Điều này cho phép có một tên truy cập và password chung cho toàn hệ thống khi đăng nhập từ tất cả máy tính trong hệ thống • Trong Windows Workgroup, mỗi máy tính lưu giữ tên truy cập và
Trang 1MỤC LỤC
Trang 2NHẬN XÉT CỦA GIÁO VIÊN HƯỚNG DẪN
Biên hòa, ngày , tháng , năm 2015 Giáo viên hướng dẫn
(Ký và ghi rõ họ tên)
Trang 3DANH MỤC CÁC CHỮ VIẾT TẮT
• ADLDS: Active Directory Lightweight Directory Services
• ADSL: Asymmetric Digital Subscriber Line
• API: Application Programming Interface
• CA: Certification Authority
• CPU: Central Processing Unit
• DMZ: Demilitarized Zone
• DNS: Domain Name System
• HDD: Hard Disk Drive
• HTTPS: Hypertext Transfer Protocol Secure
• IP: Internet Protocol
• ISA: Internet Security and Acceleration
• ISP: Internet Service Provider
• LAN: Local Area Network
• NAP: Network Access Protection
• NAT: Network Address Translation
• NDIS: Network Driver Interface Specification
• NIC: Network interface controller
• NIS: Network Information Service
• NLB: Network Load Balancing
• RAID: Redundant Arrays of Inexpensive Disks
• RDB: Remote Database
• RPC: Remote Procedure Call
• SIP: Session Initiation Protocol
• SP1: Service Pack 1
• SSL: Secure Sockets Layer
• SSTP: Secure Socket Tunneling Protocol
• TCP: Transmission Control Protocol
• TFTP: Trivial File Transfer Protocol
• UI: User interface
• URL: Uniform Resource Locator
• VLAN: Virtual Local Area Network
• WAN: Wide Area Network
• VPN: Virtual Private Network
Trang 4PHẦN MỞ ĐẦU
1 Lý do chọn đề tài
Samba là một dịch vụ cho phép Windows đọc được các tài nguyên mạng của Linux, Vì Windows share tài nguyên ra mạng theo cơ chế Server Message Block (SMB) nên Linux chơi chữ lấy chữ Samba làm tên service Trên Linux nếu chúng ta active dịch vụ Samba thì chúng ta có thể tạo các share resource mà Windows có thể truy cập được Rất tiện nếu như chúng ta có nhiều máy tính cùng chạy song song Windows và Linux
Trước đây chưa có Samba, việc chia xẻ các tài nguyên giữa Linux và Windows fải thông qua FTP, nhưng cấu hình FTP thì hơi nặng hơn so với Samba Samba có thể đưa Linux box của chúng ta vào Windows Primary Domain Controller (PDC) hay một server cho Windows Workgroup Một trong những cấu hình này cho phép bất kì ai tại nhà cũng có thể:
• Log on vào tất cả các box windows tại nhà trong khi các file của họ trên Linux box nằm trên một drive Windows.
• Chia sẻ truy cập đến các máy in trên Linux box.
• Các file chia sẻ chỉ có thể truy cập được bởi những thành viên của nhóm người dùng Linux.
Đâu là khác biệt giữa của PDC và một thành viên của Windows Workgroup? Chương này sẽ không mô tả chi tiết, nhưng chỉ cần đơn giản thế này là đủ:
• Một PDC lưu giữ thông tin đăng nhập trên một cơ sở dữ liệu trung tâm trên đĩa cứng của nó Điều này cho phép có một tên truy cập và password chung cho toàn hệ thống khi đăng nhập từ tất cả máy tính trong hệ thống
• Trong Windows Workgroup, mỗi máy tính lưu giữ tên truy cập và password cục bộ để chúng là duy nhất cho mỗi máy tính
Chính vì những tiện ích to lớn này mà nhóm 6 chúng em xin chọn đề tài:
‘‘Nghiên cứu cơ chế bảo mật và triễn khai dịch vụ samba server chia sẻ dữ liệu” làm
đề tài đồ án 3 này.
2 Mục đích nghiên cứu
Nghiên cứu về hệ thống Samba Server.
Trang 5Triển khai hệ thống chia sẽ tài nguyên với Samba Server cho doanh nghiệp vừa và nhỏ.
3 Đối tượng nghiên cứu
Nghiên cứu mô hình hệ thống File Server với Samba Server.
Nghiên cứu triển khai hệ thống File Server với Samba Server cho doanh nghiệp vừa và nhỏ.
4 Phương pháp nghiên cứu
Dưới sự hướng dẫn của giảng viên hướng dẫn.
Tìm hiểu các tài liệu liên quan về Linux và các dịch vụ được triễn khai trên Centos
Triển khai thực nghiệm trên mô hình hệ thống mạng để kiểm chứng lý thuyết
đã được nghiên cứu được.
Trang 6PHẦN I: GIỚI THIỆU SAMBA SERVER 1.1 Giới thiệu Samba Server.
Các tổ chức kinh doanh lớn thường xử lý thông tin trên nhiều loại hệ điều hành khác nhau và có nhu cầu lưu trữ chúng trong một môi trường mạng trong việc chia sẻ các tập tin và máy in Các nhân viên có thể làm việc trên các máy trạm như Linux, Microsoft Windows 95/98/NT, OS/2 hay Novel và vẫn cần phải truy cập máy server trong các công việc thường ngàycủa họ
Samba là một dịch vụ mạng rất mạnh trong việc chia sẻ tập tin và máy in, nó làm việc tốt trên các hệ điều hành chủ yếu hiện nay Khi đã được thực hiện tốt bởi người quản trị, nó sẽ nhanh hơn và bảo mật hơn các dịch vụ chia sẻ tập tin tự nhiên
đã có sẵn trên các máy Microsoft Windows
Samba là một giao thức có nhiều máy PC kết nối với nhau cùng chia sẻ các tập tin, các máy in, và các thông tin khác, chẳng hạn như liệt kê danh sách các tập tin và máy in Các HĐH mà nó hỗ trợ dịch vụ này một cách tự nhiên gồm có Windows 95/98/NT, OS/2 và Linux Ở đây chúng ta sẽ tìm hiểu Samba với tính năng như một cây cầu nối giữa Linux và Windows, samba cho phép các máy tính chạy Linux có thể hoạt động và giao tiếp trên cùng một giao thức mạng với máy Windows.
Từ Linux:
• Mount thư mục chia sẻ của Windows.
• Truy cập máy in của Windows.
• Chứng thực với các máy tính Windows.
Từ Windows:
• Thấy những thư mục chia sẻ của Linux.
• Chứng thực với các máy tính Linux.
• Truy cập máy in của Linux.
1.2 Vài khác biệt cơ bản khi làm việc với Linux và Windows.
a Username & password:
Thuật toán login/password trên Linux khác hoàn toàn so với PDC (Primary Domain Controller) và AD (Active Directory) trên Windows Do đó, khi làm việc với
cả 2 hệ thống; cần đảm bảo người dùng đăng nhập vào hệ thống một cách dễ dàng
mà không cần để ý đến việc chứng thực lại khi đăng nhập vào hệ thống khác,…
Đối với Samba, có vài tùy chọn để quản lý username/password:
Trang 7• Linux PAM (Pluggable Authentication Modules): vẫn cần 2 danh sách người
dùng – 1 trên Linux và 1 trên PDC – nhưng người dùng chỉ cần giữ mật khẩu của họ trên hệ thống Windows.
• Sử dụng Samba như 1 PDC: cho phép giữ username/password trên hệ thống
Linux, Windows sẽ chứng thực với Samba còn Samba sử dụng LDAP.
b Mật khẩu mã hóa:
Windows sử dụng mật khẩu mã hóa trong PDC và bất kỳ Server nào yêu cầu chứng thực Tuy nhiên thuật toán mã hóa của Windows khác biệt hoàn toàn so với Linux, do vậy việc giải mã mật khẩu giữa hai hệ thống không tương thích Để giải quyết vấn đề này, có 2 cách:
• Chỉnh sửa Registry trên Windows client để vô hiệu hóa việc sử dụng mật khẩu được mã hóa.
• Cấu hình Samba để tương thích với thuật toán mã hóa/giải mã mật khẩu trên Windows.
1.3 Thành phần và chức năng Samba Server
Mỗi phương pháp đều có ưu nhược điểm riêng Samba gồm 3 thành phần
chính đó là smbd, nmbd và winbindd Hầu hết mọi chức năng của Samba được thực thi bởi hai tiến trình smbd và nmbd.
Tiến trình smbd:
Quản lý việc chia sẻ file và dịch vụ in cho các client, đồng thời cũng chịu trách nhiệm chứng thực người dùng bằng cách sử dụng port 139 và 445 để lắng nghe các yêu cầu đến thư mục chia sẻ trên Linux.
Khi một client kết nối, smbd sẽ tạo ra một tiến trình mới, phục vụ cho kết nối này.
Trang 8PHẦN II: CÀI ĐẶT VÀ CẤU HÌNH SAMBA SERVER TRÊN CENTOS
2.1 Mô hình.
Mô hình mạng gồm:
• Một máy server (DC) có địa chỉ IP là 192.167.1.1
• Một máy centos (Samba Server) có địa chỉ IP là 192.167.1.2
• Các máy client có địa chỉ nằm trong dãy từ 192.167.1.10 đến 192.167.1.254
• Máy Centos
[root@samba ~]# mount /dev/cdrom /media/
[root@samba ~]# rpm -ivh /media/CentOS/samba-3.0.33-3.14.el5.i386.rpm
[root@samba ~]# rpm -ivh /media/CentOS/samba-client-3.0.33-3.14.el5.i386.rpm [root@samba ~]# rpm -ivh /media/CentOS/samba-common-3.0.33-
3.14.el5.i386.rpm
Trang 9[root@samba ~]# rpm –ivh
206 ; wins proxy = yes
[root@samba ~]# service smb restart
• Win server kiểm tra
Vào run gõ cmd -> ping thử với tên máy samba
2.5 Samba client
• Win server
Trên máy 2k3 share thử 1 file
• Máy Centos
Trang 10[root@samba ~]# smbclient -U administrator -L dc //Tài nguyên share hiện ra
[root@samba ~]# smbclient -U administrator //dc/DULIEU //Truy cập vào thư mục trên 2k3
smb: \> mkdir data //Tạo thư mục data trên máy 2k3 bằng lệnh trên centos smb: \> cd data //chuyển thư mục hiện hành và thư mục data
+ Để lấy tập tin từ 2k3 xuống centos
Tạo 1 tập tin vanban.txt trong thư mục data
[root@samba ~]# cd /data
[root@samba data]# vim vanban.txt
+ Để lấy file TAPTIN.TXT từ 2k3 xuống Centos ta dùng lệnh
[root@samba data]# smbclient -U administrator //dc/DULIEU
+ để post tập tin vanban.TXT từ Centos qua 2k3 ta dùng lệnh
[root@samba data]# smbclient -U administrator //dc/DULIEU
Trang 11Tạo 1 thư mục Data trên máy centos và tạo các user và group
[root@samba ~]# mkdir data
[root@samba data]# groupadd gv
[root@samba data]# groupadd hs
[root@samba data]# useradd gv1
[root@samba data]# useradd gv2
[root@samba data]# useradd hs1
[root@samba data]# useradd hs2
[root@samba data]# usermod -G hs hs1
Trang 12[root@samba data]# usermod -G hs hs2
[root@samba data]# usermod -G gv gv1
[root@samba data]# usermod -G gv gv2
+ Đặt password truy cập cho các user tới samba
[root@samba data]# smbpasswd -a hs1
[root@samba data]# smbpasswd -a hs2
[root@samba data]# smbpasswd -a gv1
[root@samba data]# smbpasswd -a gv2
2.6.1 Share với quyền chỉ đọc cho mọi người
• Máy Centos
[root@samba data]# vim /etc/samba/smb.config
Thêm vào cuối file
Trang 132.6.2 Share full quyền cho nhóm học sinh truy cập thư mục học sinh
• Máy Centos
[root@samba data]# vim /etc/samba/smb.config
Thêm vào cuối file
[root@samba data]# chgrp hs /data/hocsinh/
[root@samba data]# chmod 775 -R /data/hocsinh/
Kiểm tra bên máy xp
Trang 14Đăng nhập với user nhóm học sinh và thử tạo tập tin thư mục.
2.6.3 Share full quyền cho nhóm giáo viên truy cập thư mục giáo viên
• Máy Centos
[root@samba data]# vim /etc/samba/smb.config
Thêm vào cuối file
[root@samba data]# chgrp gv /data/giaovien/
[root@samba data]# chmod 775 -R /data/giaovien/
Kiểm tra bên máy xp
Đăng nhập với user nhóm giáo viên và thử tạo tập tin thư mục.
Trang 152.6.4 Share thư mục bài tập với nhóm GV full quyền, HS với quyền chỉ đọc
• Máy Centos
[root@samba data]# vim /etc/samba/smb.config
Thêm vào cuối file
[root@samba data]# chgrp gv /data/baitap/
[root@samba data]# chmod 775 -R /data/baitap/
Trang 16• Kiểm tra user gv1 máy DC
• Kiểm tra user hs1 máy XP
Trang 172.6.5 Share hidden với thư mục giaovien
• Máy Centos
[root@samba data]# vim /etc/samba/smb.config
Thêm vào cuối file
Trang 182.7 Tạo logon script cho các tài nguyên được share trên samba
• Máy client và máy server 2k3
Start -> Run -> Cmd
net use o: \\samba\software
net use p: \\samba\giaovien
net use m: \\samba\hocsinh
Trang 192.8 Samba swat
• Máy Centos
[root@samba ~]# vim /etc/xinetd.d/swat
Dòng 10 only_from = 192.167.1.10 //địa chỉ ip máy client cần để kết nối Dòng 14 disable = no
[root@samba ~]# service xinetd restart
[root@samba ~]# chkconfig xinetd on
[root@samba ~]# netstat –anlt
• Máy XP
Kiểm tra
Mở IE truy cập http://192.167.1.2:901
Trang 21PHẦN III: MYSQL SERVER CENTOS 5.4 3.1 Cài đặt Mysql Server
[root@samba ~]# mount /dev/cdrom /media/
[root@samba ~]# rpm -ivh /media/CentOS/perl-DBI-1.52-2.el5.i386.rpm
[root@samba ~]# rpm -ivh /media/CentOS/perl-DBD-MySQL-3.0007-2.el5.i386.rpm [root@samba ~]# rpm -ivh /media/CentOS/mysql-5.0.77-3.el5.i386.rpm
[root@samba ~]# rpm -ivh /media/CentOS/mysql-server-5.0.77-3.el5.i386.rpm [root@samba ~]# rpm -ivh /media/CentOS/mysql-devel-5.0.77-3.e15 i386.rpm [root@samba ~]# rpm -ivh /media/CentOS/mysql-bench-5.0.77-3.e15 i386.rpm [root@samba ~]# rpm -ivh /media/CentOS/mysql-connector-5.0.77-3.e15 i386.rpm [root@samba ~]# rpm -ivh /media/CentOS/mysql-test-5.0.77-3.e15 i386.rpm
[root@samba ~]#service mysqld restart
3.2 Tạo Database cho Mysql Server
[root@samba ~]# mysql -uroot -p
mysql> create database DOAN3;
Trang 22mysql> USE DOAN3;
mysql> CREATE TABLE DANHSACHLOP(HO VARCHAR(10),TEN VARCHAR(10),LOP VARCHAR(6));
mysql> SELECT * FROM DANHSACHLOP;
mysql> INSERT INTO DANHSACHLOP(HO,TEN,LOP)
VALUES('NGUYEN','TIEN','MANG');
mysql> INSERT INTO DANHSACHLOP(HO,TEN,LOP) VALUES('VU','NHAT','MANG'); mysql> INSERT INTO DANHSACHLOP(HO,TEN,LOP) VALUES('PHAN','TU','MANG'); mysql> INSERT INTO DANHSACHLOP(HO,TEN,LOP)
VALUES('NGUYEN','THANH','MANG');
mysql> INSERT INTO DANHSACHLOP(HO,TEN,LOP) VALUES('DINH','SON','MEM'); mysql> INSERT INTO DANHSACHLOP(HO,TEN,LOP) VALUES('NGO','HOANG','MEM'); mysql> SELECT * FROM DANHSACHLOP;
• Kiểm tra
Trang 23PHẦN IV: KẾT LUẬN 4.1 Những vấn đề đạt được
Cài đặt Samba server
Kiểm soát truy cập và phân quyền cho từng nhóm
Cài đặt Mysql server
Tạo database trên nền Mysql
4.2 Kiểm tra hệ thống
Sau khi cài đặt và triển khai xong hệ thống mạng cho công ty, ta tiến hành kiểm tra tổng toàn diện hệ thống.
Kiểm tra từ máy của nhân viên những vấn đề sau:
Đăng nhập vào user trên domain bằng máy client.
Kiểm tra dns bằng nslookup, sau đó kiểm tra sự liên thông giữa các mạng bằng lệnh ping, ping ra internet kiểm tra kết nối internet từ máy client.
Kiểm tra máy in và in thử trên client.
4.3 Đánh giá hiệu quả
Sau khi thiết kế và xây dựng hệ thống này, nhóm nhận thấy rằng hệ thống này rất hửu ích và mang lại hiệu quả cao cho hoạt động của công ty Sau đây là những đánh giá mà nhóm 7 đưa ra sau khi lên xây dựng hệ thống:
Nhờ sự quản lý tập trung của Samba Server, hoạt động của công ty cũng nhanh hơn và tiết kiệm chi phí hơn.
Tiện lợi cho việc sử dụng của nhân viên và đội ngũ quản lý trong công ty
Thông tin được bảo mật hơn và quản lý dễ dàng hơn
Giúp cho người quản lý có thể truy cập thông tin nhanh chóng và bất kỳ ở đâu, chỉ cần ở đó có mạng internet
Vấn đề về kinh phí phù hợp với một công ty vừa và nhỏ
Có thể phát triển hệ thống trong tương lai
4.4 Phương án mở rộng
Đối với một hệ thống thì luôn bảo đảm đúng bốn yêu cầu cơ bản:
Yêu cầu về bảo mật thông tin
Yêu cầu về khả năng hoạt động nhanh nhạy
Yêu cầu về khả năng chống chịu với môi trường hệ thống
Yêu cầu về khả năng mở rộng
Trang 24Sau khi hoàn tất quá trình xây dựng và đưa vào hoạt động, trong tương lai không xa khả năng công ty sẽ phát triển và cần thiết một hệ thống lớn mạnh và khả năng bảo mật thông tin cao hơn nữa.
Từ đó đặt ra phương pháp mở rộng cho hệ thống là vấn đề cần được đề cập tới khi bắt tay vào xây dựng một hệ thống Ta sẽ chọn lựa những thành phần và cấu trúc chính có khả năng mở rộng trong tương lai.
Sau đây là phương án mở rộng hệ thống mà nhóm 7 vạch ra cho hệ thống ở trên:
Triển khai VPN (cài radious server nếu cần chứng thực và quản lý trong giao tiếp VPN) và kết hợp vpn ipsec hoặc SSL.
Triển khai RAID 5 trên máy DC để Backup đồng thời tăng tốc hoạt động của server
Kết hợp Load Balancing vào hệ thống để cân bằng tải, tăng khả năng chống chịu
Khoanh vùng DMZ cho vùng server public ra internet
Cài đặt hệ thống Mail exchange để tiện việc liên lạc nếu cần thiết khi nhân viên công ty tăng lên đáng kể
Trang 25 TÀI LIỆU THAM KHẢO
4 Quản trị mạng:
Link: http://www.quantrimang.com.vn/
Sách
1 Xây dựng và quản trị hệ thống mạng máy tính doanh nghiệp.
2 Giáo trình quản trị mạng - Trung tâm Aptech.
Các bài giảng và Video
1 Samba Server của VNPRO và NHẤT NGHỆ