Active Directory sử dụng LDAP Lightweight Directory Access Protocolvà được xây dựng trên cơ sở Hệ thống xác định domain theo tên DNS.Một trong những điểm ưu việt của Active Directory là
Giới Thiệu Đề Tài
Nghiên cứu thực tiễn
Trong môi trường máy tính mạng hiện nay, việc cấp phát và quản lý tài khoản trở nên phức tạp hơn khi hầu hết các máy tính đều được kết nối với nhau Khi mỗi nhân viên có thể làm việc trên nhiều máy khác nhau, nhu cầu quản lý đăng nhập tập trung trở nên cấp thiết, nhằm đảm bảo tính linh hoạt và an toàn trong công việc.
Giải pháp cho vấn đề này là thiết lập tất cả các tài khoản trên một máy tính, giúp người dùng có thể linh hoạt làm việc trên bất kỳ máy nào Giao thức này được sử dụng để quản lý tập trung và xác thực tài khoản người dùng trên mạng.
Mục tiêu đề tài
Tìm hiểu và triển khai Active Directory với BIND trên CentOS 7, cũng như nghiên cứu Active Directory trên Windows Nắm vững BIND và thực thi các chức năng của nó Xây dựng một mô hình nhỏ để ứng dụng lưu trữ tập trung tài khoản người dùng và tài nguyên trên mạng.
Cơ Sở Lý Thuyết
Workgroup
Trong mô hình này, tất cả các máy tính có quyền hạn ngang nhau mà không có máy tính chuyên dụng để cung cấp dịch vụ hay quản lý Mỗi máy tính tự bảo mật và quản lý tài nguyên của chính mình, đồng thời tự chứng thực cho người dùng tại địa phương.
Còn gọi là mô hình peer-to-peer
Một máy vừa là Client vừa là Server
Các tài nguyên lưu trữ phân tán t ại các hệ thống cục bộ
Dành cho các mạng nhỏ (dưới 10 máy), hoặc không yêu cầu tính bảo mật cao, hoặc việc phục vụ tập trung không quá lớn
Lưu giữ thông tin người dùng trong tập tin SAM (Security Accounts
Manager) trên hệ thống cục bộ
Thuận lợi: Rẻ tiền, dễ thiết lập, bảo trì.
Bất lợi: Dữ liệu bị phân tán, khó định vị tài nguyên, tính bảo mật thấp.
Domain
Trong mô hình Domain, việc quản lý và chứng thực người dùng mạng được tập trung tại máy tính Primary Domain Controller, khác với mô hình Workgroup Tài nguyên mạng cũng được quản lý một cách tập trung và quyền hạn được cấp cho từng người dùng Hệ thống bao gồm các máy tính chuyên dụng để cung cấp dịch vụ và quản lý các máy trạm.
Mô hình phục vụ, hay còn gọi là Server-Client, bao gồm hai thành phần chính: Client và Server Client là thiết bị yêu cầu dịch vụ nhưng không cung cấp dịch vụ, chỉ cần cấu hình phần cứng tối thiểu Ngược lại, Server là máy tính phục vụ các yêu cầu từ Client và thường có cấu hình phần cứng mạnh mẽ hơn.
Trong mạng phải có ít nhất 1 máy làm chức năng điều khiển tòan b ộ hệ thống mạng (Domain Controller).
Dùng cho các công ty vừa và lớn.
Thông tin người dùng quản lý trong các Active Directory trên Domain Controller (trong file NTDS.DIT).
Thuận lợi: Bảo mật tập trung, dễ truy xuất, backup
Bất lợi: Server đắt tiền, phụ thuộc vào người quản trị mạng Chứng thực, quản lý tài nguyên tập trung trên server.
Active Directory (AD)
Là một dịch vụ quản lý thư mục mang tính thứ bậc được giới thiệu bởi Microsoft cùng với Windows 2000.
Active Directory utilizes the Lightweight Directory Access Protocol (LDAP) and is built on the Domain Name System (DNS) One of its key advantages is the ability to manage network systems by creating domain names for workgroups, which facilitates access for other network systems, such as Unix and Mac.
Là một CSDL lưu các tài nguyên (đối tượng) trên mạng và các thông tin liên quan đến chúng
Sử dụng Active Directory (AD) trong môi trường Domain là cần thiết cho việc quản lý hiệu quả, đặc biệt trong các tổ chức lớn như xí nghiệp và công ty Trong khi mạng nhỏ có thể sử dụng Workgroup, việc chia thành nhiều Domain giúp tổ chức quản lý tài nguyên và người dùng dễ dàng hơn Do đó, việc áp dụng AD là một giải pháp tối ưu cho các mạng lớn.
Được lưu trữ trong Domain Controller (DC)
Hỗ trợ phân nhiều domain và ủy quyền để quản lý cho d ễ dàng
Quản lý 10 triệu người dùng cho m ỗi Domain
Lưu trữ dữ liệu tập trung cho phép toàn bộ thông tin trong hệ thống được quản lý một cách hiệu quả, giúp người dùng dễ dàng truy cập dữ liệu từ bất kỳ đâu và vào bất kỳ thời điểm nào Điều này không chỉ nâng cao hiệu suất quản trị hệ thống mà còn giảm thiểu rủi ro cho tài nguyên.
Scalability là khả năng linh hoạt đáp ứng nhu cầu của doanh nghiệp Active Directory cung cấp các giải pháp quản trị đa dạng, phù hợp với từng yêu cầu cụ thể trong hạ tầng xác định của tổ chức.
Cơ sở dữ liệu của Active Directory mang lại khả năng mở rộng linh hoạt cho các nhà quản trị, cho phép tùy chọn và phát triển các ứng dụng Điều này giúp tối ưu hóa hiệu suất và khai thác tối đa tiềm năng của hệ thống.
Quản lý linh hoạt và dễ dàng là một trong những ưu điểm nổi bật của Active Directory Được tổ chức theo cơ chế của Directory Service, Active Directory cung cấp cho các nhà quản trị cái nhìn tổng quan về toàn bộ hệ thống Điều này không chỉ giúp quản trị viên dễ dàng quản lý mà còn cho phép người dùng truy xuất và sử dụng tài nguyên hệ thống một cách thuận tiện.
The integration of the Domain Name System (DNS) is essential for Active Directory, as its services rely on the proper installation of DNS within a network DNS plays a crucial role in directing and resolving Active Directory Domain Controllers, particularly in multi-domain environments Its seamless integration with Active Directory enhances security and synchronization among Domain Controllers, making it vital for efficient network management.
Active Directory enables efficient client configuration management, simplifying system administration and enhancing user mobility.
Quản trị dựa trên chính sách trong Active Directory đảm bảo an toàn cho hệ thống mạng thông qua việc thiết lập các chính sách quản lý tài nguyên và quyền truy cập trên các site, domain và organizational unit Đây là một trong những tính năng quan trọng nhất của Active Directory, giúp tăng cường bảo mật và hiệu quả trong quản lý mạng.
Active Directory enables data synchronization across multiple domains, significantly minimizing risks and enhancing the operational efficiency of network systems in multi-domain environments.
Active Directory offers flexible and secure authentication and authorization mechanisms, including Kerberos, Secure Socket Layer (SSL), and Transport Layer Security (TLS) These technologies enhance user information security during resource access authentication.
Active Directory được tích hợp sẵn trong các phiên bản Windows Server, mang lại sự linh hoạt và dễ dàng trong việc quản lý truy cập và kiểm soát hệ thống Nó cho phép định nghĩa quyền truy cập dựa trên từng đối tượng và thuộc tính của chúng Hơn nữa, các chính sách bảo mật không chỉ áp dụng trên máy tính cục bộ mà còn mở rộng đến các site, domain và organizational units (OU) cụ thể.
Active Directory serves as an excellent environment for administrators to configure and manage applications within a system It also offers developers the opportunity to build applications on the Active Directory platform through Active Directory Service Interfaces, facilitating seamless integration and enhanced functionality.
Interoperability with other directory services: Active Directory được xây dựng trên giao thức directory service chuẩn gồm 2 giao thức là Lightweight Directory Access Protocol (LDAP) và Name Service Provider
Active Directory tương thích với các dịch vụ khác nhờ vào giao thức NSPI và LDAP LDAP là giao thức chuẩn cho dịch vụ thư mục, cho phép phát triển và tích hợp các ứng dụng để trao đổi, chia sẻ thông tin với Active Directory Giao thức NSPI, được hỗ trợ bởi Active Directory, nhằm đảm bảo và nâng cao khả năng tương thích với dịch vụ thư mục của Exchange.
By default, the Active Directory tool in Windows Server automatically authenticates and encrypts data transmitted over the LDAP protocol This authentication process ensures that information is sent from a legitimate source and remains protected against spoofing.
Directory Services
Directory Services (dịch vụ thư mục) là hệ thống thông tin chứa trong NTDS.DIT và các chương trình quản lý, khai thác tập tin này.
Chứa danh sách của nhiều đối tượng khác nhau cũng như các thông tin và thuộc tính liên quan đến các đối tượng đó
Dịch vụ thư mục là một dịch vụ cơ sở làm nền tảng để hình thành một hệ thống Active Directory.
Là thành tố căn bản nhất của dịch vụ thư mục
Gồm: máy in, người dùng mạng, các server, các máy trạm, các thư mục dùng chung, dịch vụ mạng, …
Một thuộc tính mô tả một đối tượng.
Ví dụ: Mật khẩu và tên là thuộc tính của đối tượng người dùng m ạng
Các đối tượng khác nhau có danh sách thuộc tính khác nhau
Tuy nhiên, các đối tượng khác nhau cũng có thể có một số thuộc tính giống nhau.
Ví dụ: Như một máy in và một máy trạm cả hai đều có một thuộc tính là địa chỉ IP
4 Schema (cấu trúc tổ chức)
Là một danh bạ của các danh bạ Active Directory
Một schema định nghĩa danh sách các thuộc tính dùng để mô tả một lớp đối tượng nào đó.
Tất cả các đối tượng máy in được xác định thông qua các thuộc tính như tên, loại và tốc độ Những thuộc tính này tạo thành schema cho lớp đối tượng "máy in".
Các thuộc tính của schema dùng để định nghĩa một lớp đối tượng có th ể sửa đổi được
Trong Active Directory, một vật chứa có th ể chứa các đối tượng và các v ật chứa khác
Cũng có các thuộc tính như đối tượng
Có 3 lọai: o Domain o Site: là một vị trí Site được dùng để phân biệt giữa các vị trí cục bộ và các v ị trí xa. o OU (Organizational Unit): là một loại vật chứa, có th ể đưa vào đó người dùng, nhóm, máy tính và những OU khác.
Một OU không thể chứa các đối tượng nằm trong domain khác, sử dụng
OU để giảm thiểu số lượng domain cần phải thiết lập trên hệ thống.
Việc một OU có khả năng chứa các OU khác cho phép bạn xây dựng mô hình thứ bậc cho các vật chứa, từ đó mô phỏng cấu trúc tổ chức bên trong một miền.
Dùng để xác định vị trí của một đối tượng mà người dùng được cấp quyền truy cập (bằng tên, hay đặc tính của đối tượng).
Khi một đối tượng mới được tạo trong Active Directory, nó sẽ được gán một mã số phân biệt gọi là GUID (Global Unique Identifier) GUID này luôn giữ nguyên và không thay đổi, ngay cả khi đối tượng được di chuyển đến khu vực khác trong hệ thống.
Hình 2.2: Tìm kiếm trên Global Catalog
Là một khuôn mẫu cho các loại đối tượng mà có thể tạo ra trong Active Directory
Có ba loại lớp đối tượng phổ biến: Người dùng, Máy tính và Máy in Các thuộc tính là tập hợp các giá trị liên quan được kết nối với một đối tượng cụ thể Mỗi đối tượng là một thực thể duy nhất được xác định bởi các giá trị gán cho các thuộc tính của lớp đối tượng Ví dụ, hình ảnh minh họa hai đối tượng: máy in ColorPrinter1 và người dùng KimYoshida.
Organizational Units hay OU là đơn vị nhỏ nhất trong hệ thống AD
Một vật chứa các đối tượng (Object) được dùng để sắp xếp các đối tượng khác nhau phục vụ cho mục đích quản trị
OU có hai công dụng chính: đầu tiên, nó cho phép trao quyền kiểm soát một tập hợp các tài khoản người dùng, máy tính và thiết bị mạng cho một nhóm người hoặc phụ tá quản trị viên, giúp giảm bớt công tác quản trị cho người quản trị hệ thống Thứ hai, OU giúp kiểm soát và hạn chế một số chức năng trên các máy trạm của người dùng thông qua việc sử dụng các đối tượng chính sách nhóm (GPO).
Là đơn vị chức năng nòng cốt của cấu trúc logic Active Directory
Một phương tiện quan trọng để xác định một nhóm người dùng, máy tính và tài nguyên chia sẻ, với các quy tắc bảo mật đồng nhất, giúp quản lý quyền truy cập vào các máy chủ một cách hiệu quả hơn.
Có ba chức năng chính: đầu tiên, nó đóng vai trò như một khu vực quản trị, xác định các đối tượng và tạo ra một tập hợp định nghĩa quản trị cho những đối tượng chia sẻ Thứ hai, nó bao gồm việc quản lý một cơ sở dữ liệu thư mục chung, đảm bảo tính nhất quán và hiệu quả trong việc truy cập thông tin Cuối cùng, nó thiết lập các chính sách bảo mật và quan hệ ủy quyền với các miền khác, góp phần bảo vệ dữ liệu và tài nguyên trong hệ thống.
Hình 2.4: khu vực quản trị o Giúp chúng ta qu ản lý bảo mật các các tài nguyên chia s ẻ.
Để bảo mật tài nguyên chia sẻ, cần cung cấp các server dự phòng hoạt động như bộ điều khiển miền (domain controller) và đảm bảo rằng thông tin trên các server này được đồng bộ hóa với nhau.
Hình 2.6: Đồng bộ thông tin trên các server
Là cấu trúc bao gồm nhiều domain được sắp xếp có c ấp bậc theo cấu trúc hình cây
Domain root: Tạo đầu tiên Nằm ở gốc cây thư mục
Child domain: Tạo ra sau Tên khác nhau
Domain tree = domain root + ít nhất 1 child domain
Hình 2.7: Cây Domain và Rừng
Hình 2.8 trình bày công cụ quản lý các đối tượng trong Active Directory, bao gồm các nhóm người dùng đã được định nghĩa sẵn trong mục Builtin, danh sách các máy trạm mặc định là thành viên của miền trong mục Computers, cho phép kiểm tra tình trạng gia nhập miền của máy trạm, và mục Domain Controllers, nơi chứa các vùng điều khiển đang hoạt động trong miền, hỗ trợ kiểm tra việc tạo thêm Domain.
Controller đồng hành có thành công không? ForeignSecurityPrincipals là một vật chứa mặc định dành cho các đối tượng bên ngoài miền đang xem xét, từ các miền đã thiết lập quan hệ tin cậy Trong khi đó, Users chứa các tài khoản người dùng mặc định trên miền.
Microsoft Active Directory là dạng LDAP dành cho môi trường Windows Ở các dòng h ệ điều hành Linux cũng có các phần mềm server LDAP gồm có:
Phần tiếp theo, chúng ta sẽ cùng nhau tìm hiểu phần mềm mã nguồn mở Openldap trên Linux, để hiểu rõ hơn về hiện thực của giao thức LDAP.
BIND
BIND là phần mềm nguồn mở thực hiện các giao thức Hệ thống tên miền (DNS) cho Internet, cung cấp khả năng thực hiện chuyển đổi tên thành ip
BIND, viết tắt của Berkeley Internet Name Domain, là phần mềm DNS được phát triển từ những năm 1980 tại Đại học California, Berkeley Đây là một triển khai tham chiếu của các giao thức DNS, đồng thời cũng là phần mềm cấp sản xuất, phù hợp cho các ứng dụng yêu cầu khối lượng lớn và độ tin cậy cao.
BIND hiện nay là phần mềm DNS phổ biến nhất trên Internet, cung cấp nền tảng mạnh mẽ và ổn định cho các tổ chức xây dựng hệ thống máy tính phân tán, đảm bảo tuân thủ đầy đủ các tiêu chuẩn DNS đã được công bố.
Triển Khai Và Cài Đặt
Sơ Đồ Triển Khai
Hình 2 Sơ đồ vật lý
Cài Đặt
Trước tiên chúng ta cần phải cài ip cho máy window server 2016 với ip là 10.0.0.2
Hình 3 Cài IP cho máy Server
Sau đó vào server manager, cài active directory domain services và làm theo các b ướ c d ướ i đây
Sau khi làm xong thì chúng ta sẽ nâng lên thành domain với domain là huflit.anhbao.edu đặt password cho window server
Cấu hình DNS = Bind server
Hình 16 Cấu hình DNS = BIND
Tr name server đếến 10.0.0.1 ỏ vim /etc/resolv.conf
Thếm 1 host name m i bằằng l nh: ớ ệ vim /etc/sysconfg/network
Thiếết l p các card m ng cho máy o chung 1 dây LAN ậ ạ ả
Disable Selinux nano /etc/selinux/confg
Câếu hình file named.conf: vi /etc/named.conf
Ch nh s a 2 dòng sau ỉ ử “ listen-on port 53 { 10.0.0.1; }; allow-query { any; };”
Ch nh s a file rfc1912.zones : ỉ ử vim /etc/named.rfc1912.zones
Thếm vào cuoi file 2 zone nhu sau:
To create the zone files "anhbao.edu.zone" and "anhbao.edu.rr.zone," copy the RFC1912 compliant zone file located at "/var/named/named.localhost" to the respective directories using the following commands: `cp /var/named/named.localhost /var/named/anhbao.edu.zone` and `cp /var/named/named.localhost /var/named/anhbao.edu.rr.zone`.
Câếu hình file “anhbao.edu.zone” và “anhbao.edu.rr.zone” vim /var/named/anhbao.edu.zone
Hình 22 Cấu hình BIND vim /var/named/anhbao.edu.rr.zone
To configure BIND for DNS management, navigate to the directory by using the command `cd /var/named/` Set the ownership of the zone files with `chown named:named anhbao.edu.zone` and `chown named:named anhbao.edu.rr.zone` Finally, restart the BIND service with `systemctl restart named`, start it with `systemctl start named`, and enable it to run on boot with `systemctl enable named`.
Để cài đặt webserver với địa chỉ IP 10.0.0.10, bạn cần thiết lập IPv4 giống như máy DNS nhưng sử dụng địa chỉ 10.0.0.10 Hãy cấu hình card mạng cho VMWare Vmhost2 theo hướng dẫn, tắt SELINUX và sau khi hoàn tất, hãy kiểm tra kết nối bằng lệnh ping tới 10.0.0.1 để xác nhận tính khả thi của kết nối.
Cài đặt dịch vụ httpd (có quyền root): yum install httpd
Chỉnh sửa file httpd.conf vi /etc/httpd/conf/httpd.conf
Cuộn chuột đến dưới cùng thêm vào như sau Port 80: http
Hình 25 Cấu Hình WebServer Kiểm tra và chỉnh nameserver trỏ vào máy DNS vi /etc/resolv.conf
Hình 26 Cấu Hình WebServer systemctl start httpd
To create an HTML file, use winSCP to upload data by accessing the machine's IP First, stop the firewall with the command `systemctl stop firewalld` Then, enable and start the HTTP service using `systemctl enable httpd` and `systemctl start httpd` Ensure the SSH service is installed; if not, install it and start it with `systemctl enable sshd` and `systemctl start sshd` Finally, conduct a test using the `nslookup` command to verify the setup.
Truy cập anhbao.edu (máy webserver)
Hình 28 Cấu Hình WebServerXong phần cài máy bind centos7
Hình 29 Tạo địa chỉ IP cho máy Client
Hình 30 Tắt IP máy Client
LDAP: Lightweight Directory Access Protocol
RFC: Request for Comments - Đề nghị duyệt thảo và bình luận
XML: eXtensible Markup Language - Ngôn ng ữ Đánh dấu Mở rộng
RDBMS: Relational database management system
DN: Distinguish Name ( Tên phân bi ệt )
DIT: Directory Information Tree ( Thông tin cây thư mục )
LDIF: LDAP Data Interchange Format ( Định dạng dữ liệu giao LDAP )
OID: Object Identifier ( Đối tượng Nhận Biết )
Cn: Common Name (Tên Phổ biến)
ou: Organisational Unit (Đơn vị tổ chức)
dc: Domain Component (phần tên miền)