4. Làm việc với tài khoản ngời dùng
4.2 Làm việc với tài khoản ngời dùng miền
Làm việc với tài khoản ngời dùng miền có nhiều thông tin hơn so với tài khoản ngời dùng cục bộ. Khi chúng ta tạo ra miền Active Directory bằng cách thăng cấp máy tính điều khiển miền đầu tiên, Microsoft Windows Server 2003 mặc định sẽ tạo ra các ngời dùng sau:
- Administrator: Tài khoản miền Administrator là thành viên của nhóm Administrators của miền và thực hiện cùng chức năng chính nh tài khoản ngời dùng cục bộ. Đó là tài khoản đầu tiên đăng nhập vào miền và có toàn quyền truy nhập tới tất cả các chức năng và tính năng của miền. Điều quan trọng là ta phải phân biệt tài khoản miền Administrator và tài khoản Administrator cục bộ
thăng cấp một máy thành máy chủ điều khiển miền nó sẽ tạo các đối tợng ngời dùng ẩn gọi ra krbtgt có chức năng nh là đối tợng bảo mật của dịch vụ trung tâm phân phối khoá (Key Distribution Center – KDC). Khi ta cài dịch vụ Microsoft Internet ìnomation Services (IIS) sẽ có hai tài khoản ngời dùng đợc tạo là IUSR_computerName là ngời dùng vô danh để kết nối tới máy chủ Web và IWAM_computerName mà IIS dùng để khởi chạy các ứng dụng độc lập (out – of – process).
Các đối tợng ngời dùng dựng sẵn trong miền đợc đặt tại đối tợng chứa tên là Users. Chúng ta có thể tạo đối tợng ngời dùng mới tại đây hoặc có thể tạo đối tợng chứa khác ngay tại miền. Tốt nhất là chúng ta tạo tại OU xác định để tiện cho việc sử dụng chính sách nhóm sau này. Ta cũng chỉ có thể liên kết một đối tợng chính sách nhóm (Group Policies Objects – GPO) với một miền, Site hoặc OU nhng không thể liên kết với đối tợng chứa User. Do đó chúng ta phải tạo ra các OU phù hợp với thiết kế Active Directory trớc khi bắt tay vào tạo tài khoản ngời dùng.
Các đối tợng Users, Builtin, Computer và ForeignSecurity – Principals thuộc về các lớp đối tợng đặc biệt đợc gọi là đối tợng chứa (Container). Trong dịch vụ th mục (Directory Service) thuật ngữ Container đợc sử dụng một cách khái quát để chỉ đén một đối tợng nào đó có chứa các đối tợng con khác. Do vậy, trong trờng hợp bốn đối tợng đã đợc liệt kê ở trên, theo đúng định nghĩa đều đợc gọi là Container. Ta không thể áp dụng GPOs cho bốn đối tợng chứa này, xoá nó đi hay tạo tạo các đối tợng mới cùng kiểu. Tuy vậy, ta có thể chuyển các đối tợng đợc chứa trong các Container này tới các OU mà ta tạo ra để tiện cho việc quản lý.
Trong máy chủ điều khiển miền chạy Microsoft Windows Server 2003 ta tạo đối tợng ngời dùng miền và các đối tợng khác bằng cách sử dụng Snap- in Active Directory Users And Computer chọn từ nhóm chơng trình Administrative Tools trong thực đơn Start. Và để tạo đối tợng ngời dùng bạn
Vào Start -> Programs -> Administrative Tools -> Active Directory Users and Computer.
Cửa sổ Active Directory Users and Computer hiện ra. Chuột phải lên thaibinh.com -> New -> Organizational Unit
Trong OU QTM tạo OU kithuat:
Chuột phải lên OU QTM -> New -> Organizational Unit
Đánh tên OU là kithuat -> OK
Trong OU kithuat tạo User AdminKT: Chuột phải lên kithuat -> New -> User
Điền thông tin, tên đăng nhập, mật khẩu đăng nhập của user -> Finish
Trong OU kithuat tạo Group GKT: Chuột phải lên kithuat -> New -> Group
Add các user AdminKT, kt1, kt2 vào Group GKT Chuột phải lên group GKT chọn Properties
Trên cửa sổ GKT Properties hiện ra chọn thẻ Member -> Add
Nhấn Apply -> OK
IIS là một ứng dụng của Windows Server 2003 có khả năng công bố các file và các ứng dụng bằng việc sử dụng các giao thức chuẩn Internet nh HTTP (Hyper Text Tranfer Protocol – Giao thức truyền siêu văn bản, là một giao thức chuẩn cho truyền thông Web) và FTP (File Tranfer Protocol – Giao thức truyền File). So sánh với việc chia sẻ file thông thờng, việc chia sẻ file trong IIS, với cấu hình mặc định của IIS, là một phơng pháp hạn chế trong việc công bố file. Vì các lý do an ninh, IIS đợc cài đặt trong chế độ khoá và bảo mật cho phép máy chủ chỉ cung cấp nội dung tĩnh cho các máy trạm. ngời dùng có thể lấy các file từ một máy chủ IIS về ổ đĩa của mình và làm việc với chúng trên máy cá nhân nhng họ không thể mở file trực tiếp từ máy chủ cũng nh lu các phiên bản đã sửa đổi so với trạng thái ban đầu của file nh họ vẫn làm trên hệ thống file chia sẻ thông thờng. Tuy nhiên kể cả khi trong trạng thái khoá, IIS vẫn cung cấp những phơng tiện để phổ biến các file một cách dễ dàng và bảo mật. IIS webserver đáp ứng đợc mọi yêu cầu chủ yếu của một webserver nh: độ tin cậy, hiệu năng, khả năng theo dõi giám sát, tính bảo mật và tính khả thi trong việc triển khai các ứng dụng. Tất cả các cải tiến này giúp cho Windows Server 2003 trở thành một bộ Server hoàn thiện. Dới đây sẽ là các bớc cài đặt và cấu hình IIS trên một máy tính chạy Windows Server 2003 và quản lý bảo mật của một máy chủ IIS.
5.2 Join một máy client vào miền thaibinh.com
Đầu tiên chúng ta đặt IP tĩnh cho máy Client2k3 theo các tham số sau: IP address : 172.16.0.4
Subnet Mark : 255.255.0.0 Default GateWay : 172.16.0.254 Preferred DNS Server : 172.16.0.1
Sau đó ta Join máy này vào miền thaibinh.com để nó trở thành thành viên của miền.
Chuột phải lên My Computer -> Properties
Điền tên miền cần join -> OK
Cửa sổ hiện ra nhập user name: Administrator và mật khẩu của Admin - > OK
Restart lại máy và đăng nhập vào miền.
5.3 Cài đặt và cấu hình IIS
Tiến hành cài đặt IIS bằng cách : vào Start -> Settings -> Control Panel
Cửa sổ hiện ra click vào Add/Remove Windows Components
Cửa sổ Windows Components Wizard hiện ra -> click vào Application Server chọn Details
Để cài FTP server click vào Internet Information Services -> Details -> File Tranfer Protocol -> OK
Mở Internet Explore gõ địa chỉ IP của máy vừa cài đặt IIS -> Enter
Trang web mặc định hiện ra
Cửa sổ dnsmgmt hiện ra -> click đúp vào Forward Lookup Zones -> chuột phải lên thaibinh.com - > New Host (A)…
Cửa sổ New Host hiện ra -> tại ô Name (uses pảent domain name if blank) gõ www -> tại ô IP address gõ địa chỉ IP của máy webserver là 172.16.0.1 - > click Add Host -> OK -> Done
Vào My Computer -> ổ đĩa C tạo một th mục đặt tên là “my web”
Vào Start -> Programs -> Administrave Tools -> Internet Information Services (IIS) Manager
Cửa sổ Internet Information Services (IIS) Manager hiện ra, click vào Web Sites -> Chuột phải lên Default Web Site -> Properties
Cửa sổ Default Web Site Properties hiện ra chọn thẻ Home Directory -> Click Browse đến th mục “my web” đã tạo ở trên -> OK
Click Apply -> OK
Vào th mục “my web” vừa tạo trong ổ đĩa C và lu một vài trang web đợc save as trên Internet vào đó.
Trên Default Website Properties chọn thẻ Documents -> Remove tất cả tên các trang web mặc định đợc u tiên và add tên của các web đợc lu ở trong th mục “my web” vào
Mở trình duyệt IE trên máy webserver hoặc một máy là thành viên của miền gõ địa chỉ www.thaibinh.com -> Enter
Cửa sổ Web Site Creation Wizard hiện ra -> click Next
Trên Web Site Desciption gõ mô tả cho web site -> click Next
Trên cửa sổ Web Site Home Directory -> click Browse và trỏ đến th mục “web local” mà ta đã tạo sẵn trong ổ đĩa C
Click OK
Trên cửa sổ Web Site Access Permisions bỏ dấu chọn tại ô Run Scripts (such as ASP để tránh bị ngời ta chỉnh sửa web site -> click Next
Click Finish để kết thúc
Sau khi tạo web site mới ta phải tạo cho nó một Zone thì mới có thể hoạt động đợc. Vào DNS -> Forward Lookup Zone -> New Zone
Chuột phải lên zone local.thaibinh.com vừa tạo -> chọn New Host (A)…
Mở trình duyệt IE -> gõ tên trang web vừa tạo (www.local.thaibinh.com) -> Enter
Nội dung trang web đợc hiển thị
5.5 Cấu hình và triển khai FTP Server
Chuột phải lên FTP Sites -> New -> FTP Site
FTP Site Creation Wizard hiện ra -> click Next
Trên cửa sổ FTP Site Description -> gõ mô tả cho FTP Site (Ví dụ: Shared Documents) -> click Next
Trên cửa sổ IP Address and Port Settings -> để mặc định -> click Next
Trên cửa sổ FTP User Isolation có ba tuỳ chọn:
Nếu chọn Do not isolate users tức là không cách ly ngời dùng, tất cả ng- ời dùng đều có thể truy cập FTP site.
Nếu chọn Isolate users thì sẽ cách ly ngời dùng, chỉ cho phép họ truy cập vào trong phạm vi gốc của FTP site mà không đợc truy cập vào các subfolder trong FTP site đó.
Nếu chọn Isolate users using Active Directory thì sẽ cách ly ngời dùng, nếu ngời dùng muốn sử dụng dịch vụ này phải đợc cấu hình và có tài khoản trên Active Directory.
Browse đến th mục chứa dữ liệu dành cho FTP site -> click Next
ở đây là th mục FTP data đã đợc tạo sẵn -> OK
Phân quyền cho ngời dùng khi truy cập (đọc và chỉnh sửa) -> click Next
Click Finish để kết thúc quá trình cài đặt
Mở trình duyệt IE trên máy bất kì thuộc miền gõ địa chỉ ftp://thaibinh.com -> Enter
FTP Site đợc hiển thị
6. Cài đặt và cấu hình VPN client to site (Virtual Private Network)6.1 Khái quát về mạng riêng ảo (VPN) 6.1 Khái quát về mạng riêng ảo (VPN)
Trong thời đại ngày nay, Internet đã phát triển mạnh mẽ về mặt mô hình cho đến công nghệ, đáp ứng nhu cầu của ngời sử dụng. Internet đã đợc thiết kế để kết nối nhiều mạng khác nhau và cho phép thông tin chuyển đến ngời sử dụng một cách tự do và nhanh chóng mà không xem xét đến máy và mạng mà ngời sử dụng đó đang dùng. Để làm đợc điều này ngời ta sử dụng một máy tính kết nối vào Internet thông qua nhà cung cấp dịch vụ (ISP - Internet Service Provider), cần một giao thức chung là TCP/IP. Điều mà kỹ thuật còn tiếp tục phải giải quyết là năng lực truyền thông của các mạng viễn thông công cộng. Với Internet, những dịch vụ nh giáo dục từ xa, mua hàng trực tuyến, t vấn y tế, và rất nhiều điều khác đã trở thành hiện thực. Tuy nhiên, do Internet có phạm vi toàn cầu và không một tổ chức, chính phủ cụ thể nào quản lý nên rất khó
kinh doanh với nhau trong môi trờng truyền thông rộng lớn. Trong nhiều trờng hợp VPN cũng giống nh WAN (Wide Area Network), tuy nhiên đặc tính quyết định của VPN là chúng có thể dùng mạng công cộng nh Internet mà đảm bảo tính riêng t và tiết kiệm hơn nhiều.
Hình 1: Mô hình mạng riêng ảo
6.2 Khái niệm mạng riêng ảo
VPN (Virtual Private Network) đợc hiểu đơn giản nh là sự mở rộng của một mạng riêng (private network) thông qua các mạng công cộng. Về căn bản, mỗi VPN là một mạng riêng rẽ sử dụng một mạng chung (thờng là internet) để kết nối cùng với các site (các mạng riêng lẻ) hay nhiều ngời sử dụng từ xa. Thay cho việc sử dụng bởi một kết nối thực, chuyên dụng nhng đờng leased line, mỗi VPN sử dụng các kết nối ảo đợc dẫn qua đờng Internet từ mạng riêng
có khóa để giải mã. Liên kết với dữ liệu đợc mã hóa và đóng gói đợc gọi là kết nối VPN. Các đờng kết nối VPN thờng đợc gọi là đờng ống VPN (VPN Tunnel).
6.3 Các kiểu mạng riêng ảo
Có ba khả năng thiết lập VPN:
6.3.1 Mạng nối mạng (Site to site)
Hai mạng con đợc nối bằng đờng hầm VPN. Mỗi mạng con có một gateway hoặc router và một máy chủ. Gateway của mỗi mạng con có hai giao diện:
- Một giao diện cho thế giới bên ngoài vào. - Một giao diện cho mạng nội bộ của gateway.
Kiểu setup này cho phép hai mạng có khả năng tuyền thông tin lẫn nhau theo cách mã hóa và xác định thực qua mạng internet.
Đặc điểm của kiểu setup này là nối một văn phòng chi nhánh vào công ty chính qua mạng internet. Mọi sự truyền thông tin IP giữa hai gateway đợc mã hóa
VPN vào firewall công ty và nhớ đó đạt đợc truy nhập mã hóa và xác thực vào server mạng LAN hoặc Email của công ty.
Hình 3: Mô hình VPN client to site
6.3.3 Máy nối máy (Client to Client):
Hai máy kết nối với nhau và thực hiện sự truyền thông tin đợc mã hóa. Một kiểu setup thuộc mô hình này là sự giảm cấp của mô hình Client to Site sao cho nó chỉ còn một cặp máy chủ muốn nối với nhau. Điều này có nghĩa là sự truyền thông tin giữa hai máy chủ thuộc hai mạng khác nhau đợc mã hóa.
Mô hình này khác với hai mô hình trên vì chỉ còn hai máy chủ có thể gửi thông tin đợc bảo mật cho nhau. Nếu nhiều máy muốn trao đổi bảo mật, thiết lập theo kiểu Client to Site hay Site to Site phù hợp hơn.
Trong thực tế, cấu hình phổ biến nhất của mạng VPN là có một mạng nội bộ chính với những điểm ở xa dùng VPN truy cập vào mạng trung tâm.
Những điểm truy cập từ xa này thờng là những văn phòng hoặc nhân viên là việc tại nhà. Cũng có thể dùng VPN nối hai mạng vật lý ở hai nơi khác
- Thiết lập và kết thúc kết nối vật lý - Xác thực các ngời dùng
- Tạo ra các gói dữ liệu.
6.4.2 Giao thức L2TP (Layer 2 Tunneling Protocol)
Giao thức định hớng đờng hầm lớp 2 L2TP (Layer 2 Tunneling Protocol) là sự kết hợp giữa hai giao thức đó là PPTP và chuyển tiếp lớp 2 L2F (Layer 2 Forwarding).
Giống nh PPTP, L2F là giao thức đờng hầm, nó sử dụng tiêu đề đóng gói riêng cho việc truyền các gói ở lớp 2. Một điểm khác biệt chính giữa L2F và PPTP là L2F không phụ thuộc vào IP, cho phép nó có thể làm việc ở môi tr- ờng vật lý khác.
L2TP mang đặc tính của PPTP và L2F. Nên nó có khả năng chạy trên mạng IP và các mạng khác nh ATM, Frame Relay. Vì vậy giao thức L2TP càng ngày càng phổ biến.
L2TP cho phép một số lợng lớn Client từ xa đợc kết nối vào VPN hay cho các kết nối LAN-LAN có dung lợng lớn. L2TP có cơ chế điều khiển luồng để giảm sự tắc nghẽn trên đờng hầm L2TP.
L2TP cho phép thiết lập nhiều đờng hầm. Mỗi đờng hầm có thể đợc gán cho mỗi ngời dùng xác định, hoặc một nhóm các ngời dùng và gán cho các môi trờng khác nhau tùy theo thuộc tính chất lợng dịch vụ của ngời dùng.
6.5 Ưu điểm và nhợc điểm của VPN6.5.1 Ưu điểm 6.5.1 Ưu điểm
VPN cung cấp nhiều đặc tính hơn so với những mạng truyền thông và những mạng leased-line. Những lợi ích đầu tiên bao gồm:
- Đơn giản hóa những gánh nặng
- Những cấu trúc mạng ống, vì thế giảm việc quản lý những gánh nặng: Sử dụng một giao thức Internet backbone loại trừ những PVC tĩnh hợp với kết