợp với một đốitượng cụ thể

o Object là một đối tượng duy nhất được định nghĩa bởi các giá tr ị được gán cho các thu ộc tính của object classes

o Ví dụ hình sau minh họa hai đối tượng là: máy in ColorPrinter1 và người dùng KimYoshida

Hình 2.3: Objects class

Organizational Units hay OU là đơn vị nhỏ nhất trong hệ thống AD

Một vật chứa các đối tượng (Object) được dùng để sắp xếp các đối tượng khác nhau phục vụ cho mục đích quản trị

OU có hai công dụng chính

o Trao quyền kiếm soát một tập hợp các tài khoản người dùng, máytính hay các thiết bị mạng cho một nhóm người hay một phụ tá quảntrị viên nào đó (sub-administrator), từ đó giảm bớt công tác quản trị cho người quản trị toàn bộ hệ thống

o Kiểm soát và khóa bớt một số chức năng trên các máy trạm củangười dùng trong OU thông qua việc sử dụng các đối tượng chínhsách nhóm (GPO)

8 Domain

Là đơn vị chức năng nòng cốt của cấu trúc logic Active Directory

Là phương tiện để qui định một tập hợp những người dùng, máy tính, tàinguyên chia sẻ có những qui tắc bảo mật giống nhau từ đó giúp cho việcquản lý các truy cập vào các Server dễ dàng hơn

o Giúp chúng ta qu ản lý bảo mật các các tài nguyên chia s ẻ.

Hình 2.5 : Bảo mật tài nguyên chia sẻ

o Cung cấp các Server dự phòng làm chức năng điều khiển vùng (domaincontroller), đồng thời đảm bảo các thông tin trên các Server này đượcđược đồng bộ với nhau

Hình 2.6: Đồng bộ thông tin trên các server

9 Domain tree

Là cấu trúc bao gồm nhiều domain được sắp xếp có c ấp bậc theo cấu trúc hình cây

Domain root: Tạo đầu tiên Nằm ở gốc cây thư mục

Child domain: Tạo ra sau Tên khác nhau

Domain tree = domain root + ít nhất 1 child domain

Hình 2.7: Cây Domain và Rừng

Hình 2.8 : Công cụ quản lý các đối tượng (object) trong Active Directory

o Builtin: chứa các nhóm người dùng đã được tạo và định nghĩa quyền sẵn.

o Computers: chứa các máy trạm mặc định đang là thành viên của miền Bạn cũng có

th ể dùng tính năng này để kiểm tra một máy trạm gia nhập vào miền có thành

công không

o Domain Controllers: chứa các vùng điều khiển (Domain Controller) hiện đang

hoạt động trong miền Chức năng này để kiểm tra việc tạo thêm Domain

Controller đồng hành có thành công không

o ForeignSecurityPrincipals: là một vật chứa mặc định dành cho các đối tượng bên

ngoài miền đang xem xét, từ các miền đã thiết lập quan hệ tin cậy (trusted domain)

o Users: chứa các tài kho ản người dùng m ặc định trên miền.

Microsoft Active Directory là dạng LDAP dành cho môi trường Windows Ở cácdòng h ệ điều hành Linux cũng có các phần mềm server LDAP gồm có:

1 Apache Directory Server

2 Fedora Directory Server

3 IBM Tivoli Directory Server

Phần tiếp theo, chúng ta sẽ cùng nhau tìm hiểu phần mềm mã nguồn

mở Openldap trên Linux, để hiểu rõ hơn về hiện thực của giao thức LDAP

V BIND

 BIND là phần mềm nguồn mở thực hiện các giao thức Hệ thống tên miền (DNS) cho Internet, cung cấp khả năng thực hiện chuyển đổi tên thành ip.

 Tên BIND là viết tắt của tên Berkeley Internet Name Domain, vì phần mềm có nguồn gốc từ đầu những năm 1980 tại Đại học California tại Berkeley Nó là một triển khai tham chiếu của các giao thức DNS, nhưng nó cũng là phần mềm cấp sản xuất, phù hợp để sử dụng trong các ứng dụng có khối lượng lớn và độ tin cậy cao

 BIND cho đến nay là phần mềm DNS được sử dụng rộng rãi nhất trên Internet, cung cấp một nền tảng mạnh mẽ và ổn định trên đó các tổ chức có thể xây dựng các hệ thống máy tính phân tán với kiến thức rằng các hệ thống đó tuân thủ đầy đủ các tiêu chuẩn DNS được công bố

CHƯƠNG III: Triển Khai Và Cài Đặt

I Sơ Đồ Triển Khai:

1 Sơ đồ logic:

Hình 1 Sơ đồ logic