CƠ CHẾ BẢO MẬT DỮ LIỆU 3.1.Lựa chọn cổng lắng nghe. Mặc định thì slapd sẽ lắng nghe tất cả các địa chỉ IP thế hệ IV và thế hệ VI. Việc thiết lập cặp địa chỉ IP và cổng lắng nghe cho slapd là đơn giản.
CHƯƠNG III : CƠ CHẾ BẢO MẬT DỮ LIỆU 3.1.Lựa chọn cổng lắng nghe Mặc định slapd lắng nghe tất địa IP hệ IV hệ VI Việc thiết lập cặp địa IP cổng lắng nghe cho slapd đơn giản Ví dụ, dùng lệnh sau: Slapd –h ldap://127.0.0.1 Chỉ cho phép ldap lắng nghe địa 127.0.0.1 (địa localhost) Việc không cho phép việc truy cập từ xa đến server có dịch vụ thư mục Các server cấu hình để lắng nghe địa giao diện đặc biệt Chúng ta không cần giới hạn việc truy cập mạng truy cập nhờ giao diện đến server Để giới hạn có lựa chọn việc truy cập từ xa, nên sử dụng IP Firewall (Bức tường lửa IP) 3.2 Cơ chế truyền liệu (IP Firewall) Cơ chế truyền liệu sử dụng để giới hạn việc truy cập dựa điạ IP máy khách địa mạng sử dụng để giao tiếp với máy khách Mặc định slapd(8) lắng nghe cổng 389/TCP (cổng 389: văn bản) LDAP dùng giao thức TCP cổng 636/TCP (cổng 636: SSL bảo mật) LDAP dùng giao thức SSL Lưu ý phiên làm việc LDAP dùng giao thức TCP bảo vệ TLS thông qua việc sử dụng StartTLS StartTLS chế tìm dấu vết chuẩn (Standard Track) để bảo vệ giao dịch LDAP với TLS * * Tài liệu phần lấy trang web http://www.openldap.org mục : 10 Security Considerations 10.1 Network Security Trang 49 Cấu hình Bức tường lửa IP phụ thuộc vào loại tường lửa sử dụng, chúng tơi khơng cho ví dụ vấn đề Để biết thêm chi tiết xem tài liệu kèm với Bức tường lửa IP mà bạn sử dụng Bảo vệ tính tồn vẹn tính riêng tư Cơ chế bảo mật tầng vận chuyển (TLS) sử dụng để bảo vệ tính tồn vẹn tính riêng tư Phần mềm OpenLDAP hỗ trợ StartTLS ldaps:// Một số chế Xác Thực Đơn Giản Tầng bảo mật (SASL) ví dụ DIGEST-MD5 GSSAPI, hỗ trợ việc bảo vệ tính tồn vẹn riêng tư Xem chương Cách sử dụng SASL để biết thêm chi tiết 3.3 Trình bao bọc TCP Phần mềm OpenLDAP hỗ trợ trình bao bọc TCP (TCP Wrappers) Trình bao bọc TCP cung cấp hệ thống dựa nguyên tác truy cập dùng để kiểm sốt truy cập TCP/IP đến máy server Ví dụ, nguyên tác host_options(5): Slapd: 10.0.0.0/255.0.0.0 127.0.0.1 /etc/host.allow /etc/host.deny Nguyên tác cho phép kết nối đến từ mạng có địa 10.0.0.0 địa localhost (127.0.0.1) phép truy cập dịch vụ thư mục Lưu ý địa IP sử dụng slapd khơng hỗ trợ việc truy cập ngược (có nghĩa đổi tên miền thành địa IP) Hơn nữa, trình bao bọc TCP đòi hỏi kết nối chấp nhận Khi quy trình đặc biệt sử dụng để từ chối kết nối nên sử dụng Bức tường lửa IP thay cho trình bao bọc TCP * ** * Tài liệu phần lấy trang web http://www.openldap.org mục 10 Security Considerations 10.1 Network Security Trang 50 3.4 Các nhân tố tăng cường tính bảo mật (SSF) Các máy chủ sử dụng nhân tố tăng cường tính bảo mật (SSF) để sức mạnh tương đối việc bảo vệ SSF mức độ có nghĩa khơng có chế sử dụng SSF mức độ có nghĩa chế bảo vệ tính tồn vẹn sử dụng SSF có mức độ lớn tương đương với chiều dài mã hóa khóa Ví dụ DES có chiều dài 56, 3DES có chiều dài 112 AES 128, 192 256 Số lượng điều khiển hệ thống phụ thuộc vào nhân tố tăng cường tính bảo mật SSF sử dụng với TLS SASL phiên làm việc LDAP Các điều khiển bảo mật vơ hiệu hóa hoạt động khơng có chế bảo vệ thích hợp sử dụng Ví dụ : Security ssf=1 update_ssf=112 Lệnh địi hỏi chế bảo vệ tồn vẹn tất hoạt động bảo vệ mã hóa Do 3DES thích hợp cho thao tác cập nhật (ví dụ thêm, sửa xóa) Xem file slapd.conf để biết thêm chi tiết 3.5.Các phương thức chứng thực 3.5.1.Phương thức đơn giản Phương thức chứng thực đơn giản LDAP gồm có kiểu hoạt sđộng: Kiểu vô danh Kiểu không chứng thực Kiểu chứng thực tên user mật Sử dụng kiểu truy cập kiểu vô danh cách cung cấp tên user cho hoạt động nối kết đơn giản Sử dụng kiểu truy cập không chứng thực cần ** * Tài liệu phần lấy trang web http://www.openldap.org mục 10 Security Considerations 10.2 Integrity and Confidentiality Protection 10.3 Authentication Methods Trang 51 cung cấp tên user không cần mật Sử dụng kiểu truy cập chứng thực cung cấp tên user mật quy cách Một nối kết vô danh cung cấp chứng thực vô danh Mặc định chế nối kết vô danh hoạt động, vơ hiệu hóa cách thiết lập: “disallow bind_anon” file cấu hình slapd.conf Một nối kết không chứng thực cung cấp chứng thực vô danh Mặc định chế nối kết vô danh khơng hoạt động, kích hoạt cách thiết lập: “allow bind_anon_cred” file cấu hình slapd.conf Bởi vị số chương trình ứng dụng LDAP lỗi tạo yêu cầu nối kết không chứng thực người sử dụng cố ý sử dụng truy cập chứng thực Điều có nghĩa trình ứng dụng khơng kiểm tra mật người sử dụng Do đó, chế nối kết khơng chứng thực khơng nên kích hoạt Một nối kết chứng thực tạo người sử dụng chứng thực Tên user gắn cho phiên làm việc Mặc định nối kết cần tên user kích hoạt Tuy nhiên, kiểu nối kết khơng có chế bảo vệ mật (có nghĩa mật định trống) Cho nên dùng kiểu nối kết hệ thống kiểm soát chặt chẽ phiên làm việc LDAP bảo vệ phương tiện khác TLS IPSEC Khi mà người quản trị hoàn toàn dựa vào TLS để bảo vệ mật khẩu, chế kiểu chứng thực khơng bảo vệ nên bị vơ hiệu hóa Việc làm cách thiết lập: * * ** * Tài liệu phần lấy trang web http://www.openldap.org mục 10 Security Considerations 10.3 Authentication Methods Trang 52 “disallow bind_simple_unprotected” file slapd.conf(5) Thuộc tính simple_bind thị bảo mật cho phép điều khiển mức độ bảo vệ riêng tư mà cần thiết chế chứng thực tên người sử dụng mật Cơ chế nối kết cần tên user mật hồn tồn bị vơ hiệu hóa cách thiết lập “disallow bind_simple” 3.5.2 Sự lựa chọn chế bảo mật SASL Cơ chế bảo mật SASL hỗ trợ nhiều kiểu bảo mật khác Một vài chế bảo mật khác PLAIN LOGIN cung cấp chế bảo mật có quy mơ không lớn kiểu chứng thực đơn giản LDAP Chúng ta không nên sử dụng chế bảo mật kiểu chứng thực đơn giản trừ có chế bảo vệ khác hỗ trợ tốt Những chế nên sử dụng chung với chế bảo mật tầng vận chuyển (TLS) Chính tài liệu không đề cập chi tiết đến việc sử dụng chế bảo mật PLAIN LOGIN Cơ chế DIGEST-MD5 chế chứng thực bắt buộc LDAP phiên Mặc dù chế chứng thực DIGEST-MD5 không mạnh chế chứng thực Kerberos khóa cơng khai cung cấp số chế bảo vệ đặc biệt để chống lại số kiểu xâm nhập Không giống chế CRAM-MD5, chống lại cơng văn bị lựa chọn Cơ chế CRAM-MD5 không tương thích với chế DIGEST-MD5 * ** ** * Tài liệu phần lấy trang web http://www.openldap.org mục 10 Security Considerations 10.3 Authentication Methods 11 Using SASL 11.1 SASL Security considerations Trang 53 Cơ chế KERBEROS_IV tối ưu hóa chế chứng thực KERBEROS phiên IV để cung cấp dịch vụ chứng thực Cơ chế chứng thực dựa GSSAPI thường dùng chung với chế chứng thực KERBEROS phiên V Cơ chế KERBEROS đánh giá chế an toàn phân tán Nó thích hợp cho hệ thống công ty nhỏ lẫn công ty nhỏ Cơ chế EXTERNAL tối ưu hóa dịch vụ chứng thực cung dịch vụ mạng tầng thấp ví dụ TLS Khi sử dụng chung với cơng nghệ khóa cơng khai X.509, chế EXTERNAL trở nên mạnh Ngồi ra, cịn có chế chứng thị khác OTP (cơ chế mật mã sử dụng lần) chế SRP ( chế mật mã an toàn từ xa) Những chế không đề cập tài liệu * Ghi : Tài liệu viết phần lấy trang Web http://www.openldap.org mục : 11 Using SASL 11.1 SASL Security considerations Trang 54 CHƯƠNG IV : GIỚI THIỆU PHẦN MỀM “BÁO ĐIỂM TUYỂN SINH QUA MẠNG “ 4.1 Giao diện : 4.2 Cách thức kết nối vào LDAP server Kết nối với ldap server $conn = ldap_connect("127.0.0.1"); $r = ldap_bind($conn); $noidung = array("cn","ho","ten","sn","ngaysinh","phai","khoi","nganh","truong","nganh2","truo ng2","kv","doituong","dm1","dm2","dm3","phat1","phat2","phat3","dtc","tt"); $result = ldap_list($conn,"ou=hien2005,dc=dongnai", $query,$noidung) or die("Không thể thực việc vấn tin !!!"); $info = ldap_get_entries($conn, $result); if (ldap_count_entries($conn, $result) > 0) { ?> Trang 55 SBD Họ tên Ngày sinh Phái Khối Ngành Trường Ngành 2 Trường 2 > Khu vực Đối tượng Điểm 1 Điểm 2 Trang 56 Điểm 3 ĐTC Kết quả SBD