1. Ứng dụng xác thực dùng LDAP:
Dùng LDAP xác thực một user đăng nhập vào một hệ thống qua chƣơng trình thẩm tra, chƣơng trình thực hiện nhƣ sau đầu tiên chƣơng trình thẩm tra tạo ra một đại diện để xác thực với LDAP thông qua (1) sau đó so sánh mật khẩu của user A với thông tin chứa trong thƣ mục. Nếu so sánh thành công thì user A đã xác thực thành công.
Hình 42: Xác thực dùng LDAP
2. Một số ứng dụng sử dụng nghi thức LDAP:
Một chƣơng trình mail có thể thực hiện dùng chứng chỉ điện tử chứa trong thƣ mục trên server LDAP để ký, bằng cách gởi yêu cầu tìm kiếm cho LDAP server , LDAP server gởi lại cho client chứng chỉ điện tử của nó sau đó chƣơng trình mail dùng chứng chỉ điện tử để ký và gởi cho Message sever. Nhƣng ở góc độ ngƣời dùng thì tất cả quá trình trên đều hoạt động một cách tự động và ngƣời dùng không phải quan tâm.
Message server có thể sử dụng LDAP directory để thực hiện kiểm tra các mail. Khi một mail đến từ một địa chỉ, messeage server tìm kiếm địa chỉ email trong thƣ mục trên LDAP server lúc này Message server biết đƣợc hợp thƣ ngƣời sử dụng có tồn tại và nhận thƣ.
CHƢƠNG V: TRIỂN KHAI HỆ THỐNG I. Phân tích hiện trạng hệ thống:
Hiện nay, trong hệ thống mạng của công ty Thành Long các dịch vụ đã và đang đƣợc triển khai ngày càng nhiều. Điều này phản ánh đƣợc hiệu quả của hệ thống; Tuy nhiên, các hệ thống dịch vụ này vẫn đang sử dụng các hệ thống xác thực riêng lẻ. Mỗi một dịch vụ có một hệ thống dữ liệu về ngƣời dùng khác nhau gây khó khăn trong việc quản lý và bảo mật hệ thống. Do vậy, cần xây dựng một hệ thống dữ liệu xác thực chuẩn đảm bảo các tiêu chí về bảo mật và an toàn dữ liệu để có thể cung cấp dịch vụ xác thực cho các dịch vụ sẵn có và đặc biệt là các dịch vụ tích hợp thêm.
Để giải quyết vấn đề có quá nhiều hệ thống ngƣời dùng riêng rẽ, cần nghiên cứu một hệ thống có khả năng tập trung các hệ thống ngƣời dùng thành một hệ dữ liệu thống nhất để phục vụ việc chứng thực cho tất cả các ứng dụng. Sử dụng hệ thống chứng thực tập trung có các ƣu điểm sau:
Tập trung quản lý ngƣời dùng: Toàn bộ ngƣời dùng sẽ đƣợc quản lý tại một hệ dữ liệu thống nhất. Các thao tác từ cấp phát, loại bỏ, phân quyền đến sao lƣu dự phòng, khôi phục dữ liệu… sẽ chỉ thực hiện tại một hệ dữ liệu này.
Tiện lợi cho ngƣời sử dụng: Ngƣời dùng không cần phải nhớ quá nhiều tên đăng nhập và mật khẩu khi sử dụng hệ thống.
Tiết kiệm chi phí đầu tƣ: Các ứng dụng sẽ không cần phải quan tâm đến việc cấp phát và quản lý ngƣời dùng.
Qua phân tích hiện trạng các dịch vụ hiện tại của công ty Thành Long, nhóm thực hiện nhận thấy việc tổ chức dữ liệu tập trung phục vụ chứng thực cho các ứng dụng là cần thiết và hoàn toàn có khả năng thực hiện.
Trong đề tài này, nhóm thực hiện xin đƣa ra giải pháp sử dụng hệ thống dữ liệu LDAP để xây dựng hệ thống dữ liệu phục vụ xác thực tập trung cho các ứng dụng với các ƣu điểm sau:
Gọn nhẹ, đảm bảo truy xuất nhanh thông tin. Dễ dàng quản lý và điều khiển.
Hoạt động ổn định.
Có giao diện mở tƣơng tác với các ứng dụng khác.
Có cơ chế đảm bảo an toàn thông tin, khả năng sao lƣu đồng bộ và khôi phục khi gặp sự cố.
Có khả năng phân cấp thông tin và lƣu trữ phân tán.
II. Cài đặt và cấu hình Open LDAP Replication Multi Master:
1. Cài đặt: 1.1 Các gói cài đặt: Berkeley Database. Openldap-2.4.25. Openldap-clients. Openldap-devel. Nss_ldap. Libtool-ltdl-1.5. Openldap-servers. 2. Các file cấu hình:
/usr/local/etc/openldap/slapd.conf ; ldapserver config file and replication.
/etc/syslog.conf ; config log file.
/usr/local/libexec/slapd ; Start ldap.
2.1 Cấu hình file /usr/local/etc/openldap/slapd.conf: Trên máy ldap-svr1:
Hình 45: Khai báo schema
Hình 47: Định nghĩa database, tên phân giải, user quản trị, thƣ mục lƣu trữ database.
Hình 48: Khai báo các tham số đồng bộ ldap
Hình 49: Chỉ định logfile
Trên máy ldap-svr2:
Hình 51: Khai báo schema
Hình 52: Khai báo tham số ldap
Hình 53: Định nghĩa database, tên phân giải, user quản trị, thư mục lưu trữ database.
Sau khi cấu hình các tham số chúng ta start | restart lại dịch vụ ldap trên cả 02 máy bằng lệnh:
#/usr/local/libexec/slapd
Từ máy ldap-svr1 dùng công cụ quản trị ldap admin tạo user u1 quan sát ta thấy user u1 sẽ đƣợc đồng bộ sang ldap-svr2.
Từ máy ldap-svr2 dùng công cụ quản trị ldap admin tạo user u2 quan sát ta thấy user u2 sẽ đƣợc đồng bộ sang ldap-svr1
Hình 56: User u2 đã được đồng bộ sang ldap-svr1
III. Xây dựng Primary Domain Controller (Openldap with Samba):
1. Cài đặt: 1.1 Các gói cài đặt: Libtool-ltdl-1.5.22-6.1.i386.rpm Openldap-servers-2.3.43-3.el5.i386.rpm Openldap-clients-2.3.43-3.el5.i386.rpm Openldap-2.3.43-3.el5.i386.rpm Nss_ldap Php_ldap Python-ldap
Samba-3.0.33-3.14.el5.i386.rpm Samba-client-3.0.33-3.14.el5.i386.rpm Samba-common-3.0.33-3.14.el5.i386.rpm System-config-samba Samba-swat Smbldap-tools-0.9.3 2. Các file cấu hình: /etc/openldap/slapd.conf /etc/ldap.conf /etc/samba/smb.conf
2.1 Cấu hình file /etc/openldap/slapd.conf:
Hình 57: Khai báo samba.schema
Hình 58: Khai báo tham số ldap
Hình 60: Khai báo chỉ mục cho database
Hình 61: Phân quyền cho các đối tượng
2.2 Cấu hình file /etc/samba/smb.conf:
Hình 63: Khai báo tên Domain, kiểu chứng thực
Hình 64: Khai báo logfile, logsize, script tạo các đối tượng cho DC
Hình 66: Cấu hình netlogon, tạo Profiles cho user
2.4 Cấu hình file /var/lib/samba/sbin/smbldap_tools.pm:
Hình 68: Chỉ định đường dẫn file smbldap_bind.conf; smbldap.conf
Chạy lệnh: #./configure.pl để cấu hình
Hình 69: Nhập các thông số cấu hình
Từ dấu nhắc lệnh > nhập các thông số cấu hình, những thông số nào không thay đổi nhấn enter.
Tạo các đối tƣợng cho Domain (ví dụ: ou, groups, user…) Từ máy Windows XP tiến hành join vào Domain
Hình 70: Join Domain thành công
a. Xây dựng File-Server chứng thực LDAP (Samba): 1. Cài đặt: 1.1 Các gói cài đặt: Samba-3.0.33-3.14.el5.i386.rpm Samba-client-3.0.33-3.14.el5.i386.rpm Samba-common-3.0.33-3.14.el5.i386.rpm System-config-samba Samba-swat 2. Các file cấu hình: /etc/samba/smb.conf. /etc/ldap.conf. /etc/xinetd.d/swat
2.1 Cấu hình file /etc/samba/smb.conf:
Tạo các thƣ mục lƣu trữ dữ liệu cho các đối tƣợng
#mkdir /home/dulieu #mkdir /home/ketoan #mkdir /home/kinhdoanh #mkdir /home/software
Hình 72: Các thư mục chia sẽ
Từ client truy xuất vào file server: Start Run \\hostname | ip_address:
2.2 Giám sát truy cập tài nguyên chia sẽ: Cấu hình file /etc/xinetd.d/swat
Hình 74: Thông số samba swat
Mở trình duyệt truy cập vào samba-server để giám sát tài nguyên chia sẽ:
b. Xây dựng Mail-Server chứng thực LDAP (Postfix): 1. Cài đặt: 1.1 Các gói cài đặt: Postfix-2.3.3-2.1.el5_2.i386.rpm Dovecot-1.0.7-7.el5.i386.rpm Php-mbstring-5.1.6-23.2.el5_3.i386.rpm Squirrelmail-1.4.8-5.el5.centos.7.noarch.rpm 2. Các file cấu hình: /etc/postfix/main.cf /etc/ldap.conf /etc/postfix/accountsmap.cf /etc/postfix/ldap-aliases.cf /etc/dovecot-ldap.conf. /etc/squirrelmail/config.php 2.1 Cấu hình file /etc/postfix/main.cf:
Hình 76: Chỉ định hostname, domain, origin, network
2.2 Tạo file /etc/postfix/accountsmap.cf:
Hình 78: Nội dung file accountsmap.cf
2.3 Tạo file /etc/postfix/ldap-aliases.cf:
Hình 79: Nội dung file ldap-aliases.cf
2.4 Cấu hình file dovecot-ldap.conf:
Copy file dovecot-ldap-example.conf từ /usr/share/doc/dovecot-1.0.7/examples sang /etc/dovecot-ldap.conf.
2.5 Cấu hình file dovecot.conf:
Hình 81: Cấu hình file dovecot.conf
3. Tạo mail và kiểm tra: 3.1 Tạo email account:
Sử dụng công cụ ldap admin tạo user (nếu chƣa có) R-click user Properties
Hình 82: Tạo email account
3.2 Kiểm tra gởi – nhận mail:
Cấu hình các tham số cho outlook express:
Hình 84: Gởi – nhận mail thành công
4. Cấu hình webmail:
4.1 Cấu hình file /etc/squirrelmail/config.php
4.2 Sử dụng webmail:
Hình 85: Trang đăng nhập webmail
c. Xây dựng FTP-Server chứng thực LDAP (vsftpd): 1. Cài đặt: 1.1 Các gói cài đặt: Vsftpd-2.0.5-16.el5.i386.rpm. 2. Các file cấu hình: /etc/pam.d/vsftpd. /etc/vsftpd/vsftpd.conf.
2.1 Cấu hình file /etc/pam.d/vsftpd (chứng thực ldap):
Hình 87: Nội dung file /etc/pam.d/vsftpd
2.2 Cấu hình file /etc/vsftpd/ vsftpd.conf (cấu hình cơ bản):
Hình 88: Cấu hình thông số ftp cơ bản.
3. Kiểm tra – sử dụng:
Chúng ta có thể dùng trình duyệt để truy cập ftp server hoặc sử dụng chƣơng trình ftp client chuyên dụng, cũng có thể truy cập ftp server bằng command line.
Hình 89: Truy cập FTP Server
d. Xây dựng Web-Server chứng thực LDAP (apache):
1. Cài đặt:
1.1 Các gói cài đặt:
Httpd-2.2.3-43.el5.centos 2. Các file cấu hình:
/etc/httpd/conf/httpd.conf
2.1 Cấu hình file /etc/httpd/conf/httpd.conf (chứng thực ldap):
Hình 90: Yêu cầu chứng thực khi truy cập vào trang /admin
3.Kiểm tra chứng thực truy cập:
Hình 92: Chứng thực truy cập thành công
e. Xây dựng Proxy, Firewall, VPN Server (IPCOP):
1. Cài đặt:
1.1 Cài đặt IPCOP:
Download file ipcop.iso (internet) ghi ra đĩa CD chọn boot từ CDROM để cài đặt.
1.2 Các bƣớc cài đặt:
Chọn source cài đặt là CDROM OK
Hình 94: Chọn source cài đặt
Hình 96: Quá trình cài đặt bắt đầu
Cấu hình mạng Click Probe
Quá trình kiểm tra driver Network Card diễn ra Nhập địa chỉ IP cho GREEN
interface OK
Hình 98: Thiết lập địa chỉ IP cho GREEN interface
Đặt tên cho firewall OK
Hình 100: Nhập hostname
Nhập tên Domain OK
Chọn Network configuration type OK
Hình 102: Cấu hình mạng
Chọn Drivers and card assignments OK
Hình 104: Chỉ định drivers cho NIC
Chọn Address settings OK
Đặt địa chỉ IP cho ORANGE interface
Hình 106: Đặt ip cho ORANGE interface
Chọn DNS and Gateway settings OK
Hình 108: Thiết lập DNS và Gateway
Chỉ định DNS và Gateway OK Done
Cấu hình DHCP Server OK
Hình 110: Cấu hình DHCP Server
Đặt password cho user admin (dùng để quản trị bằng giao diện web) OK
Hình 112: Đặt password cho user admin
Đặt password backup OK
Hoàn tất cài đặt OK
1.3 Cấu hình Proxy Server:
Mở trình duyệt nhập vào: http://firewall_ip_address:81 để vào trang quản trị:
Chọn Tab Services Chọn Advanced Proxy Check Enable Proxy Thiết lập Port
Cấu hình chứng thực LDAP: Chọn phƣơng thức chứng thực LDAP điền các thông số LDAP Server Clich Save and Restart
Mở trình duyệt nhập vào địa chỉ trang web bất kỳ ta thấy xuất hiện hộp thoại chứng thực user để truy cập web.
1.4 Cấu hình firewall:
Chọn Tab Firewall Chọn Port Forwarding Thiết lập Rule public application server
Chọn Tab Firewall Chọn DNZ PinHoles Thiết lập Rule cho phép các máy trong vùng DNZ truy cập GREEN network (internal):
Chọn Tab Firewall Chọn Firewall Option Thiết lập ping response
1.5 Cấu hình logs:
Chọn Tab LOGS Log settings Thiết lập các thông số log
Giám sát Proxy logs:
Giám sát firewall logs:
Giám sát IDS logs:
Giám sát URL Filter logs:
1.6 Cấu hình VPN Server:
Cài đặt Open VPN (ZERINA-0.9.5b):
#rpm –ivh Zerina-0.9.5b.rpm
Mở trình duyệt Nhập vào địa chỉ firewall Chọn Tab VPNs Chọn Open VPN
Nhập các thông số cho VPN Server
Click Add cấu hình thông số cho user:
Download key chứng thực:
Tại máy client cài đặt OpenVPN GUI:
Hình 130: Cài đặt OpenVPN client
R-click lên icon network (màu đỏ) ở góc trái thanh taskbar Chọn connect Nhập vào password chứng thực OK Thông báo kết nối thành công
Kiểm tra truy cập mạng nội bộ thành công:
CHƢƠNG VI: ĐÁNH GIÁ VÀ HƢỚNG PHÁT TRIỂN I. Kết quả thực hiện đề tài:
1. Yêu cầu đề tài:
Hoàn thành đầy đủ các yêu cầu đề tài đặt ra, cụ thể:
Xây dựng hệ thống chứng thực tập trung cho các dịch vụ mạng (mail, ftp, web..) của công ty Thành Long bằng chƣơng trình OpenLDAP.
Phát triển mở rộng hệ thống chứng thực LDAP Primary Domain Controller. Triển khai hệ thống firewall nguồn mở IPCOP.
Xây dựng VPN Server phục vụ nhu cầu kết nối từ xa.
2. Hƣớng phát triển đề tài:
Mở rộng hệ thống chứng thực tập trung theo mô hình Branch – Office.
II. Tài liệu tham khảo:
[1] Tiêu Đông Nhơn, Giáo trình dịch vụ mạng Linux, NXB ĐH QG TP.HCM
[2] Khoa mạng truyền thông Trƣờng CĐN iSPACE - Tài liệu môn học Quản trị mạng Linux [3] Trung tâm đào tạo mạng Nhất Nghệ - Chứng chỉ Linux Administration.
III.Các website: [1] http://www.centos.org. [1] http://www.centos.org. [2] http://www.server-world.info. [3] http://www.ipcop.org. [4] http://www.openldap.org. [5] Các website khác.