Header Page of 126 ĐỒ ÁN TỐT NGHIỆP Tên đề tài: QUẢN LÝ XÁC THỰC TẬP TRUNG VỚI DỊCH VỤ LDAP LINUX GVHD: TRẦN VĂN TÀI SVTH: DƯƠNG QUỐC TUẤN TRẦN HUỲNH AN DUY TRẦN ĐOÀN KIẾN MSSV: 99510030043 MSSV: 99510030007 MSSV: 99510030017 Mã lớp:03CCHT01 Khóa:03 Tp Hồ Chí Minh, Ngày 19 Tháng 10 Năm 2011 NHẬN XÉT CỦA GIẢNG VIÊN HƯỚNG DẪN Footer Page of 126 Header Page of 126 Footer Page of 126 Header Page of 126 TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE 240 Võ Văn Ngân, QuậnThủ Đức, TP Hồ Chí Minh ĐT: 08.6 2678999 Fax: 08 – 6261 0304 MỤC LỤC LỜI CẢM ƠN 14 MỤC TIÊU ĐỀ TÀI 15 CHƯƠNG I: GIỚI THIỆU TỔNG QUAN 16 I Lịch sử phát triển Linux: 16 II Ưu điểm & khuyết điểm Linux: 17 Ưu điểm: 17 1.1 Kinh tế: 17 1.2 Linh hoạt, uyển chuyển: 17 1.3 Độ an toàn cao: 17 1.4 Thích hợp cho quản trị mạng: 18 Khuyết điểm: 19 2.1 Đòi hỏi người dùng phải thành thạo: 19 2.2 Tính tiêu chuẩn hóa: 19 2.3 Số lượng ứng dụng chất lượng cao Linux hạn chế: 20 2.4 Phần cứng: 20 CHƯƠNG II: CÀI ĐẶT HỆ ĐIỀU HÀNH LINUX (CENTOS) 21 I Yêu cầu phần cứng: 21 II Đĩa cứng phân vùng đĩa Linux: 21 III Quản lý ổ đĩa partition Linux: 21 IV Các bước cài đặt hệ điều hành Linux: 23 Chọn phương thức cài đặt: 23 Chọn chế độ cài đặt: 23 Chọn ngôn ngữ hiển thị trình cài đặt: 24 Cấu hình bàn phím: 24 Chia partition: 25 Cài đặt chương trình Boot Loader: 26 Cấu hình mạng: 27 Cấu hình khu vực địa lý: 28 Footer Khoa Page CNTT of 126 – Đồ Án Tốt Nghiệp: Quản lý xác thực tập trung với dịch vụ LDAP Linux Trang 3/176 Header Page of 126 TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE 240 Võ Văn Ngân, QuậnThủ Đức, TP Hồ Chí Minh ĐT: 08.6 2678999 Fax: 08 – 6261 0304 Đặt mật cho người quản trị: 29 10 Chọn loại cài đặt: 30 11 Tiến hành cài đặt hệ điều hành: 32 12 Sử dụng hệ điều hành: 33 CHƯƠNG III: GIỚI THIỆU CÁC DỊCH VỤ LIÊN QUAN 35 I Dịch vụ DNS (Domain Name System): 35 Giới thiệu: 35 Cách phân bổ liệu quản lý domain name: 39 Phân giải thuận: 40 Phân giải nghịch: 40 Sự khác Zone Domain: 41 Chứng nhận tên miền: 41 Phân loại Domain Name Server: 41 Sự ủy quyền (Delegation domain) 42 Resource record: 43 10 Giới thiệu phần mềm BIND: 45 II Dịch vụ FTP (File Transfer Protocol): 50 Giới thiệu: 50 Mô hình hoạt động: 50 3.Chương trình FTP Client: 53 Một số tập lệnh FTP Client: 53 Cài đặt cấu hình FTP: 55 III Dịch vụ Web: 58 Giới thiệu giao thức HTTP: 58 Web server hoạt động: 60 Web client: 62 Web động: 62 Cài đặt cấu hình Web server: 63 5.1 Giới thiệu phần mềm Apache: 63 Footer Khoa Page CNTT of 126 – Đồ Án Tốt Nghiệp: Quản lý xác thực tập trung với dịch vụ LDAP Linux Trang 4/176 Header Page of 126 TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE 240 Võ Văn Ngân, QuậnThủ Đức, TP Hồ Chí Minh ĐT: 08.6 2678999 Fax: 08 – 6261 0304 5.2 Cài đặt Apache: 64 5.3 Thông tin cấu hình: 64 5.4 Cấu hình bản: 64 5.5 Cấu hình chứng thực: 65 IV Dịch vụ Squid Proxy: 68 Giới thiệu Squid: 68 Những giao thức hổ trợ Squid: 69 Trao đổi cache: 70 Cài đặt cấu hình Squid Proxy: 70 V Dịch vụ Mail Server: 74 Giới thiệu: 74 Hệ thống mail: 76 Các khái niệm: 78 Mail DNS: 80 Phần mềm mail Postfix: 80 Phần mềm webmail: 81 VI Dịch vụ Samba: 82 Giới thiệu: 82 Cài đặt: 82 CHƯƠNG IV: CƠ SỞ LÝ THUYẾT LDAP 89 I Giới thiệu LDAP: 89 Khái niệm bản: 89 II Phương thức hoạt động LDAP: 90 Một nghi thức client/sever: 90 LDAP Là nghi thức hướng thông điệp: 90 Các thao tác nghi thức LDAP: 92 Các thao tác mở rộng: 93 Mô hình kết nối Client – Server: 93 III Các mô hình LDAP: 94 Footer Khoa Page CNTT of 126 – Đồ Án Tốt Nghiệp: Quản lý xác thực tập trung với dịch vụ LDAP Linux Trang 5/176 Header Page of 126 TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE 240 Võ Văn Ngân, QuậnThủ Đức, TP Hồ Chí Minh ĐT: 08.6 2678999 Fax: 08 – 6261 0304 LDAP Information Model: 94 LDAP Naming Model: 98 Mô hình LDAP Function: 103 Mô hình LDAP Security: 111 IV Sử dụng LDAP: 112 Ứng dụng xác thực dùng LDAP: 112 Một số ứng dụng sử dụng nghi thức LDAP: 112 CHƯƠNG V: TRIỂN KHAI HỆ THỐNG 114 I Phân tích trạng hệ thống: 114 II Cài đặt cấu hình Open LDAP Replication Multi Master: 116 1.Cài đặt: 116 1.1 Các gói cài đặt: 116 2.Các file cấu hình: 116 2.1 Cấu hình file /usr/local/etc/openldap/slapd.conf: 116 III Xây dựng Primary Domain Controller (Openldap with Samba): 121 Cài đặt: 121 1.1 Các gói cài đặt: 121 Các file cấu hình: 122 2.1 Cấu hình file /etc/openldap/slapd.conf: 122 2.2 Cấu hình file /etc/samba/smb.conf: 124 2.3 Tạo file script logon /var/lib/samba/netlogon/scripts 125 2.4 Cấu hình file /var/lib/samba/sbin/smbldap_tools.pm: 128 IV Xây dựng File-Server chứng thực LDAP (Samba): 130 Cài đặt: 130 1.1 Các gói cài đặt: 130 Các file cấu hình: 130 2.1 Cấu hình file /etc/samba/smb.conf: 130 2.2 Giám sát truy cập tài nguyên chia sẽ: 132 V Xây dựng Mail-Server chứng thực LDAP (Postfix): 133 Footer Khoa Page CNTT of 126 – Đồ Án Tốt Nghiệp: Quản lý xác thực tập trung với dịch vụ LDAP Linux Trang 6/176 Header Page of 126 TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE 240 Võ Văn Ngân, QuậnThủ Đức, TP Hồ Chí Minh ĐT: 08.6 2678999 Fax: 08 – 6261 0304 Cài đặt: 133 1.1 Các gói cài đặt: 133 Các file cấu hình: 133 2.1 Cấu hình file /etc/postfix/main.cf: 133 2.2 Tạo file /etc/postfix/accountsmap.cf: 135 2.3 Tạo file /etc/postfix/ldap-aliases.cf: 135 2.4 Cấu hình file dovecot-ldap.conf: 135 2.5 Cấu hình file dovecot.conf: 135 Tạo mail kiểm tra: 137 3.1 Tạo email account: 137 3.2 Kiểm tra gởi – nhận mail: 137 Cấu hình webmail: 139 4.1 Cấu hình file /etc/squirrelmail/config.php 139 4.2 Sử dụng webmail: 139 VI Xây dựng FTP-Server chứng thực LDAP (vsftpd): 140 Cài đặt: 140 1.1 Các gói cài đặt: 140 Các file cấu hình: 140 2.1 Cấu hình file /etc/pam.d/vsftpd (chứng thực ldap): 140 2.2 Cấu hình file /etc/vsftpd/ vsftpd.conf (cấu hình bản): 141 Kiểm tra – sử dụng: 141 VII Xây dựng Web-Server chứng thực LDAP (apache): 142 Cài đặt: 142 1.1 Các gói cài đặt: 142 Các file cấu hình: 142 2.1 Cấu hình file /etc/httpd/conf/httpd.conf (chứng thực ldap): 142 Kiểm tra chứng thực truy cập: 144 VIII Xây dựng Proxy, Firewall, VPN Server (IPCOP): 145 Footer Khoa Page CNTT of 126 – Đồ Án Tốt Nghiệp: Quản lý xác thực tập trung với dịch vụ LDAP Linux Trang 7/176 Header Page of 126 TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE 240 Võ Văn Ngân, QuậnThủ Đức, TP Hồ Chí Minh ĐT: 08.6 2678999 Fax: 08 – 6261 0304 Cài đặt: 145 1.1 Cài đặt IPCOP: 145 1.2 Các bước cài đặt: 145 1.3 Cấu hình Proxy Server: 158 1.4 Cấu hình firewall: 162 1.5 Cấu hình logs: 165 1.6 Cấu hình VPN Server: 170 CHƯƠNG VI: ĐÁNH GIÁ VÀ HƯỚNG PHÁT TRIỂN 176 I Kết thực đề tài: 176 Yêu cầu đề tài: 176 Hướng phát triển đề tài: 176 II Tài liệu tham khảo: 176 III Các website: 176 DANH MỤC HÌNH Hình 1: Partition Linux 22 Hình 2: Chọn chế độ cài đặt 23 Hình 3: Chọn ngôn ngữ sử dụng 24 Hình 4: Chọn kiểu bàn phím 25 Hình 5: Chia partition 26 Hình 6: Cài Boot Loader 27 Hình 7: Cấu hình mạng 28 Hình 8: Cấu hình khu vực địa lý 29 Hình 9: Đặt mật cho người quản trị 29 Hình 10: Chọn loại cài đặt 30 Hình 11: Quá trình cài đặt hệ điều hành 32 Hình 12: Cài đặt hoàn tất 33 Hình 13: Cấu hình firewall 33 Hình 14: Cài đặt ngày hệ thống 34 Footer Khoa Page CNTT of 126 – Đồ Án Tốt Nghiệp: Quản lý xác thực tập trung với dịch vụ LDAP Linux Trang 8/176 Header Page of 126 TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE 240 Võ Văn Ngân, QuậnThủ Đức, TP Hồ Chí Minh ĐT: 08.6 2678999 Fax: 08 – 6261 0304 Hình 15: Tạo user 34 Hình 16: Giao diện Desktop 35 Hình 17a: Cơ chế phân cấp DNS 37 Hình 17b: Cơ chế phân cấp DNS 38 Hình 18: Zone Domain 41 Hình 19: Delegation Domain 43 Hình 20: File cấu hình zone thuận 49 Hình 21: File cấu hình zone nghịch 49 Hình 22: Sơ đồ kết nối active FTP 51 Hình 23: Sơ đồ kết nối passive FTP 53 Hình 20: Hoạt động giao thức HTTP 60 Hình 21: Mô tả phát sinh web động từ chương trình CGI 63 Hình 22: Chứng thực Digest 67 Hình 22: Squid Proxy 69 Hình 23: Sơ đồ hệ thống mail 76 Hình 24: Hệ thống mail cục 77 Hình 25: Hệ thống mail cục có kết nối từ xa 78 Hình 26: Hệ thống mail hai Domain & Gateway 78 Hình 27: Truy xuất samba swat 86 Hình 28: Đăng nhập samba thành công 86 Hình 29: Thao tác tìm kiếm 91 Hình 30: Những thông điệp Client gửi cho Server 91 Hình 31: Nhiều kết tìm kiếm trả 92 Hình 32: Mô hình kết nối client server 94 Hình 33: Cây thư mục với entry thành phần 95 Hình 34: Cây thư mục LDAP 99 Hình 35: Hệ thống tập tin UNIX 100 Hình 36: Một phần thư mục LDAP với entry chứa thông tin 101 Hình 37: Ví dụ relative distingguished name (RDN) 102 Footer Khoa Page CNTT of 126 – Đồ Án Tốt Nghiệp: Quản lý xác thực tập trung với dịch vụ LDAP Linux Trang 9/176 Header Page 10 of 126 TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE 240 Võ Văn Ngân, QuậnThủ Đức, TP Hồ Chí Minh ĐT: 08.6 2678999 Fax: 08 – 6261 0304 Hình 38: LDAP với alias entry 103 Hình 39: Thao tác tìm kiếm với phạm vi base 105 Hình 40: Thao tác tìm kiếm với phạm vi onelevel 105 Hình 41: Thao tác tìm kiếm với phạm vi subtree 105 Hình 42: Xác thực dùng LDAP 112 Hình 43: Mô hình đơn giản lưu trữ 113 Hình 44: Dùng LDAP để quản lý thư 114 Hình 45: Khai báo schema 116 Hình 46: Khai báo tham số ldap 116 Hình 47: Định nghĩa database, tên phân giải, user quản trị, thư mục lưu trữ database 117 Hình 48: Khai báo tham số đồng ldap 117 Hình 49: Chỉ định logfile 117 Hình 50: Tạo đối tượng cho ldap 118 Hình 51: Khai báo schema 118 Hình 52: Khai báo tham số ldap 118 Hình 53: Định nghĩa database, tên phân giải, user quản trị, thư mục lưu trữ database 118 Hình 54: Khai báo tham số đồng ldap 119 Hình 55: User u1 đồng sang ldap-svr2 120 Hình 56: User u2 đồng sang ldap-svr1 121 Hình 57: Khai báo samba.schema 122 Hình 58: Khai báo tham số ldap 122 Hình 59: Định nghĩa database, tên phân giải, user quản trị, thư mục lưu trữ database 123 Hình 60: Khai báo mục cho database 123 Hình 61: Phân quyền cho đối tượng 124 Hình 62: Khai báo thông tin chứng thực ldap 124 Hình 63: Khai báo tên Domain, kiểu chứng thực 124 Hình 64: Khai báo logfile, logsize, script tạo đối tượng cho DC 124 Hình 65: Cấu hình logon script, kiểu chứng thực 125 Hình 66: Cấu hình netlogon, tạo Profiles cho user 125 Footer Khoa Page CNTT 10 of 126 – Đồ Án Tốt Nghiệp: Quản lý xác thực tập trung với dịch vụ LDAP Linux Trang 10/176 Header Page 107 of 126 TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE 240 Võ Văn Ngân, QuậnThủ Đức, TP Hồ Chí Minh ĐT: 08.6 2678999 Fax: 08 – 6261 0304 sever không gởi giá trị thuộc tính đi, điều cần thiết client quan tâm đến kiểu thuộc tính chứa ldap Tham số thứ bảy lọc tìm kiếm(search filter) biểu thức mô tả loại entry giữ lại Trong LDAP chức tìm kiếm với biểu thức lọc linh động, tham khảo chi tiết loại lọc với phần Tham số thứ tám tham số cuối danh sách thuộc tính giữ lại với entry Bạn định thuộc tính giữ lại Các kiểu lọc áp dụng cho việc tìm kiếm Filter Type Format Example Matches Equality (attr=value) sn=jensen Tìm kiếm entry có surname jensen Substring (attr=[leading] *[any]*[trailin g]) (sn=*jensen*) Surname chứa chuổi “jensen” (sn=jensen*) (sn=*jensen) (sn=je*nse*n) Surname bắt đầu chuổi jensen Surname kết thúc với chuổi “jensen” Surname bắt đầu với chuổi “je” chứa chuổi”nse” kết thúc chuổi “n” Approximat e (attr~=value) (attr=~jensen) Surname xấp xĩ chuổi “jensen” chẳng hạn “jensin” hay “jenson” Footer Khoa Page CNTT 107 of–126 Đồ Án Tốt Nghiệp: Quản lý xác thực tập trung với dịch vụ LDAP Linux Trang 107/176 Header Page 108 of 126 TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE 240 Võ Văn Ngân, QuậnThủ Đức, TP Hồ Chí Minh ĐT: 08.6 2678999 Fax: 08 – 6261 0304 Greater than or equal to (attr>=value) (sn>=jensen) Surname >=”jensen”, lọc áp dụng cho thuộc tính kiểu có giá trị Less than or equal to (attr=22)) Các entry có thuộc tính tuổi