ĐỒ ÁN TỐT NGHIỆP

Tên đề tài:

QUẢN LÝ XÁC THỰC TẬP TRUNG VỚI DỊCH VỤ LDAP LINUX

GVHD: TRẦN VĂN TÀI
SVTH:
1. DƢƠNG QUỐC TUẤN
2. TRẦN HUỲNH AN DUY
3. TRẦN ĐOÀN KIẾN
Mã lớp:03CCHT01
Khóa:03
Tp Hồ Chí Minh, Ngày 19 Tháng 10 Năm 2011

MSSV: 99510030043
MSSV: 99510030007
MSSV: 99510030017

NHẬN XÉT CỦA GIẢNG VIÊN HƢỚNG DẪN
...............................................................................................................................................................
...............................................................................................................................................................
...............................................................................................................................................................
...............................................................................................................................................................
...............................................................................................................................................................
...............................................................................................................................................................
...............................................................................................................................................................
...............................................................................................................................................................
...............................................................................................................................................................
...............................................................................................................................................................
...............................................................................................................................................................
...............................................................................................................................................................
...............................................................................................................................................................
...............................................................................................................................................................
...............................................................................................................................................................
...............................................................................................................................................................
...............................................................................................................................................................
...............................................................................................................................................................
...............................................................................................................................................................
...............................................................................................................................................................
...............................................................................................................................................................
...............................................................................................................................................................
...............................................................................................................................................................
...............................................................................................................................................................
...............................................................................................................................................................
...............................................................................................................................................................
...............................................................................................................................................................
...............................................................................................................................................................
...............................................................................................................................................................
...............................................................................................................................................................
...............................................................................................................................................................
...............................................................................................................................................................
...............................................................................................................................................................
...............................................................................................................................................................
...............................................................................................................................................................

TRƢỜNG CAO ĐẲNG NGHỀ CNTT iSPACE
240 Võ Văn Ngân, QuậnThủ Đức, TP. Hồ Chí Minh
ĐT: 08.6. 2678999 Fax: 08 – 6261 0304

MỤC LỤC
LỜI CẢM ƠN ............................................................................................................................ 13
MỤC TIÊU ĐỀ TÀI ................................................................................................................... 14
CHƢƠNG I: GIỚI THIỆU TỔNG QUAN .................................................................................. 15
I. Lịch sử phát triển của Linux:....................................................................... 15
II. Ƣu điểm & khuyết điểm của Linux: ............................................................. 16
1. Ƣu điểm: .................................................................................................... 16
1.1 Kinh tế: .................................................................................................. 16
1.2 Linh hoạt, uyển chuyển: ........................................................................ 16
1.3 Độ an toàn cao: ..................................................................................... 16
1.4 Thích hợp cho quản trị mạng:................................................................ 17
2. Khuyết điểm: ............................................................................................... 18
2.1 Đòi hỏi ngƣời dùng phải thành thạo: ..................................................... 18
2.2 Tính tiêu chuẩn hóa: .............................................................................. 18
2.3 Số lƣợng các ứng dụng chất lƣợng cao trên Linux còn hạn chế: ......... 18
2.4 Phần cứng: ............................................................................................ 19
CHƢƠNG II: CÀI ĐẶT HỆ ĐIỀU HÀNH LINUX (CENTOS) ..................................................... 20
I. Yêu cầu phần cứng: ..................................................................................... 20
II. Đĩa cứng và phân vùng đĩa trong Linux: .................................................... 20
III. Quản lý ổ đĩa và partition trong Linux: ...................................................... 20
IV. Các bƣớc cài đặt hệ điều hành Linux: ...................................................... 22
1. Chọn phƣơng thức cài đặt: ........................................................................ 22
2. Chọn chế độ cài đặt: ................................................................................... 22
3. Chọn ngôn ngữ hiển thị trong quá trình cài đặt: .......................................... 23
4. Cấu hình bàn phím:..................................................................................... 23
5. Chia partition: .............................................................................................. 24
6. Cài đặt chƣơng trình Boot Loader:.............................................................. 25
7. Cấu hình mạng:........................................................................................... 26
8. Cấu hình khu vực địa lý: ............................................................................. 27
9. Đặt mật khẩu cho ngƣời quản trị:................................................................ 27
Khoa CNTT – Đồ Án Tốt Nghiệp: Quản lý xác thực tập trung với dịch vụ LDAP Linux Trang 3/164

TRƢỜNG CAO ĐẲNG NGHỀ CNTT iSPACE
240 Võ Văn Ngân, QuậnThủ Đức, TP. Hồ Chí Minh
ĐT: 08.6. 2678999 Fax: 08 – 6261 0304
10. Chọn loại cài đặt: ...................................................................................... 28
11. Tiến hành cài đặt hệ điều hành: ................................................................ 30
12. Sử dụng hệ điều hành:.............................................................................. 31
CHƢƠNG III: GIỚI THIỆU CÁC DỊCH VỤ LIÊN QUAN .......................................................... 33
I. Dịch vụ DNS (Domain Name System): ........................................................ 33
1. Giới thiệu:................................................................................................... 33
2. Cách phân bổ dữ liệu quản lý domain name: .............................................. 36
3. Phân giải thuận: .......................................................................................... 37
4. Phân giải nghịch:......................................................................................... 37
5. Sự khác nhau giữa Zone và Domain: ......................................................... 37
6. Chứng nhận tên miền: ................................................................................ 38
7. Phân loại Domain Name Server: ................................................................. 38
8. Sự ủy quyền (Delegation domain)............................................................... 39
9. Resource record:......................................................................................... 39
10. Giới thiệu phần mềm BIND: ...................................................................... 42
II. Dịch vụ FTP (File Transfer Protocol): ......................................................... 46
1. Giới thiệu:................................................................................................... 46
2. Mô hình hoạt động: ..................................................................................... 46
3.Chƣơng trình FTP Client:............................................................................. 49
4. Một số tập lệnh của FTP Client: .................................................................. 50
5. Cài đặt và cấu hình FTP: ............................................................................ 51
III. Dịch vụ Web: ................................................................................................ 54
1. Giới thiệu giao thức HTTP: ........................................................................ 54
2. Web server và hoạt động: ........................................................................... 55
3. Web client: .................................................................................................. 57
4. Web động: ................................................................................................... 57
5. Cài đặt và cấu hình Web server: ................................................................. 58
5.1 Giới thiệu phần mềm Apache: ............................................................... 58
5.2 Cài đặt Apache: ..................................................................................... 59
5.3 Thông tin cấu hình: ................................................................................ 59
5.4 Cấu hình cơ bản: ................................................................................... 59
5.5 Cấu hình chứng thực:............................................................................ 60
Khoa CNTT – Đồ Án Tốt Nghiệp: Quản lý xác thực tập trung với dịch vụ LDAP Linux Trang 4/164

TRƢỜNG CAO ĐẲNG NGHỀ CNTT iSPACE
240 Võ Văn Ngân, QuậnThủ Đức, TP. Hồ Chí Minh
ĐT: 08.6. 2678999 Fax: 08 – 6261 0304
IV. Dịch vụ Squid Proxy: .................................................................................. 63
1. Giới thiệu Squid: ........................................................................................ 64
2. Những giao thức hổ trợ trên Squid: ............................................................ 64
3. Trao đổi cache: ........................................................................................... 65
4. Cài đặt và cấu hình Squid Proxy: ................................................................ 65
V. Dịch vụ Mail Server: ..................................................................................... 69
1. Giới thiệu:................................................................................................... 69
2. Hệ thống mail: ............................................................................................. 70
3. Các khái niệm: ............................................................................................ 73
4. Mail và DNS: ............................................................................................... 74
5. Phần mềm mail Postfix: .............................................................................. 75
6. Phần mềm webmail:.................................................................................... 76
VI. Dịch vụ Samba: ........................................................................................... 76
1. Giới thiệu:................................................................................................... 76
2. Cài đặt:........................................................................................................ 77
CHƢƠNG IV: CƠ SỞ LÝ THUYẾT LDAP .............................................................................. 83
I. Giới thiệu về LDAP: ...................................................................................... 83
1. Khái niệm cơ bản: ...................................................................................... 83
II. Phƣơng thức hoạt động của LDAP: ........................................................... 84
1. Một nghi thức client/sever: .......................................................................... 84
2. LDAP Là một nghi thức hƣớng thông điệp: ................................................. 84
3. Các thao tác của nghi thức LDAP: .............................................................. 86
4. Các thao tác mở rộng: ................................................................................ 87
5. Mô hình kết nối Client – Server: .................................................................. 87
III. Các mô hình LDAP: ..................................................................................... 88
1. LDAP Information Model: ............................................................................ 88
2. LDAP Naming Model: .................................................................................. 92
3. Mô hình LDAP Function: ............................................................................. 96
4. Mô hình LDAP Security: ............................................................................ 104
IV. Sử dụng LDAP:.......................................................................................... 104
1. Ứng dụng xác thực dùng LDAP: ............................................................... 104
2. Một số ứng dụng sử dụng nghi thức LDAP:.............................................. 105
Khoa CNTT – Đồ Án Tốt Nghiệp: Quản lý xác thực tập trung với dịch vụ LDAP Linux Trang 5/164

TRƢỜNG CAO ĐẲNG NGHỀ CNTT iSPACE
240 Võ Văn Ngân, QuậnThủ Đức, TP. Hồ Chí Minh
ĐT: 08.6. 2678999 Fax: 08 – 6261 0304
CHƢƠNG V: TRIỂN KHAI HỆ THỐNG ................................................................................. 107
I. Phân tích hiện trạng hệ thống: .................................................................. 107
II. Cài đặt và cấu hình Open LDAP Replication Multi Master: ..................... 109
1.Cài đặt:....................................................................................................... 109
1.1 Các gói cài đặt: .................................................................................... 109
2.Các file cấu hình: ....................................................................................... 109
2.1 Cấu hình file /usr/local/etc/openldap/slapd.conf: ................................. 109
III. Xây dựng Primary Domain Controller (Openldap with Samba): ............ 113
1. Cài đặt: ..................................................................................................... 113
1.1 Các gói cài đặt: .................................................................................... 113
2. Các file cấu hình: ...................................................................................... 114
2.1 Cấu hình file /etc/openldap/slapd.conf:................................................ 114
2.2 Cấu hình file /etc/samba/smb.conf: ..................................................... 116
2.3 Tạo file script logon trong /var/lib/samba/netlogon/scripts ................... 117
2.4 Cấu hình file /var/lib/samba/sbin/smbldap_tools.pm:........................... 119
IV. Xây dựng File-Server chứng thực LDAP (Samba): ................................ 121
1. Cài đặt: ..................................................................................................... 121
1.1 Các gói cài đặt: .................................................................................... 121
2. Các file cấu hình: ...................................................................................... 121
2.1 Cấu hình file /etc/samba/smb.conf: ..................................................... 121
2.2 Giám sát truy cập tài nguyên chia sẽ: ................................................ 123
V. Xây dựng Mail-Server chứng thực LDAP (Postfix): ................................ 124
1. Cài đặt: ..................................................................................................... 124
1.1 Các gói cài đặt: .................................................................................... 124
2. Các file cấu hình: ...................................................................................... 124
2.1 Cấu hình file /etc/postfix/main.cf: ......................................................... 124
2.2 Tạo file /etc/postfix/accountsmap.cf: .................................................... 125
2.3 Tạo file /etc/postfix/ldap-aliases.cf: ...................................................... 125
2.4 Cấu hình file dovecot-ldap.conf: .......................................................... 125
2.5 Cấu hình file dovecot.conf: .................................................................. 125
3. Tạo mail và kiểm tra: ................................................................................. 126
3.1 Tạo email account: .............................................................................. 126
Khoa CNTT – Đồ Án Tốt Nghiệp: Quản lý xác thực tập trung với dịch vụ LDAP Linux Trang 6/164

TRƢỜNG CAO ĐẲNG NGHỀ CNTT iSPACE
240 Võ Văn Ngân, QuậnThủ Đức, TP. Hồ Chí Minh
ĐT: 08.6. 2678999 Fax: 08 – 6261 0304
3.2 Kiểm tra gởi – nhận mail:..................................................................... 127
4. Cấu hình webmail: .................................................................................... 128
4.1 Cấu hình file /etc/squirrelmail/config.php ............................................. 128
4.2 Sử dụng webmail:................................................................................ 128
VI. Xây dựng FTP-Server chứng thực LDAP (vsftpd): ................................. 130
1. Cài đặt: ..................................................................................................... 130
1.1 Các gói cài đặt: .................................................................................... 130
2. Các file cấu hình: ...................................................................................... 130
2.1 Cấu hình file /etc/pam.d/vsftpd (chứng thực ldap): .............................. 130
2.2 Cấu hình file /etc/vsftpd/ vsftpd.conf (cấu hình cơ bản):...................... 130
3. Kiểm tra – sử dụng:................................................................................... 130
VII. Xây dựng Web-Server chứng thực LDAP (apache): ............................. 132
1. Cài đặt: ..................................................................................................... 132
1.1 Các gói cài đặt: .................................................................................... 132
2. Các file cấu hình: ...................................................................................... 132
2.1 Cấu hình file /etc/httpd/conf/httpd.conf (chứng thực ldap): .................. 132
3. Kiểm tra chứng thực truy cập: ................................................................... 133
VIII. Xây dựng Proxy, Firewall, VPN Server (IPCOP):.................................. 134
1. Cài đặt: ..................................................................................................... 134
1.1 Cài đặt IPCOP: .................................................................................... 134
1.2 Các bƣớc cài đặt: ................................................................................ 134
1.3 Cấu hình Proxy Server: ....................................................................... 146
1.4 Cấu hình firewall: ................................................................................. 150
1.5 Cấu hình logs: ..................................................................................... 153
1.6 Cấu hình VPN Server: ......................................................................... 158
CHƢƠNG VI: ĐÁNH GIÁ VÀ HƢỚNG PHÁT TRIỂN ........................................................... 164
I. Kết quả thực hiện đề tài: ............................................................................ 164
1. Yêu cầu đề tài: ......................................................................................... 164
2. Hƣớng phát triển đề tài: ............................................................................ 164
II. Tài liệu tham khảo: ..................................................................................... 164
III. Các website: ............................................................................................... 164
Khoa CNTT – Đồ Án Tốt Nghiệp: Quản lý xác thực tập trung với dịch vụ LDAP Linux Trang 7/164

TRƢỜNG CAO ĐẲNG NGHỀ CNTT iSPACE
240 Võ Văn Ngân, QuậnThủ Đức, TP. Hồ Chí Minh
ĐT: 08.6. 2678999 Fax: 08 – 6261 0304

DANH MỤC HÌNH
Hình 1: Partition trong Linux ..................................................................................................... 21
Hình 2: Chọn chế độ cài đặt ..................................................................................................... 22
Hình 3: Chọn ngôn ngữ sử dụng .............................................................................................. 23
Hình 4: Chọn kiểu bàn phím ..................................................................................................... 24
Hình 5: Chia partition................................................................................................................ 25
Hình 6: Cài Boot Loader ........................................................................................................... 26
Hình 7: Cấu hình mạng ............................................................................................................ 27
Hình 8: Cấu hình khu vực địa lý ............................................................................................... 27
Hình 9: Đặt mật khẩu cho ngƣời quản trị ................................................................................. 28
Hình 10: Chọn loại cài đặt ........................................................................................................ 29
Hình 11: Quá trình cài đặt hệ điều hành ................................................................................... 30
Hình 12: Cài đặt hoàn tất ......................................................................................................... 30
Hình 13: Cấu hình firewall ........................................................................................................ 31
Hình 14: Cài đặt ngày giờ hệ thống.......................................................................................... 31
Hình 15: Tạo user..................................................................................................................... 32
Hình 16: Giao diện Desktop ..................................................................................................... 32
Hình 17a: Cơ chế phân cấp DNS ............................................................................................. 34
Hình 17b: Cơ chế phân cấp DNS ............................................................................................. 35
Hình 18: Zone và Domain ........................................................................................................ 38
Hình 19: Delegation Domain .................................................................................................... 39
Hình 20: File cấu hình zone thuận............................................................................................ 45
Hình 21: File cấu hình zone nghịch .......................................................................................... 45
Hình 22: Sơ đồ kết nối active FTP ........................................................................................... 47
Hình 23: Sơ đồ kết nối passive FTP......................................................................................... 49
Hình 20: Hoạt động của giao thức HTTP ................................................................................. 55
Hình 21: Mô tả phát sinh web động từ chƣơng trình CGI ........................................................ 58
Hình 22: Chứng thực Digest .................................................................................................... 62
Hình 22: Squid Proxy ............................................................................................................... 64
Hình 23: Sơ đồ hệ thống mail................................................................................................... 71
Khoa CNTT – Đồ Án Tốt Nghiệp: Quản lý xác thực tập trung với dịch vụ LDAP Linux Trang 8/164

TRƢỜNG CAO ĐẲNG NGHỀ CNTT iSPACE
240 Võ Văn Ngân, QuậnThủ Đức, TP. Hồ Chí Minh
ĐT: 08.6. 2678999 Fax: 08 – 6261 0304
Hình 24: Hệ thống mail cục bộ ................................................................................................. 72
Hình 25: Hệ thống mail cục bộ có kết nối từ xa ........................................................................ 72
Hình 26: Hệ thống mail hai Domain & một Gateway ................................................................ 73
Hình 27: Truy xuất samba swat ................................................................................................ 80
Hình 28: Đăng nhập samba thành công ................................................................................... 80
Hình 29: Thao tác tìm kiếm cơ bản .......................................................................................... 85
Hình 30: Những thông điệp Client gửi cho Server ................................................................... 85
Hình 31: Nhiều kết quả tìm kiếm đƣợc trả về ........................................................................... 86
Hình 32: Mô hình kết nối giữa client và server ......................................................................... 87
Hình 33: Cây thƣ mục với các entry là các thành phần cơ bản................................................ 89
Hình 34: Cây thƣ mục LDAP .................................................................................................... 92
Hình 35: Hệ thống tập tin của UNIX ......................................................................................... 93
Hình 36: Một phần thƣ mục LDAP với các entry chứa thông tin. ............................................. 94
Hình 37: Ví dụ về relative distingguished name (RDN) ............................................................ 95
Hình 38: LDAP với alias entry .................................................................................................. 96
Hình 39: Thao tác tìm kiếm với phạm vi base .......................................................................... 97
Hình 40: Thao tác tìm kiếm với phạm vi onelevel..................................................................... 98
Hình 41: Thao tác tìm kiếm với phạm vi subtree ...................................................................... 98
Hình 42: Xác thực dùng LDAP ............................................................................................... 105
Hình 43: Mô hình đơn giản lƣu trữ ......................................................................................... 105
Hình 44: Dùng LDAP để quản lý thƣ ...................................................................................... 106
Hình 45: Khai báo schema ..................................................................................................... 109
Hình 46: Khai báo tham số ldap ............................................................................................. 109
Hình 47: Định nghĩa database, tên phân giải, user quản trị, thƣ mục lƣu trữ database. ........ 110
Hình 48: Khai báo các tham số đồng bộ ldap......................................................................... 110
Hình 49: Chỉ định logfile ......................................................................................................... 110
Hình 50: Tạo các đối tƣợng cho ldap ..................................................................................... 110
Hình 51: Khai báo schema ..................................................................................................... 111
Hình 52: Khai báo tham số ldap ............................................................................................. 111
Hình 53: Định nghĩa database, tên phân giải, user quản trị, thƣ mục lƣu trữ database. ........ 111
Hình 54: Khai báo các tham số đồng bộ ldap......................................................................... 111
Hình 55: User u1 đã đƣợc đồng bộ sang ldap-svr2 ............................................................... 112
Khoa CNTT – Đồ Án Tốt Nghiệp: Quản lý xác thực tập trung với dịch vụ LDAP Linux Trang 9/164

TRƢỜNG CAO ĐẲNG NGHỀ CNTT iSPACE
240 Võ Văn Ngân, QuậnThủ Đức, TP. Hồ Chí Minh
ĐT: 08.6. 2678999 Fax: 08 – 6261 0304
Hình 56: User u2 đã đƣợc đồng bộ sang ldap-svr1 ............................................................... 113
Hình 57: Khai báo samba.schema ......................................................................................... 114
Hình 58: Khai báo tham số ldap ............................................................................................. 114
Hình 59: Định nghĩa database, tên phân giải, user quản trị, thƣ mục lƣu trữ database. ........ 114
Hình 60: Khai báo chỉ mục cho database ............................................................................... 115
Hình 61: Phân quyền cho các đối tƣợng ................................................................................ 115
Hình 62: Khai báo thông tin chứng thực bằng ldap ................................................................ 115
Hình 63: Khai báo tên Domain, kiểu chứng thực ................................................................... 116
Hình 64: Khai báo logfile, logsize, script tạo các đối tƣợng cho DC ....................................... 116
Hình 65: Cấu hình logon script, kiểu chứng thực ................................................................... 116
Hình 66: Cấu hình netlogon, tạo Profiles cho user ................................................................. 117
Hình 67: Nội dung file logon ................................................................................................... 118
Hình 68: Chỉ định đƣờng dẫn file smbldap_bind.conf; smbldap.conf ..................................... 119
Hình 69: Nhập các thông số cấu hình .................................................................................... 119
Hình 70: Join Domain thành công .......................................................................................... 120
Hình 71: Client Windows XP đã đƣợc thêm vào Cơ sở dữ liệu LDAP ................................... 120
Hình 72: Các thƣ mục chia sẽ ................................................................................................ 122
Hình 73: Truy xuất file server từ client.................................................................................... 122
Hình 74: Thông số samba swat .............................................................................................. 123
Hình 75: Giám sát chia sẽ tài nguyên..................................................................................... 123
Hình 76: Chỉ định hostname, domain, origin, network ............................................................ 124
Hình 77: Khai báo virtual_alias_maps, virtual_mailbox_maps.. ............................................. 124
Hình 78: Nội dung file accountsmap.cf ................................................................................... 125
Hình 79: Nội dung file ldap-aliases.cf ..................................................................................... 125
Hình 80: Cấu hình file dovecot-ldap.conf ............................................................................... 125
Hình 81: Cấu hình file dovecot.conf ....................................................................................... 126
Hình 82: Tạo email account ................................................................................................... 127
Hình 83: Cấu hình outlook express ........................................................................................ 127
Hình 84: Gởi – nhận mail thành công..................................................................................... 128
Hình 85: Trang đăng nhập webmail ....................................................................................... 129
Hình 86: Giao diện webmail ................................................................................................... 129
Hình 87: Nội dung file /etc/pam.d/vsftpd................................................................................. 130
Khoa CNTT – Đồ Án Tốt Nghiệp: Quản lý xác thực tập trung với dịch vụ LDAP Linux Trang 10/164

TRƢỜNG CAO ĐẲNG NGHỀ CNTT iSPACE
240 Võ Văn Ngân, QuậnThủ Đức, TP. Hồ Chí Minh
ĐT: 08.6. 2678999 Fax: 08 – 6261 0304
Hình 88: Cấu hình thông số ftp cơ bản. ................................................................................. 130
Hình 89: Truy cập FTP Server ............................................................................................... 131
Hình 90: Yêu cầu chứng thực khi truy cập vào trang /admin ................................................. 132
Hình 91: Chứng thực truy cập ................................................................................................ 133
Hình 92: Chứng thực truy cập thành công ............................................................................. 133
Hình 93: Chọn ngôn ngữ sử dụng .......................................................................................... 134
Hình 94: Chọn source cài đặt ................................................................................................. 135
Hình 95: Thông báo prepare harddisk .................................................................................... 135
Hình 96: Quá trình cài đặt bắt đầu ......................................................................................... 136
Hình 97: Cấu hình mạng ........................................................................................................ 136
Hình 98: Thiết lập địa chỉ IP cho GREEN interface ................................................................ 137
Hình 99: Chọn kiểu bàn phím ................................................................................................. 137
Hình 100: Nhập hostname ..................................................................................................... 138
Hình 101: Nhập Domain name ............................................................................................... 138
Hình 102: Cấu hình mạng ...................................................................................................... 139
Hình 103: Chọn kiểu cấu hình mạng ...................................................................................... 139
Hình 104: Chỉ định drivers cho NIC ........................................................................................ 140
Hình 105: Thiết lập IP address ............................................................................................... 140
Hình 106: Đặt ip cho ORANGE interface ............................................................................... 141
Hình 107: Đặt ip cho RED interface ....................................................................................... 141
Hình 108: Thiết lập DNS và Gateway..................................................................................... 142
Hình 109: Chỉ định DNS và Gateway ..................................................................................... 142
Hình 110: Cấu hình DHCP Server.......................................................................................... 143
Hình 111: Đặt password cho user root ................................................................................... 143
Hình 112: Đặt password cho user admin ............................................................................... 144
Hình 113: Đặt password backup ............................................................................................ 144
Hình 114: Hoàn tất cài đặt...................................................................................................... 145
Hình 115: Giao diện quản trị firewall ...................................................................................... 146
Hình 116: Cấu hình Proxy Server........................................................................................... 147
Hình 117: Khai báo thông số chứng thực LDAP .................................................................... 148
Hình 118: Chứng thực user truy cập web .............................................................................. 149
Hình 119: Thiết lập rule puplic dịch vụ ................................................................................... 150
Khoa CNTT – Đồ Án Tốt Nghiệp: Quản lý xác thực tập trung với dịch vụ LDAP Linux Trang 11/164

TRƢỜNG CAO ĐẲNG NGHỀ CNTT iSPACE
240 Võ Văn Ngân, QuậnThủ Đức, TP. Hồ Chí Minh
ĐT: 08.6. 2678999 Fax: 08 – 6261 0304
Hình 120: Thiết lập rule DNZ zone. ........................................................................................ 151
Hình 121: Thiết lập ping response.......................................................................................... 152
Hình 122: Thiết lập các thông số log ...................................................................................... 153
Hình 123: Proxy logs .............................................................................................................. 154
Hình 124: Firewall logs ........................................................................................................... 155
Hình 125: IDS logs ................................................................................................................. 156
Hình 126: URL Filter logs ....................................................................................................... 157
Hình 127: Cấu hình VPN Server ............................................................................................ 158
Hình 128: Khai báo thông tin user .......................................................................................... 159
Hình 129: Download key chứng thực ..................................................................................... 160
Hình 130: Cài đặt OpenVPN client ......................................................................................... 161
Hình 131: Giải nén key xác thực ............................................................................................ 161
Hình 132: Kết nối VPN thành công......................................................................................... 162
Hình 133: Truy cập mạng internal thành công ....................................................................... 163

Khoa CNTT – Đồ Án Tốt Nghiệp: Quản lý xác thực tập trung với dịch vụ LDAP Linux Trang 12/164

TRƢỜNG CAO ĐẲNG NGHỀ CNTT iSPACE
240 Võ Văn Ngân, QuậnThủ Đức, TP. Hồ Chí Minh
ĐT: 08.6. 2678999 Fax: 08 – 6261 0304

LỜI CẢM ƠN
Để có thể hoàn tất được bài đồ án này, trước tiên phải kể đến công
sức của thầy

TRẦN VĂN TÀI.

Nhóm chúng em kính gửi lời cảm ơn đến

thầy đã tận tình hướng dẫn và giúp đỡ trong thời gian thực hiện đồ án
này.
Nhóm chúng em xin chân thành cảm ơn các thầy cô khoa Công Nghệ
Thông Tin Trường Cao Đẳng Nghề iSPACE đã truyền đạt những kiến
thức, những kinh nghiệm quý báu cho chúng em trong quá trình học
tập tại trường.
Xin chân thành cảm ơn đến các bạn đã giúp đỡ tài liệu cũng như trao
đổi học thuật mới có thể thực hiện đồ án này.
Tp.Hồ Chí Minh, ngày 19 tháng 10 năm 2011

Học viên thực hiện
Dƣơng Quốc Tuấn
Trần Huỳnh An Duy
Trần Đoàn Kiến

Khoa CNTT – Đồ Án Tốt Nghiệp: Quản lý xác thực tập trung với dịch vụ LDAP Linux Trang 13/164

TRƢỜNG CAO ĐẲNG NGHỀ CNTT iSPACE
240 Võ Văn Ngân, QuậnThủ Đức, TP. Hồ Chí Minh
ĐT: 08.6. 2678999 Fax: 08 – 6261 0304

MỤC TIÊU ĐỀ TÀI
Xây dựng hệ thống mạng chứng thực tập trung với OpenLDAP.
Xây dựng hệ thống chứng thực tập trung cho các dịch vụ: mail, ftp, samba,
web.
Xây dựng hệ thống quản lí tập trung trên HDH Linux thay thế cho hệ thống
MS Active Directory.

Khoa CNTT – Đồ Án Tốt Nghiệp: Quản lý xác thực tập trung với dịch vụ LDAP Linux Trang 14/164

TRƢỜNG CAO ĐẲNG NGHỀ CNTT iSPACE
240 Võ Văn Ngân, QuậnThủ Đức, TP. Hồ Chí Minh
ĐT: 08.6. 2678999 Fax: 08 – 6261 0304

CHƢƠNG I: GIỚI THIỆU TỔNG QUAN
I. Lịch sử phát triển của Linux:
Linux là một HDH dạng UNIX (Unix-like Operating System) chạy trên máy PC với bộ
điều khiển trung tâm (CPU) Intel 80386 trở lên, hay các bộ vi xử lý trung tâm tƣơng
thích AMD, Cyrix. Linux ngày nay còn có thể chạy trên các máy Macintosh hoặc SUN
Sparc .
Linux đƣợc viết lại toàn bộ từ con số không, tức là không sử dụng một dòng lệnh nào
của Unix để tránh vấn đề bản quyền của Unix. Tuy nhiên hoạt động của Linux hoàn
toàn dựa trên nguyên tắc của hệ điều hành Unix. Vì vậy nếu một ngƣời nắm đƣợc
Linux, thì sẽ nắm đƣợc UNIX. Giữa các hệ thống Unix sự khác nhau cũng không kém
gì giữa Unix và Linux.
Năm 1991 Linus Torvalds, sinh viên của đại học tổng hợp Helsinki, Phần lan, bắt đầu
xem xét Minix, một phiên bản của Unix làm ra với mục đích nghiên cứu cách tạo ra một
hệ điều hành Unix chạy trên máy PC với bộ vi xử lý Intel 80386.
Ngày 25/8/1991, Linus cho ra version 0.01 và thông báo trên comp.os.minix của
Internet về dự định của mình về Linux.
Tháng 01/1992, Linus cho ra version 0.12 với shell và C compiler. Linus không cần
Minix nữa để recompile HDH của mình. Linus đặt tên HDH của mình là Linux.
Năm 1994, phiên bản chính thức 1.0 đƣợc phát hành.
Quá trình phát triển của Linux đƣợc tăng tốc bởi sự giúp đỡ của chƣơng trình GNU
(GNU‟s Not Unix), đó là chƣơng trình phát triển các Unix có khả năng chạy trên nhiều
platform. Phiên bản mới nhất của Linux kernel là 2.6.25, có khả năng điều khiển các
máy đa bộ vi xử lý ( hiện tại Linux hỗ trợ máy tính có tối đa 16 CPUs). Linux kernel
2.6.25 cũng đồng thời nâng cấp hệ thống file Ext4 (phiên bản cũ là Ext3), giúp hỗ trợ
dung lƣợng block lớn hơn - từ 4K lên 64K và rất nhiều các tính năng khác (có thể
download tại (http://www.kernel.org).
Các phiên bản của Hệ điều hành Linux đƣợc xác định bởi hệ thống số dạng X.YY.ZZ.
Nếu YY là số chẵn  phiên bản ổn định, YY là số lẻ  phiên bản thử nghiệm .

Khoa CNTT – Đồ Án Tốt Nghiệp: Quản lý xác thực tập trung với dịch vụ LDAP Linux Trang 15/164

TRƢỜNG CAO ĐẲNG NGHỀ CNTT iSPACE
240 Võ Văn Ngân, QuậnThủ Đức, TP. Hồ Chí Minh
ĐT: 08.6. 2678999 Fax: 08 – 6261 0304
II. Ƣu điểm & khuyết điểm của Linux:
1. Ƣu điểm:
1.1 Kinh tế:
Đó là một đặc điểm không thể bỏ qua của Linux. Tuy nhiên đối với Linux đó
vẫn chƣa là tất cả. Hệ điều hành này còn rất nhiều ƣu điểm khác mà không
một hệ điều hành nào có. Chính những đặc điểm này mới là nguyên nhân
khiến cho Linux ngày càng trở nên phổ biến không chỉ ở Việt Nam mà cả ở
trên thế giới.
1.2 Linh hoạt, uyển chuyển:
Linux là một Hệ điều hành mã nguồn mở nên chúng ta có thể tùy ý sửa chữa
theo nhƣ mình thích (tất nhiên là trong khả năng kiến thức của mỗi ngƣời).
Chúng ta có thể chỉnh sửa Linux và các ứng dụng trên đó sao cho phù hợp với
mình nhất. Mặt khác do Linux đƣợc một cộng đồng rất lớn những ngƣời làm
phần mềm cùng phát triển trên các môi trƣờng, hoàn cảnh khác nhau nên tìm
một phiên bản phù hợp với yêu cầu của mỗi ngƣời sẽ không phải là một vấn
đề quá khó khăn.
Tính linh hoạt của Linux còn đƣợc thể hiện ở chỗ nó tƣơng thích đƣợc với rất
nhiều môi trƣờng. Hiện tại, ngoài Linux dành cho server, PC…nhân Linux
(Linux kernel) còn đƣợc nhúng vào các thiết bị điều khiển nhƣ máy tính palm,
robot…..Phạm vi ứng dụng của Linux đƣợc xem là rất rộng rãi.
1.3 Độ an toàn cao:
Trƣớc hết, trong Linux có một cơ cấu phân quyền hết sức rõ ràng. Chỉ có
"root" (ngƣời dùng tối cao) mới có quyền cài đặt và thay đổi hệ thống. Ngoài ra
Linux cũng có cơ chế để một ngƣời dùng bình thƣờng có thể tạm thời chuyển
sang quyền "root" để thực hiện một số thao tác. Điều này giúp cho hệ thống có
thể chạy ổn định và tránh phải những sai sót dẫn đến đổ vỡ hệ thống (trong
những phiên bản Windows gần đây, cơ chế phân quyền này cũng đã bƣớc
đầu đƣợc áp dụng, nhƣng so với Linux thì vẫn kém chặt chẽ hơn).
Khoa CNTT – Đồ Án Tốt Nghiệp: Quản lý xác thực tập trung với dịch vụ LDAP Linux Trang 16/164

TRƢỜNG CAO ĐẲNG NGHỀ CNTT iSPACE
240 Võ Văn Ngân, QuậnThủ Đức, TP. Hồ Chí Minh
ĐT: 08.6. 2678999 Fax: 08 – 6261 0304
Ngoài ra chính tính chất "mở" cũng tạo nên sự an toàn của Linux. Nếu nhƣ
một lỗ hổng nào đó trên Linux đƣợc phát hiện thì nó sẽ đƣợc cả cộng đồng mã
nguồn mở cùng sửa và thƣờng thì chỉ sau 24h sẽ có thể cho ra bản sửa lỗi.
Mặt khác đối với những Hệ điều hành mã nguồn đóng nhƣ Windows, chúng ta
không thể biết đƣợc ngƣời ta viết gì, và viết ra sao mà chỉ biết đƣợc chúng
chạy nhƣ thế nào. Vì vậy nếu nhƣ Windows có chứa những đoạn mã cho phép
tạo những "back door" để xâm nhập vào hệ thống của chúng ta thì chúng ta
cũng không thể biết đƣợc. Đối với ngƣời dùng bình thƣờng nhƣ chúng ta vấn
đề này có vẻ nhƣ không quan trọng nhƣng đối với một hệ thống tầm cỡ nhƣ
hệ thống quốc phòng thì vấn đề nhƣ thế này lại mang tính sống còn. Các nhân
viên an ninh không đƣợc phép để lộ một kẽ hở nào, dù là nhỏ nhất vì nó liên
quan đến an ninh của cả một quốc gia. Và một lần nữa các phần mềm mã
nguồn mở nói chung và Linux nói riêng lại là sự lựa chọn số 1. Trong Linux
mọi thứ đều công khai, ngƣời quản trị có thể tìm hiểu tới mọi ngõ ngách của hệ
điều hành. Điều đó cũng có nghĩa là độ an toàn đƣợc nâng cao.
1.4 Thích hợp cho quản trị mạng:
Đƣợc thiết kế ngay từ đầu cho chế độ đa ngƣời dùng, Linux đƣợc xem là một
hệ điều hành mạng rất giá trị. Nếu nhƣ Windows tỏ ra là một Hệ điều hành
thích hợp với máy tính Desktop thì Linux lại là hệ điều hành thống trị đối với
các Server. Đó là do Linux có rất nhiều ƣu điểm thỏa mãn đòi hỏi của một hệ
điều hành mạng: tính bảo mật cao, chạy ổn định, các cơ chế chia sẻ tài nguyên
tốt…..Giao thức TCP/IP mà chúng ta vẫn thấy ngày nay chính là một giao thức
truyền tin của Linux (sau này mới đƣợc đƣa vào Windows).
1.5 Chạy thống nhất trên các hệ thống phần cứng:
Dù cho có rất nhiều phiên bản Linux đƣợc các nhà phân phối khác nhau ban
hành nhƣng nhìn chung đều chạy khá ổn định trên mọi thiết bị phần cứng, từ
Intel 486 đến những máy Core 2 Duo, từ những máy có dung lƣợng RAM chỉ
4MB đến những máy có cấu hình cực mạnh (tất nhiên là tốc độ sẽ khác nhau
nhƣng về nguyên tắc vẫn có thể chạy đƣợc). Nguyên nhân là Linux đƣợc rất
Khoa CNTT – Đồ Án Tốt Nghiệp: Quản lý xác thực tập trung với dịch vụ LDAP Linux Trang 17/164

TRƢỜNG CAO ĐẲNG NGHỀ CNTT iSPACE
240 Võ Văn Ngân, QuậnThủ Đức, TP. Hồ Chí Minh
ĐT: 08.6. 2678999 Fax: 08 – 6261 0304
nhiều lập trình viên ở nhiều môi trƣờng khác nhau cùng phát triển (không nhƣ
Windows chỉ do Microsoft phát triển) và chúng ta sẽ bắt gặp nhiều ngƣời có
"cùng cảnh ngộ" nhƣ mình và dễ dàng tìm đƣợc các driver tƣơng ứng với thiết
bị của mình . Tính chất này hoàn toàn trái ngƣợc với Windows. Mỗi khi có một
phiên bản Windows mới ra đời thì bao giờ kèm theo đó cũng là một cơn khát
về phần cứng vì Hệ điều hành mới thƣờng không hỗ trợ các thiết bị quá cũ.
2. Khuyết điểm:
Dù cho hiện nay Linux đang có tốc độ phát triển nhanh hơn hẳn Windows nhƣng
khách quan mà nói so với Windows, Linux vẫn chƣa thể đến với ngƣời sử dụng
cuối. Đó là do Linux vẫn còn có những nhƣợc điểm cố hữu:
2.1 Đòi hỏi ngƣời dùng phải thành thạo:
Trƣớc kia việc sử dụng và cấu hình Linux đƣợc xem là một công việc chỉ dành
cho những kĩ thuật viên CNTT. Hầu nhƣ mọi công việc đều thực hiện trên các
dòng lệnh và phải cấu hình nhờ sửa trực tiếp các file. Mặc dù trong những
phiên bản gần đây, các Hệ điều hành Linux đã có những cải tiến đáng kể,
nhƣng so với Windows tính thân thiện của Linux vẫn còn là một vấn đề lớn.
Đây là một trong những nguyên nhân chủ yếu khiến Linux mặc dù có rất nhiều
đặc tính kỹ thuật tốt nhƣng vẫn chƣa đến đƣợc với ngƣời dùng cuối.
2.2 Tính tiêu chuẩn hóa:
Linux đƣợc phát hành miễn phí nên bất cứ ai cũng có thể tự mình đóng gói,
phân phối theo những cách riêng. Hiện tại có khá nhiều bản Linux phát triển từ
một nhân ban đầu cùng tồn tại nhƣ: RedHat, SuSE, Knoppix….. Ngƣời dùng
phải tự so sánh xem bản nào là phù hợp với mình. Điều này có thể gây khó
khăn cho ngƣời dùng, nhất là những ngƣời còn có kiến thức về tin học hạn
chế.
2.3 Số lƣợng các ứng dụng chất lƣợng cao trên Linux còn hạn chế:

Khoa CNTT – Đồ Án Tốt Nghiệp: Quản lý xác thực tập trung với dịch vụ LDAP Linux Trang 18/164

TRƢỜNG CAO ĐẲNG NGHỀ CNTT iSPACE
240 Võ Văn Ngân, QuậnThủ Đức, TP. Hồ Chí Minh
ĐT: 08.6. 2678999 Fax: 08 – 6261 0304
Mặc dù Windows có sản phẩm nào thì Linux cũng gần nhƣ có phần mềm
tƣơng tự, (VD: OpenOffice trên Linux tƣơng tự nhƣ MSOffice, hay GIMP tƣơng
tự nhƣ Photoshopv..v..) Tuy nhiên chất lƣợng những sản phẩm này là chƣa
thể so sánh đƣợc với các sản phẩm viết cho Windows.
2.4 Phần cứng:
Một số nhà sản xuất phần cứng không có driver hỗ trợ Linux: Do hiện nay
Linux chƣa phổ biến bằng Windows nên nhiều nhà sản xuất không hỗ trợ các
driver chạy trên Linux. Tuy nhiên chúng ta vẫn có thể tìm thấy các driver này
trên internet do cộng đồng mã nguồn mở viết.
Trên cơ sở nhìn nhận một cách khách quan các ƣu, nhƣợc điểm của Hệ điều
hành Linux cũng nhƣ xem xét xu hƣớng phát triển tin học ở nƣớc ta có thể thấy:
Đối với ngƣời dùng thông thƣờng việc chuyển từ Windows sang Linux trong ngày
một ngày hai là chƣa thể. Tuy nhiên đối với những ngƣời làm tin học, đặc biệt là
đối với sinh viên, việc tìm hiểu và nghiên cứu Linux và phần mềm mã nguồn mở là
một điều kiện rất tốt để nâng cao hiểu biết của mình. Linux dẫu sao vẫn là một hệ
điều hành rất có giá trị: chi phí thấp, linh hoạt, ổn đinh, và bảo mật cao.

Khoa CNTT – Đồ Án Tốt Nghiệp: Quản lý xác thực tập trung với dịch vụ LDAP Linux Trang 19/164

TRƢỜNG CAO ĐẲNG NGHỀ CNTT iSPACE
240 Võ Văn Ngân, QuậnThủ Đức, TP. Hồ Chí Minh
ĐT: 08.6. 2678999 Fax: 08 – 6261 0304

CHƢƠNG II: CÀI ĐẶT HỆ ĐIỀU HÀNH LINUX (CENTOS)
I. Yêu cầu phần cứng:
Linux không đòi hỏi máy có cấu hình mạnh. Tuy nhiên nếu phần cứng có cấu hình
thấp quá thì có thể không chạy đƣợc Xwindow hay các ứng dụng có sẳn. Cấu hình tối
thiểu nên dùng:
CPU: Pentium 3 trở lên.
RAM: 64 MB trở lên cho text mode, 192 MB cho mode Graphics.
Đĩa cứng: Dung lƣợng đĩa phụ thuộc vào loại cài đặt:
Custom Instalation (minimum): 520MB.
Server (minimum): 870 MB.
Personal Desktop: 1.9 GB.
Custom Instalation (everything): 5.3 GB.
2M cho cardd màn hình nếu muốn sử dụng mode cho đồ họa.

II. Đĩa cứng và phân vùng đĩa trong Linux:
Đĩa cứng đƣợc phân ra nhiều vùng khác nhau gọi là Partion. Mỗi partion sử dụng một
hệ thống tập tin và dữ liệu lƣu trữ dữ liệu. Mỗi đĩa chúng ta chỉ chia đƣợc tối đa 4
partion chính (primary). Giới hạn nhƣ vậy là do Master Boot Record của đĩa chỉ ghi tối
đa 4 chỉ mục tới 4 partion.
Để tạo nhiều partion lƣu trữ dữ liệu (hơn 4) ngƣời ta dùng partion mở rộng (extended
pariton). Thực ra partion mở rộng cũng là primary partition nhƣng cho phép tạo ra các
partition con đƣợc gọi là logical partition trong nó.

III. Quản lý ổ đĩa và partition trong Linux:
Linux sử dụng cơ chế truy xuất ổ đĩa thông qua tập tin. Mỗi ổ đĩa đƣợc gán với một
tập tin trong thƣ mục /dev/. Ký hiệu ổ đĩa fd cho ổ mềm, hd cho ổ cứng, sd dành cho
ổ SCSI. Ký tự a, b, c … gắn thêm vào để xác định các ổ đĩa khác nhau cùng loại.
Khoa CNTT – Đồ Án Tốt Nghiệp: Quản lý xác thực tập trung với dịch vụ LDAP Linux Trang 20/164

TRƢỜNG CAO ĐẲNG NGHỀ CNTT iSPACE
240 Võ Văn Ngân, QuậnThủ Đức, TP. Hồ Chí Minh
ĐT: 08.6. 2678999 Fax: 08 – 6261 0304
Ký tự mô tả ổ đĩa
hda
hdb
hdc
hdd
sda
sdb

Các thiết bị lƣu trữ (Physical block devices)
Primary Master
Primary Slave
Secondary Master
Secondary Slave
First SCSI disk
Second SCSI dish
Bảng ký tự mô tả ổ đĩa

Ví dụ: Ổ cứng thứ nhất hda, ổ cứng thứ 2 hdb …. xác định các parttion trong ổ đĩa
ngƣời ta dùng các số đi kèm. Theo qui định partition chính và mở rộng đƣợc gán số 1
- 4. Các logical partition đƣợc gán các giá trị từ 5 trở đi.

Hình 1: Partition trong Linux
Nhƣ hình vẽ trên là các partition của ổ cứng thứ nhất hda: có 2 partition chính ký hiệu
là hda1 và hda2, một partition mở rộng là hda3. Trong partition mở rộng hda3 có 2
partition logic có ký hiệu là hda6 và hda5.
Trong Linux bắt buộc phải có tối thiểu 2 partition sau:
Partition chính chứa thƣ mục gốc (/) và hạt nhân (gọi là Linux Native partition).
Partition swap đƣợc dùng làm không gian hoán đổi dữ liệu khi vùng nhớ chính
đƣợc sử dụng hết. Kích thƣớc của phần swap sử dụng tùy thuộc hệ thống mình
sử dụng nhiều hay ít ứng dụng. Thông thƣờng thì kích thƣớc vùng swap bằng kích
thƣớc bộ nhớ chính.

Khoa CNTT – Đồ Án Tốt Nghiệp: Quản lý xác thực tập trung với dịch vụ LDAP Linux Trang 21/164

TRƢỜNG CAO ĐẲNG NGHỀ CNTT iSPACE
240 Võ Văn Ngân, QuậnThủ Đức, TP. Hồ Chí Minh
ĐT: 08.6. 2678999 Fax: 08 – 6261 0304
IV. Các bƣớc cài đặt hệ điều hành Linux:
1. Chọn phƣơng thức cài đặt:
CD-ROM: Có thể khởi động từ CD-ROM hoặc khởi động bằng đĩa mềm boot.
Đĩa cứng: Cần sử dụng đĩa mềm boot (dùng lệnh dd hoặc mkbootdisk để tạo đĩa
mềm boot).
NFS image: Sử dụng đĩa khởi động mạng. Kết nối tới NFS server.
FTP: Sử dụng đĩa khởi động mạng. Cài trực tiếp qua kết nối FTP.
HTTP: Sử dụng đĩa khởi động mạng. Cài trực tiếp qua kết nối HTTP.
2. Chọn chế độ cài đặt:
Khi chƣơng trình cài đặt khởi động sẽ hiển thị màn hình:

Hình 2: Chọn chế độ cài đặt
Chúng ta có thể chọn các chế độ:
Linux text: Chƣơng trình cài đặt hệ điều hành dƣới chế độ text (text mode).

Khoa CNTT – Đồ Án Tốt Nghiệp: Quản lý xác thực tập trung với dịch vụ LDAP Linux Trang 22/164

TRƢỜNG CAO ĐẲNG NGHỀ CNTT iSPACE
240 Võ Văn Ngân, QuậnThủ Đức, TP. Hồ Chí Minh
ĐT: 08.6. 2678999 Fax: 08 – 6261 0304
[ENTER]: Chƣơng trình cài đặt hệ điều hành dƣới chế độ đồ họa (Graphical
mode).
3. Chọn ngôn ngữ hiển thị trong quá trình cài đặt:
Mặc định trong bƣớc này hệ thống sẽ chọn English làm ngôn ngữ chính hiển thị
trong quá trình cài đặt. Thông thƣờng trong bƣớc này ta sẽ chấp nhận phƣơng
thức chọn mặc định của hệ thống, tiếp tục chọn Next để sang trang kế tiếp.

Hình 3: Chọn ngôn ngữ sử dụng
4. Cấu hình bàn phím:
Chọn loại bàn phím thích hợp  Next

Khoa CNTT – Đồ Án Tốt Nghiệp: Quản lý xác thực tập trung với dịch vụ LDAP Linux Trang 23/164

TRƢỜNG CAO ĐẲNG NGHỀ CNTT iSPACE
240 Võ Văn Ngân, QuậnThủ Đức, TP. Hồ Chí Minh
ĐT: 08.6. 2678999 Fax: 08 – 6261 0304

Hình 4: Chọn kiểu bàn phím
5. Chia partition:
Remove all partition on selected drivers and create default layout: Loại bỏ tất cả
các partition có sẵn trong hệ thống và hệ thống sẽ tạo tự động theo mặc định.
Remove linux partition on selected drivers and create default layout: Loại bỏ tất cả
các Linux partition có sẳn trong hệ thống và hệ thống sẽ tạo tự động theo mặc
định.
Use free space on selected drivers and create default layout: Dùng không gian còn
trống trên ổ đĩa vàn hệ thống sẽ tạo tự động theo mặc định.
Create custom layout: Chia partition theo tùy chọn của ngƣời dùng (manually).
Tùy theo từng yêu cầu mà chúng ta chọn các cách chia partition cho phù hợp, sau đó chọn
Next.

Khoa CNTT – Đồ Án Tốt Nghiệp: Quản lý xác thực tập trung với dịch vụ LDAP Linux Trang 24/164

TRƢỜNG CAO ĐẲNG NGHỀ CNTT iSPACE
240 Võ Văn Ngân, QuậnThủ Đức, TP. Hồ Chí Minh
ĐT: 08.6. 2678999 Fax: 08 – 6261 0304

Hình 5: Chia partition
6. Cài đặt chƣơng trình Boot Loader:
Boot Loader là chƣơng trình cho phép chúng ta chọn các hệ điều hành để khởi
động qua menu. Khi chúng ta chọn, thì chúng xác định các tập tin cần thiết để khởi
động hệ điều hành và giao quyền điều khiển lại cho hệ điều hành. Boot Loader có
thể đƣợc cài vào Master Boot record hoặc vào sector đầu tiên của partition.
Linux cho phép chúng ta sử dựng chƣơng trình Boot Loader là GRUB hoặc LILO.
Cả hai Boot Loader đều có thể hổ trợ quản lý nhiều hệ điều hành trên một hệ
thống:
Chúng ta chọn cài Boot Loader vào Master Boot Record (MBR) khi chƣa có
chƣơng trình Boot Loader nào (ví dụ nhƣ của Windows) đƣợc cài, hoặc
chúng ta chắc chắn chƣơng trình Boot Loader của mình có thể khởi động
đƣợc các hệ điều hành khác trong máy. Khi cài lên MBR thì các chƣơng trình
Boot Loader trƣớc đó sẽ bị thay thế bằng Boot Loader mới.
Chúng ta không cài chƣơng trình Boot Loader, khi đó cần phải sử dụng đĩa
mềm boot để khởi động hệ điều hành.
Ta có thể đặt mật khẩu cho boot loader thông qua tùy chọn User a boot
loader password và nhấn nút Change password.
Khoa CNTT – Đồ Án Tốt Nghiệp: Quản lý xác thực tập trung với dịch vụ LDAP Linux Trang 25/164

TRƢỜNG CAO ĐẲNG NGHỀ CNTT iSPACE
240 Võ Văn Ngân, QuậnThủ Đức, TP. Hồ Chí Minh
ĐT: 08.6. 2678999 Fax: 08 – 6261 0304

Hình 6: Cài Boot Loader
7. Cấu hình mạng:
Mặc định hệ thống cấu hình mạng DHCP, để cấu hình địa chỉ IP cụ thể chúng ta
nhập những thông số cấu hình mạng bằng cách Click nút Edit.
IP Address: Chỉ định địa chỉ IP cho máy.
Prefix (Netmask): Chỉ định netmask cho máy.
Active on boot: Card mạng đƣợc kích hoạt khi hệ điều hành khởi động.
Hostname: Nếu chúng ta có tên dns đầy đủ thì khai báo tên đầy đủ. Trong
trƣờng hợp không kết nối vào mạng chúng ta cũng đặt tên cho máy thông
qua mục chọn manually. Nếu không tên nào đƣợc điền vào thì giá trị mặc
nhiên sử dụng là localhost
Miscellaneous Settings: Để chỉ định địa chỉ Gateway và Primary DNS, và một
số thông số khác. Các trƣờng không có giá trị thì trƣờng đó không đƣợc sử
dụng trong hệ thống.

Khoa CNTT – Đồ Án Tốt Nghiệp: Quản lý xác thực tập trung với dịch vụ LDAP Linux Trang 26/164

TRƢỜNG CAO ĐẲNG NGHỀ CNTT iSPACE
240 Võ Văn Ngân, QuậnThủ Đức, TP. Hồ Chí Minh
ĐT: 08.6. 2678999 Fax: 08 – 6261 0304

Hình 7: Cấu hình mạng
8. Cấu hình khu vực địa lý:
Các vị trí chia theo châu lục. Ở Việt Nam là Asia/Ho_Chi_Minh, ta có thể chọn mục
này một cách dễ dàng thông qua việc định vị chuột tại đúng vị trí trên bảng đồ 
Next.

Hình 8: Cấu hình khu vực địa lý
9. Đặt mật khẩu cho ngƣời quản trị:
Khoa CNTT – Đồ Án Tốt Nghiệp: Quản lý xác thực tập trung với dịch vụ LDAP Linux Trang 27/164

TRƢỜNG CAO ĐẲNG NGHỀ CNTT iSPACE
240 Võ Văn Ngân, QuậnThủ Đức, TP. Hồ Chí Minh
ĐT: 08.6. 2678999 Fax: 08 – 6261 0304
Trên Linux ngƣời quản trị thƣờng đƣợc gọi là ngƣời root. Mật khẩu của user root
bắt buộc có chiều dài tối thiểu của password là 6 ký tự. Chúng ta nên đặt
password gồm có ký tự, số và các ký tự đặc biệt để bảo đảm an toàn. Lƣu ý
password phân biệt chữ hoa và thƣờng  Next.

Hình 9: Đặt mật khẩu cho người quản trị
10. Chọn loại cài đặt:
Một số cài đặt thông dụng:
Desktop: Cài đặt hệ điều hành phục vụ cho công việc của một mày trạm.
Server: Cài đặt hệ điều hành phục vụ cho máy chủ.
Customize now: Có thể tích hợp các tùy chọn trên một cách tùy ý.

Khoa CNTT – Đồ Án Tốt Nghiệp: Quản lý xác thực tập trung với dịch vụ LDAP Linux Trang 28/164

TRƢỜNG CAO ĐẲNG NGHỀ CNTT iSPACE
240 Võ Văn Ngân, QuậnThủ Đức, TP. Hồ Chí Minh
ĐT: 08.6. 2678999 Fax: 08 – 6261 0304

Hình 10: Chọn loại cài đặt

Khoa CNTT – Đồ Án Tốt Nghiệp: Quản lý xác thực tập trung với dịch vụ LDAP Linux Trang 29/164

TRƢỜNG CAO ĐẲNG NGHỀ CNTT iSPACE
240 Võ Văn Ngân, QuậnThủ Đức, TP. Hồ Chí Minh
ĐT: 08.6. 2678999 Fax: 08 – 6261 0304
11. Tiến hành cài đặt hệ điều hành:
Sau khi thiết lập các thông số, chƣơng trình sẽ tiến hành cài đặt hệ điều hành.

Hình 11: Quá trình cài đặt hệ điều hành
Sau khi quá trình cài đặt hoàn tất, hệ thống yêu cầu reboot

Hình 12: Cài đặt hoàn tất
Khoa CNTT – Đồ Án Tốt Nghiệp: Quản lý xác thực tập trung với dịch vụ LDAP Linux Trang 30/164

TRƢỜNG CAO ĐẲNG NGHỀ CNTT iSPACE
240 Võ Văn Ngân, QuậnThủ Đức, TP. Hồ Chí Minh
ĐT: 08.6. 2678999 Fax: 08 – 6261 0304
12. Sử dụng hệ điều hành:
Sau khi hoàn tất quá trình cài đặt, để sự dụng hệ điều hành chúng ta phải thiết lập
một vài thông số:
Cấu hình Firewall: Trong linux có tích hợp firewall để bảo vệ hệ thống chống
lại một số truy xuất bất hợp pháp từ bên ngoài. Ta có thể chọn Enable hoặc
Disable  Forward.

Hình 13: Cấu hình firewall
Tùy chỉnh ngày, giờ hệ thống:

Hình 14: Cài đặt ngày giờ hệ thống
Khoa CNTT – Đồ Án Tốt Nghiệp: Quản lý xác thực tập trung với dịch vụ LDAP Linux Trang 31/164

TRƢỜNG CAO ĐẲNG NGHỀ CNTT iSPACE
240 Võ Văn Ngân, QuậnThủ Đức, TP. Hồ Chí Minh
ĐT: 08.6. 2678999 Fax: 08 – 6261 0304
Tạo user đăng nhập:

Hình 15: Tạo user
Hoàn tất, đăng nhập và sử dụng:

Hình 16: Giao diện Desktop
Khoa CNTT – Đồ Án Tốt Nghiệp: Quản lý xác thực tập trung với dịch vụ LDAP Linux Trang 32/164

TRƢỜNG CAO ĐẲNG NGHỀ CNTT iSPACE
240 Võ Văn Ngân, QuậnThủ Đức, TP. Hồ Chí Minh
ĐT: 08.6. 2678999 Fax: 08 – 6261 0304

CHƢƠNG III: GIỚI THIỆU CÁC DỊCH VỤ LIÊN QUAN
I. Dịch vụ DNS (Domain Name System):
1. Giới thiệu:
Mỗi máy tính trong mạng muốn liên lạc hay trao đổi thông tin, dữ liệu cho nhau cần
phải biết rõ địa chỉ IP của nhau. Nếu số lƣợng máy tính nhiều thì việc nhớ những
địa chỉ IP này là rất khó khăn.
Mỗi máy tính ngoài địa chỉ IP ra còn có một tên máy còn gọi là Computer name.
Đối với con ngƣời việc nhớ tên máy dù sao cũng dễ dàng hơn vì chúng có tính
trực quan và gợi nhớ hơn địa chỉ IP. Vì thế ngƣời ta nghĩ ra cách làm sao ánh xạ
địa chỉ IP thành tên máy tính.
Ban đầu do quy mô mạng ARPAnet (tiền than của mạng Internet) còn nhỏ (chỉ vài
trăm máy), nên chỉ có một tập tin đơn HOSTS.TXT lƣu thong tin về ánh xạ tên
máy tính thành địa chỉ IP. Trong đó tên máy chỉ là một chuỗi văn bản không phân
cấp (flat name). Tập tin này đƣợc duy trì tại một máy chủ và các máy chủ khác lƣu
giữ bản sao của nó. Tuy nhiên khi quy mô mạng lớn hơn, việc sử dụng tập tin
HOSTS.TXT có các nhƣợc điểm sau:
Lƣu lƣợng mạng và máy chủ duy trì tập tin HOSTS.TXT bị quá tải do hiệu
ứng “cổ chai”.
Xung đột tên vì không thể có hai máy tính cùng tên trong tập tin HOSTS.TXT.
Tuy nhiên do tên máy không phân cấp và không có gì bảo đảm để ngăn chặn
việc tạo hai tên trùng nhau vì không có cơ chế ủy quyền quản lý tập tin nên
có nguy cơ bị xung đột tên.
Không đảm bảo sự toàn vẹn: việc duy trì một tập tin trên mạng lớn rất khó
khăn. Ví dụ nhƣ khi tập tin HOSTS.TXT vừa cập nhật chƣa kịp chuyển đến
máy chủ ở xa thì đã có sự thay đổi địa chỉ trên mạng.
Tóm lại việc dùng tập tin HOSTS.TXT không phù hợp cho mạng lớn vì thiếu cơ
chế phân tán và mở rộng. Do đó, dịch vụ DNS ra đời nhằm khắc phục các nhƣợc
điểm này. Ngƣời thiết kế cấu trúc của dịch vụ DNS là Paul Mockapetris – USC‟s

Khoa CNTT – Đồ Án Tốt Nghiệp: Quản lý xác thực tập trung với dịch vụ LDAP Linux Trang 33/164

TRƢỜNG CAO ĐẲNG NGHỀ CNTT iSPACE
240 Võ Văn Ngân, QuậnThủ Đức, TP. Hồ Chí Minh
ĐT: 08.6. 2678999 Fax: 08 – 6261 0304
Information Sciences Institute, và các khuyến nghị RFC của DNS RFC 882 và 883,
sau đó đƣợc bổ sung của RFC 1034, 1035.
Dịch vụ DNS hoạt động theo mô hình Client-Server: Phần Server gọi là máy chủ
phục vụ tên hay còn gọi là Nameserver, còn phần Client là chƣơng trình yêu cầu
phân giải tên hay còn gọi là Resolver. Nameserver chứa các thông tin CSDL của
DNS, còn Resolver đơn giản chỉ là các hàm thƣ viện dùng để tạo các truy vấn
(query) và gửi chúng qua đến Nameserver.
DNS là một CSDL phân tán. Điều này cho phép ngƣời quản trị cục bộ quản lý
phần dữ liệu nội bộ thuộc phạm vi của họ, đồng thời dữ liệu này cũng dễ dàng truy
cập đƣợc trên toàn bộ hệ thống mạng theo mô hình Client-Server. Hiệu suất sử
dụng dịch vụ đƣợc tăng cƣờng thông qua cơ chế nhân bản (replication) và lƣu
tạm (caching). Một hostname trong domain là sự kết hợp giữa những từ phân
cách nhau bởi dấu “.”. Ví dụ: hostname là server.thanhlong.com, trong đó server là
tên máy và thanhlong.com là tên vùng. Domain name phân bổ theo cơ chế phân
cấp tƣơng tự nhƣ sự phân cấp của hệ thống tập tin Unix/Linux.

Hình 17a: Cơ chế phân cấp DNS

Khoa CNTT – Đồ Án Tốt Nghiệp: Quản lý xác thực tập trung với dịch vụ LDAP Linux Trang 34/164

TRƢỜNG CAO ĐẲNG NGHỀ CNTT iSPACE
240 Võ Văn Ngân, QuậnThủ Đức, TP. Hồ Chí Minh
ĐT: 08.6. 2678999 Fax: 08 – 6261 0304

Cơ sở dữ liệu (CSDL) của DNS là một cây đảo ngƣợc. Mỗi nút trên cây cũng là
gốc của 1 cây con. Mỗi cây con là một phân vùng con trong toàn bộ CSDL DNS
gọi là 1 miền (domain). Mỗi domain có thể phân chia thành các phân vùng con nhỏ
hơn gọi là các miền con (subdomain).
Mỗi domain có 1 tên (domain name). Tên domain chỉ ra vị trí của nó trong CSDL
DNS. Trong DNS tên miền là chuỗi tuần tự các tên nhãn tại nút đó đi ngƣợc lên
nút gốc của cây và phân cách nhau bởi dấu chấm. Tên nhãn bên phải trong mỗi
domain name đƣợc gọi là top-level domain.

Hình 17b: Cơ chế phân cấp DNS
Tên miền

Mô tả

.com
.org
.net

Các tổ chức, công ty thƣơng mại
Các tổ chức phi lợi nhuận
Các trung tâm hổ trợ về mạng

.edu

Các tổ chức giáo dục

.gov

Các tổ chức thuộc chính phủ

.mil

Các tổ chức quân sự

.int

Các tổ chức đƣợc thành lập bởi các hiệp ƣớc quốc tế

Khoa CNTT – Đồ Án Tốt Nghiệp: Quản lý xác thực tập trung với dịch vụ LDAP Linux Trang 35/164

TRƢỜNG CAO ĐẲNG NGHỀ CNTT iSPACE
240 Võ Văn Ngân, QuậnThủ Đức, TP. Hồ Chí Minh
ĐT: 08.6. 2678999 Fax: 08 – 6261 0304
Vì sự quá tải của những domain name đã tồn tại, do đó đã làm phát sinh những
top-level domain mới.
Tên miền

Mô tả

.arts
.nom

Những tổ chức liên quan đến nghệ thuật và kiến trúc
Những địa chỉ cá nhân và gia đình

.rec
.firm
.info

Những tổ chức có tính chất giải trí, thể thao
Những tổ chức kinh doanh, thƣơng mại
Những dịch vụ liên quan đến thông tin

Bên cạnh đó, mỗi nƣớc cũng có một top-level domain. Ví dụ top-level domain của
Việt Nam là .vn, Mỹ là .us, ….. Mỗi quốc gia khác nhau có cơ chế tổ chức phân
cấp domain khác nhau.
2. Cách phân bổ dữ liệu quản lý domain name:
Những root nameserver (.) quản lý những top-level domain trên internet. Tên máy
và địa chỉ IP của những nameserver này đƣợc công bố cho mọi ngƣời biết, chúng
đƣợc liệt kê trong bảng sau:

Tên máy tính

Địa chỉ IP

a.root-servers.net.
b.root-servers.net.
c.root-servers.net.
d.root-servers.net.
e.root-servers.net.

198.41.0.4
128.9.0.107
192.33.4.12
128.8.10.90
192.203.230.10

f.root-servers.net.

192.5.5.241

g.root-servers.net.

192.112.36.4

h.root-servers.net.

128.63.2.53

i.root-servers.net.

192.36.148.17

j.root-servers.net.

192.58.128.30

k.root-servers.net.

193.0.14.129

l.root-servers.net.

198.32.64.12

m.root-servers.net.

202.12.27.33

Khoa CNTT – Đồ Án Tốt Nghiệp: Quản lý xác thực tập trung với dịch vụ LDAP Linux Trang 36/164

TRƢỜNG CAO ĐẲNG NGHỀ CNTT iSPACE
240 Võ Văn Ngân, QuậnThủ Đức, TP. Hồ Chí Minh
ĐT: 08.6. 2678999 Fax: 08 – 6261 0304
Thông thƣờng một tổ chức đƣợc đăng ký một hay nhiều domain name. Sau đó,
mỗi tổ chức sẽ cài đặt một hay nhiều nameserver và duy trì cơ sở dữ liệu cho tất
cả những máy tính trong domain. Những nameserver của tổ chức đƣợc đăng ký
trên internet. Một trong những nameserver này đƣợc biết nhƣ là Primary Server.
Nhiều Secondary Name Server đƣợc dung để làm backup cho Primary Name
Server. Trong trƣờng hợp Primary bị lỗi, Secondary đƣợc sử dụng để phân giải
tên miền. Primary Name Server có thể tạo ra những subdomain và ủy quyền
những subdomain này cho những nameserver khác.
3. Phân giải thuận:
Vai trò của Root Name Server: là máy chủ quản lý các name server ở mức toplevel domain.
Khi có truy vấn về một tên miền nào đó thì root name server phải cung cấp tên và
địa chỉ IP của name server quản lý top-level domain mà tên miền này thuộc vào.
Có hai loại truy vấn:
Truy vấn đệ quy: bắt buộc phải trả về kết quả tìm đƣợc hoặc thông báo lỗi
nếu nhƣ truy vấn này không phân giải đƣợc.
Truy vấn tƣơng tác: trả lời cho resolver thông tin tốt nhất mà nó có đƣợc vào
thời điểm lúc đó.
4. Phân giải nghịch:
Ánh xạ địa chỉ IP thành tên máy tính đƣợc dùng trong một số trƣờng hợp chứng
thực trên hệ thống UNIX/LINUX.
Không gian có tên miền in-addr.arpa là một nhánh tên miền bổ sung đƣợc lập chỉ
mục theo địa chỉ IP.
Mỗi nút trong miền in-addr.arpa có tên nhãn là chỉ số thập phân của địa chỉ IP.
5. Sự khác nhau giữa Zone và Domain:
Zone: bao gồm một domain hay nhiều subdomain.
Domain : bao gồm nhiều subdomain và zone.

Khoa CNTT – Đồ Án Tốt Nghiệp: Quản lý xác thực tập trung với dịch vụ LDAP Linux Trang 37/164

TRƢỜNG CAO ĐẲNG NGHỀ CNTT iSPACE
240 Võ Văn Ngân, QuậnThủ Đức, TP. Hồ Chí Minh
ĐT: 08.6. 2678999 Fax: 08 – 6261 0304

Hình 18: Zone và Domain
6. Chứng nhận tên miền:
FULL QUALIFIED DOMAIN NAME (FQDN):
Một tên miền đầy đủ của một nút chính là chuỗi tuần tự các tên gọi của nút
hiện tại đi ngƣợc lên gốc, mỗi tên gọi cách nhau bởi dấu chấm
Tên tuyệt đối (là tên có xuất hiện dấu chấm sau cùng) cũng đƣợc xem là tên
miền đầu đủ đã đƣợc chứng nhận.
7. Phân loại Domain Name Server:
MASTER NAME SERVER:
Mỗi miền phải có một Master Name Server. Ngƣời quản trị DNS sẽ tổ chức
những tập tin CSDL trên Master Name Server. Server này có nhiệm vụ phân
giải tất cả các máy trong miền hay zone.
SLAVE NAME SERVER:
Có nhiệm vụ sao lƣu những dữ liệu trên Master Name Server. Có thể có một
hay nhiều Slave Name Server.
CACHING NAME SERVER:

Khoa CNTT – Đồ Án Tốt Nghiệp: Quản lý xác thực tập trung với dịch vụ LDAP Linux Trang 38/164

TRƢỜNG CAO ĐẲNG NGHỀ CNTT iSPACE
240 Võ Văn Ngân, QuậnThủ Đức, TP. Hồ Chí Minh
ĐT: 08.6. 2678999 Fax: 08 – 6261 0304
Không có bất kỳ tập tin CSDL nào. Nó có chức năng phân giải tên máy trên
những mạng ở xa thông qua những Name Server khác.
Làm tăng tốc độ phân giải bằng cách sử dụng cache.
Giảm bớt gánh nặng phân giải tên máy cho name server.
Giảm việc lƣu thông trên những mạng lớn.
8. Sự ủy quyền (Delegation domain)
Thông thƣờng, miền cha cung cấp các domain cho miền con dƣới hình thức ủy
quyền cho miền con tự quản lý và tổ chức CLDS cho miền con.

Hình 19: Delegation Domain
9. Resource record:
Record SOA (Start of Authority):
Trong mỗi tập tin CSDL phải có một và chỉ một record SOA.
Record SOA chỉ ra rằng máy chủ name server là nơi cung cấp thông tin tin
cậy từ dữ liệu có trong zone
Cú pháp:
[tên-miền] IN SOA [tên-server-dns] [địa chỉ email] (
serial number;
Khoa CNTT – Đồ Án Tốt Nghiệp: Quản lý xác thực tập trung với dịch vụ LDAP Linux Trang 39/164

TRƢỜNG CAO ĐẲNG NGHỀ CNTT iSPACE
240 Võ Văn Ngân, QuậnThủ Đức, TP. Hồ Chí Minh
ĐT: 08.6. 2678999 Fax: 08 – 6261 0304
refresh number;
retry number;
experi number;
time-to-live number; )
serial number: Khi một Slave Server liên lạc với Master Server để lấy dữ liệu,
trƣớc tiên nó sẽ kiểm tra số serial. Nếu số serial của master lớn hơn tức là
dữ liệu đã hết hạn sử dụng và nó sẽ load lại dữ liệu mới. Thông thƣờng ta
định dạng theo thời gian nhƣ sau:
YYYYMMDDNN
Ví dụ: 2004122901
refresh number: Khoảng thời gian (giây) mà Slave Server kiểm tra dữ liệu
trên Master Server để cập nhật.
Ví dụ: 10800 ; Refresh sau 3 giờ.
retry number: Nếu Slave Server không thể kết nối với Master Server sau một
khoảng thời gian refresh thì nó sẽ cố gắng kết nối lại sau retry giây. Giá trị
này nhỏ hơn giá trị refresh.
Ví dụ: 3600 ; Retry sau 1 giờ
experi number: Nếu Slave Server không thể kết nối với Master Server sau
khoảng thời gian expire (giây) này, thì Slave Server sẽ không trả lời mọi truy
vấn về zone này nữa, vì nó cho rằng dữ liệu này đã quá cũ. Giá trị này phải
lớn hơn giá trị refresh và retry.
Ví dụ: 604800 ; Expire sau 1 tuần.
time-to-live number: giá trị này đƣợc dùng cho tất cả các record trong tập tin
cơ sở dữ liệu. Giá trị này cho phép những server khác cache lại dữ liệu trong
1 khoảng thời gian xác định TTL.
Ví dụ : 86400 ; TTL là 1 ngày
Record NS (Name Server):
Khoa CNTT – Đồ Án Tốt Nghiệp: Quản lý xác thực tập trung với dịch vụ LDAP Linux Trang 40/164

TRƢỜNG CAO ĐẲNG NGHỀ CNTT iSPACE
240 Võ Văn Ngân, QuậnThủ Đức, TP. Hồ Chí Minh
ĐT: 08.6. 2678999 Fax: 08 – 6261 0304
Mỗi name server cho zone sẽ có một NS record.
Cú pháp:
[tên-domain] IN NS [DNS Server]
Ví dụ:
thanhlong.com. IN NS dns-svr.thanhlong.com.
Khai báo trên chỉ ra name server quản lý dữ liệu cho miền thanhlong.com là
dns-svr.thanhlong.com.
Record A (Address):
Ánh xạ tên máy thành địa chỉ IP.
Cú pháp:
[tên máy] IN A [địa chỉ IP]
Ví dụ:

dns-svr.thanhlong.com.

IN A 172.31.0.3

ldap-svr1.thanhlong.com. IN A 172.31.0.1
Record CNAME (Canonical Name):
Tạo tên bí danh trỏ vào một tên canonical
Cú pháp:
[tên máy alias] IN CNAME [tên máy gốc]
Ví dụ:

www.thanhlong.com. IN CNAME mail-svr.thanhlong.com.

Record MX (Mail Exchanger):
DNS dùng record MX trong việc chuyển mail trên mạng Internet.
Cú pháp:
[tên-domain] IN MX [độ ưu tiên] [tên mail server]
Ví dụ:

thanhlong.com IN MX 0 mail-svr.thanhlong.com.

Khoa CNTT – Đồ Án Tốt Nghiệp: Quản lý xác thực tập trung với dịch vụ LDAP Linux Trang 41/164

TRƢỜNG CAO ĐẲNG NGHỀ CNTT iSPACE
240 Võ Văn Ngân, QuậnThủ Đức, TP. Hồ Chí Minh
ĐT: 08.6. 2678999 Fax: 08 – 6261 0304
Record PTR (Pointer):
Dùng để ánh xạ địa chỉ IP vào tên.
Cú pháp:
[địa chỉ IP] IN PTR [tên máy]
Ví dụ:
1.0.31.172.in-addr.arpa IN PTR ldap-svr.thanhlong.com.
hoặc
1

IN

PTR

ldap-svr.thanhlong.com

10. Giới thiệu phần mềm BIND:
Hầu hết các phiên bản của Linux sử dụng phần mềm Bind là DNS server.
Một số package của BIND:
bind-9.3.6-4.P1.el5: là package chính của DNS Server, cung cấp file cấu hình
dịch vụ, file script để cài đặt hệ thống DNS.
bind-libs-9.3.6-4.P1.el5: cung cấp các thƣ viện trợ giúp cho DNS Server.
bind-utils-9.3.6-4.P1.el5: cung cấp các tiện ích tích hợp cho DNS Server.
bind-chroot-9.3.6-4.P1.el5: là package cung cấp một số tính năng bảo mật
mới để giới hạn truy xuất file cấu hình của dịch vụ DNS.
Một số tập tin cấu hình:
/etc/named.conf
/var/named/
Tên tập tin

Ý nghĩa

/var/named/zone_file

Khai báo zone file, chỉ định tùy chọn cấu hình

named.conf

Khai báo zone thuận và zone nghịch

named.ca

Chứa các root name server

named.empty

Chỉ định CSDL cho zone 0.in-addr.arpa

Khoa CNTT – Đồ Án Tốt Nghiệp: Quản lý xác thực tập trung với dịch vụ LDAP Linux Trang 42/164

TRƢỜNG CAO ĐẲNG NGHỀ CNTT iSPACE
240 Võ Văn Ngân, QuậnThủ Đức, TP. Hồ Chí Minh
ĐT: 08.6. 2678999 Fax: 08 – 6261 0304
named.localhost

CSDL của zone thuận localhost

named.loopback

CSDL của zone nghịch

Các bƣớc cấu hình DNS
Khai báo zone trong tập tin /etc/named.conf.
Khai báo resource record cho zone thuận và zone nghịch.
Hiệu chỉnh các tùy chọn cho dịch vụ DNS trong tập tin /etc/named.conf.
Cấu hình DNS Client.
Kiểm tra hoạt động.
Khai báo zone trong tập tin /etc/named.conf:
Zone: Định nghĩa một zone để quản lý CSDL cho miền hay miền con. Thông
thƣờng khi cấu hình, ta khai báo hai zone: zone thuận và zone nghịch.
Cú pháp:
zone “tên_miền" {
type master/slave/hint/stub;
[ masters {Đ/c IP của Primary Name server;};]
file “tên_file_CSDL";
};
type: chỉ ra loại name server.
master: chỉ ra địa chỉ IP của master name server.
file: chỉ định tập tin mô tả các resource record.
Ví dụ: Để cấu hình cho zone thuận thanhlong.com và zone nghịch
0.31.172.in-addr.arpa, ta khai báo nhƣ sau:
Khoa CNTT – Đồ Án Tốt Nghiệp: Quản lý xác thực tập trung với dịch vụ LDAP Linux Trang 43/164

TRƢỜNG CAO ĐẲNG NGHỀ CNTT iSPACE
240 Võ Văn Ngân, QuậnThủ Đức, TP. Hồ Chí Minh
ĐT: 08.6. 2678999 Fax: 08 – 6261 0304
//zone thuận
zone “thanhlong.com" {
type master;
file “db.thanhlong.com";
allow-query { any; };
};
//zone nghịch
zone “0.31.172.in-addr.arpa" {
type master;
file “db.172.31.0";
allow-query { any; };
};
Cấu hình zone file:
Tạo tập tin CSDL phân giải tên máy tính thành địa chỉ IP
Tạo tập tin CSDL phân giải địa chỉ IP thành tên máy tính
Tập tin CSDL phân giải thuận

Khoa CNTT – Đồ Án Tốt Nghiệp: Quản lý xác thực tập trung với dịch vụ LDAP Linux Trang 44/164

TRƢỜNG CAO ĐẲNG NGHỀ CNTT iSPACE
240 Võ Văn Ngân, QuậnThủ Đức, TP. Hồ Chí Minh
ĐT: 08.6. 2678999 Fax: 08 – 6261 0304

Hình 20: File cấu hình zone thuận
Tập tin CSDL phân giải nghịch

Hình 21: File cấu hình zone nghịch
Cấu hình DNS Client:
Cấu hình DNS Client để có thể sử dụng công cụ nslookup để kiểm tra hoạt
động của name server vừa cấu hình.
Trong Linux, những thông số cấu hình DNS Client đƣợc lƣu trong tập tin
/etc/resolv.conf.
Nội dung tập tin /etc/resolv.conf
nameserver [địa chỉ IP của Name-Server]
search [tên miền]
Khoa CNTT – Đồ Án Tốt Nghiệp: Quản lý xác thực tập trung với dịch vụ LDAP Linux Trang 45/164

TRƢỜNG CAO ĐẲNG NGHỀ CNTT iSPACE
240 Võ Văn Ngân, QuậnThủ Đức, TP. Hồ Chí Minh
ĐT: 08.6. 2678999 Fax: 08 – 6261 0304
Ví dụ :
nameserver 172.31.0.3
search thanhlong.com
Kiểm tra hoạt động:
Các công cụ giúp kiểm tra cấu hình DNS là lệnh nslookup, lệnh host, lệnh named-checkconf,
lệnh named-checkzone.
Lệnh named-checkconf named.conf kiểm tra lỗi trên tập tin cấu hình zone.
Lệnh named-checkzone –d “zonename” zonefile.zone để kiểm tra lỗi trong
tập tin phân giải thuận.
Lệnh named-checkzone –d “reversezonename” zonefile.rev kiểm tra lỗi trên
file phân giải nghịch.
Lệnh nslookup
# nslookup
Lệnh host kiểm tra DNS tƣơng đƣơng với lệnh nslookup
# host www.thanhlong.com

II. Dịch vụ FTP (File Transfer Protocol):
1. Giới thiệu:
FTP là từ viết tắt của File Transfer Protocol. Giao thức này đƣợc xây dựng dựa
trên chuẩn TCP/IP, FTP cung cấp cơ chế truyền tin dƣới dạng tập tin (file) thông
qua mạng TCP/IP, FTP là một dịch vụ đặc biệt vì nó dùng đến 02 cổng: cổng 20
dùng để truyền dữ liệu (data port) và cổng 21 dùng để truyền lệnh (command
port).
2. Mô hình hoạt động:
FTP có 02 chế độ hoạt động đó là: Active FTP (chế độ chủ động) và Passive FTP
(chế độ thụ động).
Active FTP:
Khoa CNTT – Đồ Án Tốt Nghiệp: Quản lý xác thực tập trung với dịch vụ LDAP Linux Trang 46/164

TRƢỜNG CAO ĐẲNG NGHỀ CNTT iSPACE
240 Võ Văn Ngân, QuậnThủ Đức, TP. Hồ Chí Minh
ĐT: 08.6. 2678999 Fax: 08 – 6261 0304
Ở chế độ chủ động (active), máy khách FTP (FTP Client) dùng một cổng ngẫu
nhiên không dành riêng (cổng N > 1024) kết nối vào cổng 21 của FTP Server.
Sau đó, máy khách lắng nghe trên cổng N + 1 và gởi lệnh PORT N + 1 đến
FTP Server. Tiếp theo từ cổng dữ liệu của mình, FTP Server sẽ kết nối ngƣợc
lại vào cổng dữ liệu của Client đã khai báo trƣớc đó (tức là N + 1).
Ở khía cạnh Firewall, để FTP Server hổ trợ chế độ active các kênh truyền sau
phải mở:
Cổng 21 phải đƣợc mở cho bất cứ nguồn gửi nào (để Client khởi tạo kết
nối).
FTP Server‟s port 21 to ports > 1024 (Server trả lời về cổng điều khiển của
Client).
Cho kết nối từ cổng 20 của FTP Server đến các cổng > 1024 (Server khởi
tạo kết nối vào cổng dữ liệu của Client).
Nhận kết nối hƣớng đến cổng 20 của FTP Server từ các cổng > 1024
(Client gửi xác nhận ACKs đến cổng data của Server).

Hình 22: Sơ đồ kết nối active FTP
Bƣớc 1: Client khởi tạo kết nối vào cổng 21 của Server và gửi lệnh PORT
1027.
Bƣớc 2: Server gửi xác nhận ACK về cổng lệnh của Client.
Bƣớc 3: Server khởi tạo kết nối từ cổng 20 của mình đến cổng dữ liệu mà
Client đã khai báo trƣớc đó.
Bƣớc 4: Client gửi phản hồi cho Server.
Khoa CNTT – Đồ Án Tốt Nghiệp: Quản lý xác thực tập trung với dịch vụ LDAP Linux Trang 47/164

TRƢỜNG CAO ĐẲNG NGHỀ CNTT iSPACE
240 Võ Văn Ngân, QuậnThủ Đức, TP. Hồ Chí Minh
ĐT: 08.6. 2678999 Fax: 08 – 6261 0304
Passive FTP:
Để giải quyết vấn đề là Server phải tạo kết nối đến Client, một phƣơng thức kết
nối FTP khác đã đƣợc phát triển. Phƣơng thức này gọi là FTP thụ động
(passive) hoặc PASV (là lệnh mà client gửi cho Server để báo cho biết là nó
đang ở chế độ passive).
Ở chế độ thụ động, FTP client tạo kết nối đến Server, tránh vấn đề Firewall lọc
kết nối đến cổng của máy bên trong từ Server. Khi kết nối FTP đƣợc mở,
Client sẽ mở 02 cổng không dành riêng N, N + 1 (N > 1024). Cổng thứ nhất
dùng để liên lạc với cổng 21 của Server, nhƣng thay vì gửi lệnh PORT và sau
đó là server kết nối ngƣợc về client, thì lệnh PASV đƣợc phát ra. Kết quả là
server sẽ mở 01 cổng không dành riêng bất kỳ P (P > 1024) và gửi lệnh PORT
P ngƣợc về cho client. Sau đó client sẽ khởi tạo kết nối từ cổng N + 1 vào cổng
P trên server để truyền dữ liệu.
Từ quan điểm Firewall trên server FTP, để hổ trợ FTP chế độ passive, các
kênh truyền sau phải đƣợc mở:
Cổng FTP 21 của server nhận kết nối từ bất kỳ nguồn nào (cho client khởi
tạo kết nối).
Cho phép trả lời từ cổng 21 FTP server đến cổng bất kỳ trên 1024 (Server
trả lời cho cổng Control của Client).
Nhận kết nối trên cổng FTP server > 1024 từ bất cứ nguồn nào (Client tạo
kết nối để truyền dữ liệu đến cổng ngẫu nhiên mà server đã chỉ ra).
Cho phép trả lời từ cổng FTP server > 1024 đến các cổng > 1024 (Server
gửi xác nhận ACKs đến cổng dữ liệu của Client).

Khoa CNTT – Đồ Án Tốt Nghiệp: Quản lý xác thực tập trung với dịch vụ LDAP Linux Trang 48/164

TRƢỜNG CAO ĐẲNG NGHỀ CNTT iSPACE
240 Võ Văn Ngân, QuậnThủ Đức, TP. Hồ Chí Minh
ĐT: 08.6. 2678999 Fax: 08 – 6261 0304

Hình 23: Sơ đồ kết nối passive FTP
Bƣớc 1: Client kết nối vào cổng lệnh của Server và phát lệnh PASV.
Bƣớc 2: Server trả lời bằng lệnh PORT 2024, cho Client biết cổng 2024
đang mở để nhận kết nối dữ liệu.
Bƣớc 3: Client tạo kết nối truyền dữ liệu từ cổng dữ liệu của nó đến cổng
dữ liệu 2024 của server.
Bƣớc 4: Server trả lời xác nhận ACK về cho cổng dữ liệu của Client.
Trong khi FTP ở chế độ thụ động giải quyết đƣợc vấn đề phía Client thì nó lại
gây ra nhiều vấn đề khác ở phía Server. Thứ nhất là cho phép máy ở xa kết
nối vào cổng bất kỳ > 1024 của Server. Điều này khá nguy hiểm trừ khi FTP
cho phép mô tả dãy các cổng >= 1024 mà FTP server sẽ dùng.
Vấn đề thứ hai là một số FTP client lại không hổ trợ chế độ thụ động. Khi đó
cần phải có thêm trình FTP client. Hầu hết các trình duyệt Web chỉ hổ trợ FTP
thụ động khi truy cập FTP server theo đƣờng dẫn URL ftp://.
3. Chƣơng trình FTP Client:
Là chƣơng trình giao tiếp với FTP server, hầu hết các hệ điều hành đều hổ trợ
FTP client, trên Linux hoặc trên Windows để mở kết nối tới FTP server ta dùng
lệnh: ftp <ftp_address>.
Để thiết lập một phiên giao dịch, ta cần phải có địa chỉ IP (hoặc tên máy tính), một
tài khoản (username, password). Username mà FTP hổ trợ sẳn cho ngƣời dùng
để mở một giao dịch FTP có tên là: anonymous với password rỗng.
Khoa CNTT – Đồ Án Tốt Nghiệp: Quản lý xác thực tập trung với dịch vụ LDAP Linux Trang 49/164

TRƢỜNG CAO ĐẲNG NGHỀ CNTT iSPACE
240 Võ Văn Ngân, QuậnThủ Đức, TP. Hồ Chí Minh
ĐT: 08.6. 2678999 Fax: 08 – 6261 0304
4. Một số tập lệnh của FTP Client:
TÊN LỆNH

CÚ PHÁP

Ý NGHĨA

? hoặc lệnh help

? [Command]

Hiển thị giúp đỡ về [Command]

append

Append local-file[remote-file]

Ghép 1 file cục bộ với 1 file
trên server.

ascii

ASCII

Chỉ định kiểu truyền file là ascii
(đây là kiểu truyền mặc định)

binary

Binary

Chỉ định kiểu truyền file là
binary (đây là kiểu truyền mặc
định)

Bye

Bye

Kết thúc FTP session

Cd

cd remote-directory

Thay đổi đƣờng dẫn thƣ mục
trên FTP server

delete

delete remote-file

Xóa file trên FTP server

Dir

dir remote-directory

Liệt kê danh sách file

Get

get remote-file [local-file]

Download file từ FTP server về
máy cục bộ

Lcd

lcd [directory]

Thay đổi thƣ mục trên máy cục
bộ

Ls

ls [remote directory] [local file]

Liệt kê các tập tin và thƣ mục

mdelete

mdelete remote-file […]

Xóa nhiều file

Mget

mget remote-file […]

Download nhiều file

Mkdir

mkdir directory

Tạo thƣ mục

Put

put local-file [remote-file]

Upload tập tin

Mput

mput local-file […]

Upload nhiều tập tin

Open

open computer [port]

Kết nối tới FTP server

Prompt

Prompt

Tắt cơ chế confirm sau mỗi lần
download file

Disconnect

Disconnect

Hủy kết nối FTP

Pwd

Pwd

Xem thƣ mục hiện tại

Quit

Quit

Thoát khỏi FTP session

Recv

recv remote-file [local file]

Copy file từ remote về local

Rename

rename filename newfilename

Thay đổi tên file

Rmdir

rmdir directory

Xóa thƣ mục

Send

send local-file [remote-file]

Copy file từ local đến remote

User

user user-name [password]
[account]

Chuyển đổi user khác

Khoa CNTT – Đồ Án Tốt Nghiệp: Quản lý xác thực tập trung với dịch vụ LDAP Linux Trang 50/164

TRƢỜNG CAO ĐẲNG NGHỀ CNTT iSPACE
240 Võ Văn Ngân, QuậnThủ Đức, TP. Hồ Chí Minh
ĐT: 08.6. 2678999 Fax: 08 – 6261 0304
Chúng ta có thể sử dụng trình duyệt web để kết nối với FTP server theo cú pháp
sau: ftp://<địa chỉ FTP_server>.
5. Cài đặt và cấu hình FTP:
vsftpd (Very Secure FTP Daemon): là một phần mềm làm FTP server đƣợc tích
hợp chung với hệ điều hành Linux. vsftpd đƣợc phát triển xoay quanh tính năng
truy cập nhanh, ổn định và an toàn, hỗ trợ nhiều kết nối đồng thời đến FTP Server.
Sau đây liệt kê những tập tin và thƣ mục thƣờng đƣợc quan tâm khi cấu hình
vsftpd server:
/etc/pam.d/vsftpd: Tập tin cấu hình PAM cho vsftpd. Tập tin này định nghĩa
những yêu cầu mà ngƣời dùng phải cung cấp khi đăng nhập vào ftp server.
/etc/vsftpd/vsftpd.conf: Tập tin cấu hình vsftpd server.
/etc/vsftpd/ftpusers: Liệt kê những ngƣời dùng không đƣợc login vào vsftpd.
Mặc định danh sách những ngƣời dùng này gồm root, bin, daemon…
/etc/vsftpd/user_list: Tập tin này đƣợc cấu hình để cấm hay cho phép những
ngƣời dùng đƣợc liệt kê truy cập ftp server, điều này phụ thuộc vào tùy chọn
userlist_deny đƣợc xét YES hay NO trong tập tin vsftpd.conf. Nếu những
ngƣời dùng đã liệt kê trong tập tin này thì không đƣợc xuất hiện trong
vsftpd.ftpusers.
/var/ftp/: Thƣ mục chứa những tập tin đáp ứng cho vsftpd, nó cũng chức thƣ
mục pub cho ngƣời dung anonymous. Thƣ mục này chỉ có thể đọc, chỉ có root
mới có khả năng ghi.
Sau khi cài đặt vsftpd hoặc sau khi chúng ta hay đổi cấu hình, ta phải kích hoạt
dịch vụ FTP. Quá trình khởi động lại sẽ giúp cho daemon vsftpd cập nhật lại các
thông số mà ta đã thay đổi, sử dụng lệnh chkconfig vsftpd on để đặt dịch vụ FTP là
system services. Một số lệnh cần sử dụng khi ta muốn khởi động lại dịch vụ FTP:
#service vsftpd start/stop/restart
#/etc/init.d/vsftpd start/stop/restart
Khoa CNTT – Đồ Án Tốt Nghiệp: Quản lý xác thực tập trung với dịch vụ LDAP Linux Trang 51/164

TRƢỜNG CAO ĐẲNG NGHỀ CNTT iSPACE
240 Võ Văn Ngân, QuậnThủ Đức, TP. Hồ Chí Minh
ĐT: 08.6. 2678999 Fax: 08 – 6261 0304
Mặc định dịch vụ FTP sử dụng phần mềm vsftpd cho phép ngƣời dung
anonymous, ngƣời dung cục bộ hệ thống đƣợc quyền login vào ftp_server, chỉ có
user root và những user khác có UID<100 không đƣợc login.
Đối với anonymous đƣợc login vào ftp_server và có thƣ mục gốc /var/ftp với
quyền truy xuất read (đọc và truy xuất dữ liệu).
Đối với ngƣời dùng cục bộ (localuser) đƣợc quyền login vào dịch vụ ftp và có thƣ
mục ftp root là /home/username (username là tên user login) với quyền read &
write.
Tất cả những cấu hình của vsftpd đƣợc lƣu giữ trong tập tin cấu hình
/etc/vsftpd/vsftpd.conf. Mỗi tùy chọn trong tập tin có định dạng sau: <tùy
chọn>=<value>. Những dòng chú thích đƣợc đánh dấu #.
Daemon:
Listen: Khi nó có giá trị YES thì vsftpd chạy trong chế độ standalone. Thuộc
tính này không đƣợc xét với listen_ipv6, mặc định có giá trị là YES.
Đăng nhập và điều khiển truy cập:
anonymous_enable: nếu tùy chọn này có giá trị là YES thì ngƣời dùng
anonymous đƣợc phép login vào, giá trị mặc định là YES.
banned_email_file: nếu tùy chọn deny_email_enable đƣợc xét là YES, tùy
chọn này chỉ ra tập tin chứa danh sách những password email của anonymous
không

cho

phép

truy

cập

đến

server,

giá

trị

mặc

định:

/etc/vsftpd/banned_emails.
banner_file: chỉ ra tập tin text sẽ đƣợc hiển thị khi kết nối đến server đƣợc thiết
lập.
cmds_allowed: chỉ ra danh sách những lệnh ftp (phân cách nhau bở dấu phẩy)
đƣợc cho phép bởi ftp server. Tất cả những lệnh khác sẽ bị từ chối.
deny_email_enable: nếu tùy chọn này có giá trị là YES thì ngƣời dùng
anonymous

sử

dụng

password

đƣợc

chỉ

ra

trong

tập

tin

/etc/vsftpd/banned_emails bị cấm truy cập đến server, giá trị mặc định là NO.
Khoa CNTT – Đồ Án Tốt Nghiệp: Quản lý xác thực tập trung với dịch vụ LDAP Linux Trang 52/164

TRƢỜNG CAO ĐẲNG NGHỀ CNTT iSPACE
240 Võ Văn Ngân, QuậnThủ Đức, TP. Hồ Chí Minh
ĐT: 08.6. 2678999 Fax: 08 – 6261 0304
ftpd_banner: nếu tùy chọn này có giá trị là YES thì chuỗi đƣợc chỉ ra trong tùy
chọn này sẽ hiển thị khi ngƣời dùng thiết lập kết nối với server. Tùy chọn này
sẽ ghi đè lên banner_file. Mặc định vsftpd hiển thị banner chuẩn.
local_enable: nếu tùy chọn này có giá trị là YES thì những ngƣời dùng cục bộ
đƣợc login vào hệ thống.
userlist_deny: đƣợc sử dụng khi tùy chọn userlist_enable đƣợc đặt là NO, tất
cả những ngƣời dùng cục bộ bị cấm truy cập trừ những ngƣời dùng đƣợc chỉ
ra trong userlist_file. Bởi vì những truy cập bị cấm trƣớc khi client đƣợc yêu
cầu nhập vào password, đặt tùy chọn này là NO để ngăn chặn những ngƣời
dùng cục bộ gửi password không mã hóa trên mạng.
userlist_enable: nếu tùy chọn này có giá trị YES thì những ngƣời dùng đƣợc
chỉ ra trong tập tin userlist_file bị cấm truy cập. Bởi vì client bị cấm trƣớc khi
client nhập password, ngƣời dùng bị ngăn chặn gửi password không mã hóa
trên mạng, mặc định là YES.
Ngƣời dùng anonymous:
anon_mkdir_write_enable: nếu tùy chọn này có giá trị là YES và kết hợp với
write_enable=YES thì ngƣời dùng anonymous đƣợc phép tạo thƣ mục mới
trong thƣ mục cha có quyền write.
anon_other_write_enable: nếu tùy chọn này có giá trị là YES và kết hợp với
write_enable=YES thì ngƣời dùng anonymous đƣợc phép xóa và đổi tên thƣ
mục.
anon_root: chỉ ra thƣ mục vsftpd trao đổi khi ngƣời dùng anonymous login vào.
anon_upload_enable: nếu tùy chọn này có giá trị là YES và cùng với
write_enable=YES thì ngƣời dùng anonymous đƣợc phép upload tập tin trong
thƣ mục cha với quyền ghi.
anon_world_readable_only: nếu tùy chọn này có giá trị là YES thì ngƣời dùng
anonymous chỉ đƣợc phép download những tập tin có quyền đọc.
Ngƣời dùng cục bộ:
Khoa CNTT – Đồ Án Tốt Nghiệp: Quản lý xác thực tập trung với dịch vụ LDAP Linux Trang 53/164

TRƢỜNG CAO ĐẲNG NGHỀ CNTT iSPACE
240 Võ Văn Ngân, QuậnThủ Đức, TP. Hồ Chí Minh
ĐT: 08.6. 2678999 Fax: 08 – 6261 0304
Những tùy chọn liệt kê sau đây sẽ ảnh hƣởng đến cách truy cập của ngƣời
dùng cục bộ đến server. Để sử dụng những tùy chọn này, tùy chọn
local_enable=YES.
Local_enable: cho phép ngƣời dùng cục bộ truy cập đến ftp server.
chmod_enable: cho phép ngƣời dùng đƣợc phép thay đổi quyền hạn trên tập
tin.
chroot_local_user: nếu tùy chọn này có giá trị là YES thì ngƣời dùng có thể di
chuyển đến home directory của họ sau khi login vào.
local_root: chỉ ra thƣ mục vsftpd sau khi ngƣời dùng cục bộ login vào.

III. Dịch vụ Web:
1. Giới thiệu giao thức HTTP:
HTTP là một giao thức cho phép trình duyệt Web Browser và servers có thể giao
tiếp với nhau. Nó chuẩn hóa các thao tác cơ bản mà một Web server phải làm
đƣợc.
HTTP bắt đầu là một giao thức đơn giản giống nhƣ với các giao thức chuẩn khác
trên Internet, thông tin điều khiển đƣợc truyền dƣới dạng văn bản thô thông qua
kết nối TCP. Do đó, kết nối HTTP có thể thay thế bằng cách dùng lệnh “telnet”
chuẩn.
Ví dụ:
> telnet www.ispace.edu.vn 80
GET /index.html HTTP/1.0
Cổng 80 là cổng mặc định dành cho Web server “lắng nghe” các kết nối đƣợc gửi
đến. Để đáp ứng lệnh HTTP GET, Web server trả về cho client trang “index.html”
thông qua phiên làm việc telnet này và sau đó đóng kết nối. Thông tin trả về dƣới
dạng các tag HTML:
<HTML>
<HEAD>
<TITLE>ispace Homepage</TITLE>
</HEAD>
[……..]
Khoa CNTT – Đồ Án Tốt Nghiệp: Quản lý xác thực tập trung với dịch vụ LDAP Linux Trang 54/164

TRƢỜNG CAO ĐẲNG NGHỀ CNTT iSPACE
240 Võ Văn Ngân, QuậnThủ Đức, TP. Hồ Chí Minh
ĐT: 08.6. 2678999 Fax: 08 – 6261 0304
</HTML>
Giao thức chỉ thực thi đơn giản hai thao tác yêu cầu / đáp ứng (request /
response). Một trong các thay đổi lớn nhất trong HTML/1.1 là nó hổ trợ kết nối lâu
dài (persistent connection).

Hình 20: Hoạt động của giao thức HTTP
Trong HTTP/1.0, một kết nối phải đƣợc thiết lập đến server cho mỗi đối tƣợng mà
Browser muốn download. Nhiều trang Web có rất nhiều hình ảnh, ngoài việc tải
trang HTML cơ bản, browser phải lấy về một số lƣợng hình ảnh. Nhiều cái trong
chúng thƣờng là nhỏ hoặc chỉ đơn thuần là để trang trí cho phần còn lại của trang
HTML. Thiết lập một kết nối cho mỗi hình ảnh thật lãng phí, vì sẽ có nhiều gói
thông tin mạng sẽ đƣợc luân chuyển giữa Web browser và Web server trƣớc khi
dữ liệu ảnh đƣợc truyền về.
Ngƣợc lại, mở một kết nối TCP truyền tài liệu HTML và sau đó mỗi hình ảnh sẽ
truyền nối tiếp theo nhƣ thế sẽ thuận tiện hơn và quá trình thiết lập các kết nối
TCP sẽ đƣợc giảm xuống.
2. Web server và hoạt động:

Khoa CNTT – Đồ Án Tốt Nghiệp: Quản lý xác thực tập trung với dịch vụ LDAP Linux Trang 55/164

TRƢỜNG CAO ĐẲNG NGHỀ CNTT iSPACE
240 Võ Văn Ngân, QuậnThủ Đức, TP. Hồ Chí Minh
ĐT: 08.6. 2678999 Fax: 08 – 6261 0304
Ban đầu Web server chỉ phục vụ các tài liệu HTML và hình ảnh đơn giản. Tuy
nhiên, đến thời điểm hiện tại nó có thể làm nhiều hơn thế. Đầu tiên xét Web server
ở mức độ cơ bản, nó chỉ phục vụ các nội dung tĩnh. Nghĩa là khi web server nhận
một yêu cầu từ web browser http://www.ispace.edu.vn/index.html, nó sẽ ánh xạ
đƣờng dẫn này (Uniform Resource Locator – URL) thành một tập tin cục bộ trên
máy web server.
Máy chủ sau đó sẽ nạp tập tin này từ đĩa và đƣa nó thông qua mạng đến web
browser của ngƣời dùng. Web browser và web server sử dụng giao thức HTTP
trong quá trình trao đổi dữ liệu. Các trang tài liệu HTML là một văn bản thô (raw
text). Chúng chứa các thẻ định dạng (HTML tag).
Ví dụ:
<html>
<head> <title> WWW </title>
</head>
<body>
<p align=center>
<a href=http://www.ispace.edu.vn/><b>Trường Cao Đẳng nghề CNTT
iSPACE</b></a>
</b>
</p>
</body>
</html>
Trên cơ sở phục vụ những trang web tĩnh đơn giản này, ngày nay web server đã
đƣợc phát triển với nhiều thông tin phức tạp hơn đƣợc chuyển giữa web server và
web browser, trong đó quan trọng nhất có lẽ là nội dung động (dynamic content).
Với phiên bản đầu tiên, web server hoạt động theo mô hình sau:
Tiếp nhận các yêu cầu từ Browsers.
Trích nội dung từ đĩa.
Chạy các chƣơng trình CGI
Truyền dữ liệu ngƣợc lại cho client.
Chạy càng nhanh càng tốt.

Khoa CNTT – Đồ Án Tốt Nghiệp: Quản lý xác thực tập trung với dịch vụ LDAP Linux Trang 56/164

TRƢỜNG CAO ĐẲNG NGHỀ CNTT iSPACE
240 Võ Văn Ngân, QuậnThủ Đức, TP. Hồ Chí Minh
ĐT: 08.6. 2678999 Fax: 08 – 6261 0304
Tuy nhiên, cách hoạt động của mô hình trên không hoàn toàn tƣơng thích lẫn
nhau. Ví dụ, một web server đơn giản phải theo các luật logic sau:
Chấp nhận kết nối.
Sinh ra các nội dung tĩnh hoặc động cho browser.
Đóng kết nối.
Chấp nhận kết nối.
Lập lại quá trình trên.
Điều này sẽ thực hiện tốt đối với các web site đơn giản, nhƣng server sẽ bắt đầu
gặp phải vấn đề khi có nhiều ngƣời truy cập hoặc có quá nhiều trang web động
phải tốn thời gian để tính toán cho ra kết quả.
Ví dụ: Nếu một chƣơng trình CGI tốn 30 giây để sinh ra nội dung, trong thời gian
này web server có thể sẽ không phục vụ các trang khác nữa. Do vậy, mặc dù mô
hình này hoạt động đƣợc, nhƣng nó vẫn cần phải thiết kế lại để phục vụ đƣợc
nhiều ngƣời trong cùng một lúc. Web server có xu hƣớng tận dụng ƣu điểm của
cả hai phƣơng pháp khác nhau để giải quyết vấn đề này là: đa tiểu trình (multithreading) hoặc đa tiến trình (multi-processing) hoặc các hệ lai giữa multiprocessing và multi-threading.
3. Web client:
Là những chƣơng trình duyệt web ở phía ngƣời dùng, nhƣ internet Explorer,
Netscape, Fire fox, opera….., để hiển thị những thông tin trang web cho ngƣời
dùng, web client sẽ gửi yêu cầu đến web server, sau đó đợi web server xử lý trả
kết quả về cho web client hiển thị cho ngƣời dùng. Tất cả mọi yêu cầu đều đƣợc
xử lý bởi web server.
4. Web động:
Một trong các nội dung động (thƣờng gọi tắt là web động) cơ bản là các trang web
đƣợc tạo ra để đáp ứng các dữ liệu nhập vào của ngƣời dùng trực tiếp hay gián
tiếp.
Khoa CNTT – Đồ Án Tốt Nghiệp: Quản lý xác thực tập trung với dịch vụ LDAP Linux Trang 57/164

TRƢỜNG CAO ĐẲNG NGHỀ CNTT iSPACE
240 Võ Văn Ngân, QuậnThủ Đức, TP. Hồ Chí Minh
ĐT: 08.6. 2678999 Fax: 08 – 6261 0304
Cách cổ điển nhất đƣợc dùng phổ biến nhất cho việc tạo nội dung động là sử
dụng Common Gateway Interface (CGI). Cụ thể là CGI định nghĩa cách thức Web
server chạy một chƣơng trình cục bộ, sau đó nhận kết quả và trả về cho Web
browser của ngƣời dùng đã gửi yêu cầu.
Web browser thực sự không biết nội dung của thông tin là động, bởi vì CGI về cơ
bản là một giao thức mở rộng của Web server. Hình vẽ sau minh họa khi Web
browser yêu cầu một trang web động phát sinh từ một chƣơng trình CGI

Hình 21: Mô tả phát sinh web động từ chương trình CGI
Một giao thức mở rộng nữa của HTTP là HyperText Transmission Protocol Secure
(HTTPS) dùng để bảo mật các thông tin “nhạy cảm” khi chuyển chúng qua mạng.
5. Cài đặt và cấu hình Web server:
5.1 Giới thiệu phần mềm Apache:
Apache hay là chƣơng trình máy chủ web sử dụng giao thức HTTP. Apache
đóng một vai trò quan trọng trong quá trình phát triển của mạng WWW trên
Internet.
Khoa CNTT – Đồ Án Tốt Nghiệp: Quản lý xác thực tập trung với dịch vụ LDAP Linux Trang 58/164

TRƢỜNG CAO ĐẲNG NGHỀ CNTT iSPACE
240 Võ Văn Ngân, QuậnThủ Đức, TP. Hồ Chí Minh
ĐT: 08.6. 2678999 Fax: 08 – 6261 0304
Apache đƣợc phát triển và duy trì bởi một cộng đồng mã nguồn mở dƣới sự
bảo trợ của Apache Software License và là một phần mềm miễn phí.
Apache hỗ trợ đầy đủ các chức năng của Web service.
Apache là một phần mềm có nhiều tính năng mạnh và linh hoạt dùng để làm
Web server:
Hổ trợ đầy đủ những giao thức HTTP trƣớc đây nhƣ HTTP/1.1.
Có thể cấu hình và mở rộng với những module của công ty thứ ba.
Cung cấp source code đầy đủ với license không hạn chế.
Chạy trên nhiều hệ điều hành nhƣ: Windows, Netware, OS/2 và trên hầu hết
các hệ điều hành Linux.
5.2 Cài đặt Apache:
Cài đặt package httpd-2.2.3-4.el5.centos.rpm từ cdrom hoặc tải từ Internet
# rpm -ivh httpd-2.2.3-4.el5.centos.rpm
5.3 Thông tin cấu hình:
/etc/httpd/conf: thƣ mục lƣu giữ tập tin cấu hình nhƣ httpd.conf.
/etc/httpd/modules: lƣu các module của Web Server.
/etc/httpd/logs: lƣu các tập tin log của Apache.
/var/www/html: lƣu các trang Web.
/var/www/cgi-bin: lƣu các script sử dụng cho các trang Web.
Các tập tin khác của phần mềm Apache có thể tham khảo thêm qua lệnh rpm –
ql httpd.
5.4 Cấu hình cơ bản:
Cho phép publish websize có nội dung là trang web tĩnh dạng HTML.
Các bƣớc thực hiện:
Chép nội dung Website vào thƣ mục /var/www/html/
Tạo tên Website (ví dụ: www.thanhlong.com)
Khoa CNTT – Đồ Án Tốt Nghiệp: Quản lý xác thực tập trung với dịch vụ LDAP Linux Trang 59/164

TRƢỜNG CAO ĐẲNG NGHỀ CNTT iSPACE
240 Võ Văn Ngân, QuậnThủ Đức, TP. Hồ Chí Minh
ĐT: 08.6. 2678999 Fax: 08 – 6261 0304
Thay đổi thông số ServerName www.thanhlong.com
Chỉ định trang chủ hiển thị cho nội dung Website thông qua từ khóa
DirectoryIndex default.html (giả sử trang default.html là trang chủ của Website)
Khởi tạo lại dịch vụ httpd qua lệnh: # service httpd restart
Dùng lệnh lynx www.thanhlong.com để kiểm tra
5.5 Cấu hình chứng thực:
Đối với những thông tin cần bảo mật, khi có yêu cầu truy xuất thông tin này,
Webserver phải chứng thực những yêu cầu này có hợp lệ hay không.
Thông tin chứng thực thƣờng bao gồm: username và password
Có hai loại chứng thực:
Basic Authentication.
Digest Authentication.
Basic Authentication:
Với username và password mà ngƣời dùng cung cấp chỉ có tác dụng
trong lần giao dịch của Web Browser với Web Server lúc đó. Nếu lần
sau truy cập lại website này, ngƣời dùng phải nhập lại username và
password.
Các bƣớc cấu hình chứng thực Basic:
- Tạo tập tin lƣu mật khẩu của ngƣời dùng và cấp quyền truy xuất cho
tập tin này.
- Tạo tập tin group (nếu muốn chứng thực cho nhóm).
- Cấu hình Apache.
Bƣớc 1: Tạo tập tin lƣu mật khẩu và cấp quyền truy xuất
Cú pháp:
# htpasswd –c <vị trí tập tin password> <username>

Khoa CNTT – Đồ Án Tốt Nghiệp: Quản lý xác thực tập trung với dịch vụ LDAP Linux Trang 60/164

TRƢỜNG CAO ĐẲNG NGHỀ CNTT iSPACE
240 Võ Văn Ngân, QuậnThủ Đức, TP. Hồ Chí Minh
ĐT: 08.6. 2678999 Fax: 08 – 6261 0304
- Tùy chọn –c sẽ tạo tập tin password mới. Nếu tập tin này đã tồn tại, nó
sẽ xóa nội dung cũ và ghi lại nội dung mới.
- <vị trí tập tin password>: thông thƣờng tạo tại thƣ mục chứa tập tin cấu
hình Apache /etc/httpd/conf
- Ví dụ: Tạo tập tin lƣu mật khẩu cho user tuandq
# htpasswd -c /etc/httpd/conf/passwords tuandq
Cấp quyền truy xuất
# chmod 755 <tập_tin_password>
Bƣớc 2: Tạo tập tin group
- Nhằm tạo điều kiện thuận lợi cho ngƣời quản trị trong việc quản lý sự
chứng thực, Apache hỗ trợ thêm tính năng chứng thực nhóm ngƣời
dùng.
- Dạng tổng quát của tập tin group:
<groupname>: <user lists>
- groupname: tên nhóm.
- user list: danh sách các thành viên trong nhóm (cách nhau bởi khoảng
trắng).
- Ví dụ: authors: tuandq duytha kientd
Bƣớc 3: Cấu hình Apache
- Sau khi tạo tập tin password và group, cấu hình chứng thực của
Apache đƣợc thiết lập với những chỉ dẫn sau:
Alias <path_HTTP> </thư mục cục bộ>
<Directory [/thư mục cục bộ]>
AuthType Basic
AuthName [tên_chứng_thực]
AuthUserFile [vị_trí_tập_tin_password]
Khoa CNTT – Đồ Án Tốt Nghiệp: Quản lý xác thực tập trung với dịch vụ LDAP Linux Trang 61/164

TRƢỜNG CAO ĐẲNG NGHỀ CNTT iSPACE
240 Võ Văn Ngân, QuậnThủ Đức, TP. Hồ Chí Minh
ĐT: 08.6. 2678999 Fax: 08 – 6261 0304
AuthGroupFile [vị_trí_tập_tin_group]
Require user [tên_user1] [tên_user2] . . .
Require group [tên_nhóm1] [tên_nhóm2] . . .
Option Indexes (hiển thị những file dạng khác html)
</Directory>
Digest Authentication
Digest Authentication cung cấp một phƣơng pháp bảo vệ nội dung web
một cách luôn phiên.
Mô hình chứng thực:

Hình 22: Chứng thực Digest
Các bƣớc thực hiện tƣơng tự nhƣ Basic Authentication
Bƣớc 1: Tạo tập tin lƣu mật khẩu và cấp quyền truy xuất
Cú pháp:
# htdigest –c <tập tin pass> <Auth_name> <username>
- Tùy chọn –c sẽ tạo tập tin password mới. Nếu tập tin này đã tồn tại, nó
sẽ xóa nội dung cũ và ghi lại nội dung mới.
- <vị trí tập tin password>: thông thƣờng tạo tại thƣ mục chứa tập tin cấu
hình Apache /etc/httpd/conf
Khoa CNTT – Đồ Án Tốt Nghiệp: Quản lý xác thực tập trung với dịch vụ LDAP Linux Trang 62/164

TRƢỜNG CAO ĐẲNG NGHỀ CNTT iSPACE
240 Võ Văn Ngân, QuậnThủ Đức, TP. Hồ Chí Minh
ĐT: 08.6. 2678999 Fax: 08 – 6261 0304
- Ví dụ: Tạo tập tin lƣu mật khẩu cho user tuandq
# htpasswd -c /etc/httpd/conf/passwords tên_chứng_thực tuandq
Bƣớc 2: Tạo tập tin group
- Nhằm tạo điều kiện thuận lợi cho ngƣời quản trị trong việc quản lý sự
chứng thực, Apache hỗ trợ thêm tính năng chứng thực nhóm ngƣời
dùng.
- Dạng tổng quát của tập tin group:
<groupname>: <user lists>
- groupname: tên nhóm.
- user list: danh sách các thành viên trong nhóm (cách nhau bởi khoảng
trắng).
- Ví dụ: authors: tuandq duytha kientd
Bƣớc 3: Cấu hình Apache
- Sau khi tạo tập tin password và group, cấu hình chứng thực của
Apache đƣợc thiết lập với những chỉ dẫn sau:
Alias <path_HTTP> </thư mục cục bộ>
<Location [/path_HTTP]>
AuthType Digest
AuthName [tên_chứng_thực]
AuthDigestProvider file
AuthUserFile [vị_trí_tập_tin_password]
AuthGroupFile [vị_trí_tập_tin_group]
Require user [tên_user1] [tên_user2] . . .
Require group [tên_nhóm1] [tên_nhóm2] . . .
</Location>

IV. Dịch vụ Squid Proxy:
Khoa CNTT – Đồ Án Tốt Nghiệp: Quản lý xác thực tập trung với dịch vụ LDAP Linux Trang 63/164

TRƢỜNG CAO ĐẲNG NGHỀ CNTT iSPACE
240 Võ Văn Ngân, QuậnThủ Đức, TP. Hồ Chí Minh
ĐT: 08.6. 2678999 Fax: 08 – 6261 0304
1. Giới thiệu Squid:
Squid là một chƣơng trình Internet proxy-caching có vai trò tiếp nhận các yêu cầu
từ các client và chuyển cho Internet server thích hợp. Đồng thời, nó sẽ lƣu lên đĩa
những dữ liệu đƣợc trả về từ Internet server – gọi là caching. Chƣơng trình này
dùng để cấu hình Proxy server, vì vậy ƣu điểm của Squid là khi một dữ liệu mà
đƣợc yêu cầu nhiều lần thì Proxy server sẽ lấy thông tin từ cache trả về cho client.
Điều này làm cho tốc độ truy xuất Internet nhanh hơn và tiết kiệm băng thông.

Hình 22: Squid Proxy
Squid dựa trên những đặc tả của giao thức HTTP nên nó chỉ là một HTTP Proxy.
Do đó, Squid chỉ có thể là một Proxy cho những chƣơng trình mà chúng dùng giao
thức này để truy cập Internet.
2. Những giao thức hổ trợ trên Squid:
Squid sẽ nhận những yêu cầu từ client. Squid hổ trợ những giao thức sau:
HTTP.
FTP.
Gopher.
Wide Area Information.
Secure Socket Layer – cơ chế bảo mật cho những giao dịch trên mạng.
Khoa CNTT – Đồ Án Tốt Nghiệp: Quản lý xác thực tập trung với dịch vụ LDAP Linux Trang 64/164

TRƢỜNG CAO ĐẲNG NGHỀ CNTT iSPACE
240 Võ Văn Ngân, QuậnThủ Đức, TP. Hồ Chí Minh
ĐT: 08.6. 2678999 Fax: 08 – 6261 0304
3. Trao đổi cache:
Squid có khả năng chia sẻ dữ liệu giữa những cache với nhau. Việc chia sẻ này
mang lại những lợi ích nhƣ:
User Base: Nếu số lƣợng client truy cập Internet thông qua Proxy càng nhiều
thì khả năng một đối tƣợng nào đó đƣợc yêu cầu 2 lần sẽ cao hơn.
Reduce load: Giảm tải truy xuất cho đƣờng truyền.
Disk space: Nếu chúng ta chuyển cân bằng giữa các cache với nhau sẽ tránh
đƣợc việc sao lại dữ liệu đã lƣu. Do đó dung lƣợng đĩa cứng dành cho việc lƣu
trữ cache sẽ giảm.
4. Cài đặt và cấu hình Squid Proxy:
Cài đặt package squid-version.i386.rpm
/usr/local/squid: thƣ mục cài đặt squid
/usr/local/squid/bin: thƣ mục lƣu binary squid và tool đƣợc hỗ trợ
/usr/local/squid/cache: thƣ mục lƣu những dữ liệu đƣợc cache.
/usr/local/squid/etc: những tập tin cấu hình squid.
/usr/local/squid/src: thƣ mục lƣu source code squid.
Vị trí các thƣ mục mặc định có những điểm khác sau:
/usr/sbin: Lƣu những thƣ viện của Squid .
/etc/squid: Lƣu các tập tin cấu hình squid.
/var/log/squid: Lƣu các tập tin log của squid.
Cấu hình squid:
Tập tin cấu hình

Khoa CNTT – Đồ Án Tốt Nghiệp: Quản lý xác thực tập trung với dịch vụ LDAP Linux Trang 65/164

TRƢỜNG CAO ĐẲNG NGHỀ CNTT iSPACE
240 Võ Văn Ngân, QuậnThủ Đức, TP. Hồ Chí Minh
ĐT: 08.6. 2678999 Fax: 08 – 6261 0304
Tất cả những tập tin cấu hình squid đƣợc lƣu trong thƣ mục
/usr/local/squid/etc (Linux: /etc/squid). Một tập tin cấu hình quan trọng quyết
định sự hoạt động của squid /etc/squid/squid.conf
Những tùy chọn cơ bản
- http_port: cấu hình cổng HTTP
http_port <cổng>
- cache_dir: cấu hình thƣ mục lƣu trữ dữ liệu đƣợc cache, thƣ mục này có
kích thƣớc mặc định là 100MB.
cache_dir /usr/local/squid/cache 100 16 256
- 16 level-1 subdirectory của thƣ mục /usr/local/squid/cache, level-2
subdirectory cho mỗi level-1
- cache_access_log: chỉ ra nơi lƣu tập tin log.
cache_access_log /var/log/squid/access.log
- Cache_log: Lƣu trữ các thông tin chung về cache.
cache_log /var/log/squid/cache.log
- Cache_store_log: Lƣu trữ các thông tin về đối tƣợng đƣợc cache trên
proxy, thời gian lƣu trữ,…
- Cache_effective_user, cache_effective_group: ngƣời dùng và nhóm có thể
thay đổi squid.
- Ví dụ:

cache_effective_user squid
cache_effective_group squid

- Access Control List và Access Control Operators: Bạn dùng Access Control
List và Access Control Operators để ngăn chặn, giới hạn việc truy xuất dựa
vào tên miền, địa chỉ IP đích.
Khoa CNTT – Đồ Án Tốt Nghiệp: Quản lý xác thực tập trung với dịch vụ LDAP Linux Trang 66/164

TRƢỜNG CAO ĐẲNG NGHỀ CNTT iSPACE
240 Võ Văn Ngân, QuậnThủ Đức, TP. Hồ Chí Minh
ĐT: 08.6. 2678999 Fax: 08 – 6261 0304
- Cú pháp:

acl aclname acltype string
acl aclname acltype “file”

- Ví dụ: Cấu trúc mẫu về ACL
acl
acl
acl
acl
acl
acl
acl
acl
acl

aclname
aclname
aclname
aclname
aclname
aclname
aclname
aclname
aclname

src ip-address/netmask ...
srcdomain .foo.com ...
dst
ip-address/netmask ...
dstdomain .foo.com ...
time [day-abbrevs] [h1:m1-h2:m2]
url_regex
[-i] ^http:// ...
port 80 70 21 ...
proto HTTP FTP ...
method
GET POST ...

- Thẻ điều khiển truy xuất HTTP
http_access allow/deny [!]aclname…
- Thẻ điều khiển truy xuất cache_peer
cache_peer_access cache-host allow|deny [!]aclname ...
- Ví dụ 1: Cho phép mạng 172.31.0.0/24 dùng proxy server bằng từ khóa src
trong acl.
acl MyNetwork src 172.31.0.0/255.255.255.0
http_access allow MyNetwork
http_access deny all
- Ví dụ 2: Cấm các máy truy xuất đến các site bằng từ khóa dstdomain trong
acl.
acl BadDomain dstdomain .yahoo.com
http_access deny BadDomain

Khoa CNTT – Đồ Án Tốt Nghiệp: Quản lý xác thực tập trung với dịch vụ LDAP Linux Trang 67/164

TRƢỜNG CAO ĐẲNG NGHỀ CNTT iSPACE
240 Võ Văn Ngân, QuậnThủ Đức, TP. Hồ Chí Minh
ĐT: 08.6. 2678999 Fax: 08 – 6261 0304
http_access deny all
- Ví dụ 3: Cấm các máy truy xuất đến các site sử dụng tập tin dạng văn bản
bằng từ khóa dstdomain trong acl.
acl BadDomain dstdomain “/etc/squid/danhsachcam”
http_access deny BadDomain
http_access deny all
- Lưu ý: Ứng với mỗi acl phải có một http_access.
- Giới hạn thời gian truy xuất: mô tả cho phép truy cập internet trong giờ hành
chính (M: thứ hai, T: thứ ba, W: thứ tƣ, H: thứ năm, F: thứ sáu )
acl business_hours time MTWHF 9:00-17:00
http_access allow business_hours
- Chỉ định hostname cho Proxy Server
Visible_hostname <hostname>
- Cache_peer: cho phép truy vấn đến proxy khác
cache_peer hostname type http_port icp_port
type = 'parent','sibling' hoặc multicast
- Ví dụ: Cho phép truy vấn đến proxy “cha” vnuserv.vnuhcm.edu.vn
cache_peer vnuserv.vnuhcm.edu.vn parent 8080 8082
Khởi tạo squid:
Tạo thƣ mục cache bằng lệnh : # squid -z
Khoa CNTT – Đồ Án Tốt Nghiệp: Quản lý xác thực tập trung với dịch vụ LDAP Linux Trang 68/164

TRƢỜNG CAO ĐẲNG NGHỀ CNTT iSPACE
240 Võ Văn Ngân, QuậnThủ Đức, TP. Hồ Chí Minh
ĐT: 08.6. 2678999 Fax: 08 – 6261 0304
Chuyển quyền sở hữu trên thƣ mục squid:
# chown squid:squid /var/spool/squid
# chmod 770 /var/spool/squid
Sau khi tạo xong thƣ mục cache, khởi động squid bằng lệnh :
# /usr/local/squid/squid –D&
Trong môi trƣờng Linux, bạn không cần phải tạo cache. Khi khởi động bằng
script, nó sẽ tự động tạo cache cho bạn:
# chkconfig squid on
# service squid restart
Quản lý kết nối:
Để theo dõi và quản lý kết nối qua proxy server ta có thể dùng lệnh:
# tail –f /var/log/squid/access.log

V. Dịch vụ Mail Server:
1. Giới thiệu:
Hệ thống mail đƣợc xây dựng trên một số giao thức sau: Simple Mail Transfer
Protocol (SMTP), Post Office Protocol (POP), Multipurpose Internet Mail
Extensions (MIME) và Interactive Mail Access Protocol (IMAP).
Giao thức SMTP:
Là giao thức tin cậy chịu trách nhiệm phân phát mail.
Các tập lệnh trong giao thức SMTP
Lệnh
Hello
From

Cú pháp
HELLO <sending-host>
MAIL FROM:<from-addr>

Diễn giải
Nhận diện SMTP
Địa chỉ ngƣời gởi

Khoa CNTT – Đồ Án Tốt Nghiệp: Quản lý xác thực tập trung với dịch vụ LDAP Linux Trang 69/164

TRƢỜNG CAO ĐẲNG NGHỀ CNTT iSPACE
240 Võ Văn Ngân, QuậnThủ Đức, TP. Hồ Chí Minh
ĐT: 08.6. 2678999 Fax: 08 – 6261 0304
Recipient
Data
Reset
Verify
Expand
Help

RCPT TO:<to-addr>
DATA
RSET
VRFY <string>
EXPN <string>
HELP [string]

Địc chỉ ngƣời nhận
Bắt đầu gởi thông điệp
Hủy bỏ thông điện
Kiểm tra username
Mở rộng danh sách mail
Yêu cầu giúp đỡ

Để sử dụng các lệnh SMTP, ta dùng lệnh telnet theo port 25 trên hệ thống ở
xa.
SMTP là hệ thống phân phát mail trực tiếp từ Mail server gởi đến Mail server
nhận.
Giao thức POP:
Có hai phiên bản của POP đƣợc sử dụng rộng rãi là POP2 và POP3.
Các tập lệnh trong giao thức POP3 (sử dụng cổng 110)
Lệnh
USER username
PASS password
START
RETR/DELE n
LAST
LIST [n]
RSET
TOP n
QUIT

Diễn giải
Cho biết thông tin về username cần nhận mail
Password của username cần nhận mail
Hiển thị số thông điệp chƣa đƣợc đọc (đơn vị bytes)
Nhận/Xóa thông điệp thứ n
Hiển thị thông điệp message cuối cùng
Hiển thị kích thƣớc của thông điệp thứ n
Quay lại thông điệp đầu tiên
In các HEADER và dòng thứ n của thông điệp
Kết thúc phiên giao dịch POP3

2. Hệ thống mail:
Một hệ thống mail yêu cầu phải có ít nhất hai thành phần, nó có thể định vị trên hai
hệ thống khác nhau hoặc trên cùng một hệ thống: mail server và mail client.

Khoa CNTT – Đồ Án Tốt Nghiệp: Quản lý xác thực tập trung với dịch vụ LDAP Linux Trang 70/164

TRƢỜNG CAO ĐẲNG NGHỀ CNTT iSPACE
240 Võ Văn Ngân, QuậnThủ Đức, TP. Hồ Chí Minh
ĐT: 08.6. 2678999 Fax: 08 – 6261 0304

Hình 23: Sơ đồ hệ thống mail
Mail Gateway:
Là máy kết nối giữa các mạng dùng giao thức truyền thông khác nhau hoặc kết
nối các mạng khác nhau dùng chung giao thức.
Mail Host:
Là máy giữ vai trò máy chủ mail chính trong hệ thống mạng.
Mail Server:
Chứa các mailbox của ngƣời dùng.
Mail Client:
Là những hệ thống mà nó cho phép tập tin mail spool của user đƣợc đọc thông
qua cơ chế mount NFS thƣ mục /var/mail từ mail hub.
Các hệ thống Mail thƣờng sử dụng:
Hệ thống mail cục bộ:
Khoa CNTT – Đồ Án Tốt Nghiệp: Quản lý xác thực tập trung với dịch vụ LDAP Linux Trang 71/164

TRƢỜNG CAO ĐẲNG NGHỀ CNTT iSPACE
240 Võ Văn Ngân, QuậnThủ Đức, TP. Hồ Chí Minh
ĐT: 08.6. 2678999 Fax: 08 – 6261 0304

Hình 24: Hệ thống mail cục bộ
Hệ thống mail cục bộ có kết nối từ xa:

Hình 25: Hệ thống mail cục bộ có kết nối từ xa
Hệ thống hai domain và một gateway
- Cấu hình dƣới đây gồm hai domain và một mail gateway. Trong hệ thống
này mail server, mail host và mail gateway cung cấp trên domain hoạt động
nhƣ một hệ thống độc lập.

Khoa CNTT – Đồ Án Tốt Nghiệp: Quản lý xác thực tập trung với dịch vụ LDAP Linux Trang 72/164

TRƢỜNG CAO ĐẲNG NGHỀ CNTT iSPACE
240 Võ Văn Ngân, QuậnThủ Đức, TP. Hồ Chí Minh
ĐT: 08.6. 2678999 Fax: 08 – 6261 0304

Hình 26: Hệ thống mail hai Domain & một Gateway
3. Các khái niệm:
Mail User Agent (MUA):
Là những chƣơng trình mà ngƣời sử dụng dùng để đọc, soạn thảo và gửi mail.
Mail Transfer Agent (MTA):
Là chƣơng trình chuyển thƣ giữa các máy mail hub. Sendmail là một Mail
Transfer Agent (MTA) dùng giao thức SMTP để đóng vai trò là một SMTP
Server làm nhiệm vụ định tuyến trong việc phân thƣ .
Mailbox:
Là một tập tin lƣu trữ tất cả các mail của ngƣời dùng. Thông thƣờng, tên của
mailbox trùng với tên đăng nhập của ngƣời dùng. Tập tin này đặt trong thƣ
mục /var/spool/mail.
Mail queue:

Khoa CNTT – Đồ Án Tốt Nghiệp: Quản lý xác thực tập trung với dịch vụ LDAP Linux Trang 73/164

TRƢỜNG CAO ĐẲNG NGHỀ CNTT iSPACE
240 Võ Văn Ngân, QuậnThủ Đức, TP. Hồ Chí Minh
ĐT: 08.6. 2678999 Fax: 08 – 6261 0304
Các mail gởi đi có thể đƣợc chuyển đi ngay hoặc cũng có thể đƣợc chuyển
vào hàng đợi.
Mail bí danh:
Phân phối đến cho cùng nhiều ngƣời qua nhiều địa chỉ khác nhau.
Phân phối đến cho cùng nhiều ngƣời qua cùng một địa chỉ
Kết nối thƣ với một tập tin để lƣu trữ hoặc dùng cho các mục đích khác nhau.
Lọc thƣ thông qua các chƣơng trình hay các script
Trên hệ thống Linux, tập tin cấu hình là: /etc/aliases
Mailing List và Forward:
Mailing list nội bộ: là một mục trong tập tin aliases với phần bên phải có nhiều
hơn một ngƣời nhận.
- Ví dụ: trong tập tin aliases có các dòng sau
admin : bob, jim, phil
bob : \bob, /u/bob/admin/maillog
- admin và bob chính là hai danh sách mail (mailing list) vì nó đƣợc phân tích
ra thành nhiều địa chỉ ngƣời nhận.
Forwarder: chƣơng trình mail postfix cho phép mỗi ngƣời dùng có một tập tin
lƣu danh sách các địa chỉ sẽ nhận mail của mình.Tập tin này có tên .forward
nằm trong Home Directory của ngƣời dùng.
- Ví dụ: Trong Home Directory của user tuandq tạo tập tin .forward có nội
dụng: abc@yahoo.com
4. Mail và DNS:

Khoa CNTT – Đồ Án Tốt Nghiệp: Quản lý xác thực tập trung với dịch vụ LDAP Linux Trang 74/164

TRƢỜNG CAO ĐẲNG NGHỀ CNTT iSPACE
240 Võ Văn Ngân, QuậnThủ Đức, TP. Hồ Chí Minh
ĐT: 08.6. 2678999 Fax: 08 – 6261 0304
DNS và postfix là hai dịch vụ có mối quan hệ mật thiết với nhau. Postfix dựa vào
dịch vụ DNS để chuyển mail từ mạng bên trong ra bên ngoài và ngƣợc lại. Khi
chuyển mail, postfix tìm MX record để xác định máy chủ nào cần chuyển mail đến.
Cú pháp: [domain name] IN MX 0 [mail server]
Ví dụ: t3h.com.vn. IN MX 0 mailserver.t3h.com.vn
Một địa chỉ email thƣờng có dạng sau:
username@subdomain….subdomain1.top-level-domain
Thành phần bên phải dấu @ là địa chỉ miền. Nó phân biệt chữ hoa và chữ thƣờng.
5. Phần mềm mail Postfix:
Postfix là một Mail Transport Agent (MTA) đƣợc viết bởi Wietse Venema khi ông
đang làm việc ở trung tâm nghiên cứu T. J. Watson của IBM. Đặc điểm của
Postfix: dễ quản lý, nhanh, an toàn. Chỉ cần một server với hardware thông
thƣờng, Postfix có thể chuyển giao hàng triệu email một ngày. Ngày nay postfix là
một trong nhƣng MTA khá phổ biến trên các mail server.
File cấu hình: /etc/postfix/main.cf
Khi cấu hình Mail Server với postfix, ta cần quan tâm đến một vài tham số quan
trong sau:
myhostname: Tên Mail Server
mydomain: Tên Domain (ví dụ: thanhlong.com)
myorigin: Tên tổ chức (có thể lấy từ biến mydomain, ví dụ = $mydomain).
inet_interfaces: Chỉ định Interfaces
mydestination: Chỉ định destination
mynetworks: Chỉ định network.
Cấu hình POP và IMAP Server:
Cài đặt gói dovecot-1.0.7-7.el5.i386.rpm từ CDROM , sau đó ta mở file cấu
hình /etc/dovecot.conf để thay đổi các thông số sau:
Khoa CNTT – Đồ Án Tốt Nghiệp: Quản lý xác thực tập trung với dịch vụ LDAP Linux Trang 75/164

TRƢỜNG CAO ĐẲNG NGHỀ CNTT iSPACE
240 Võ Văn Ngân, QuậnThủ Đức, TP. Hồ Chí Minh
ĐT: 08.6. 2678999 Fax: 08 – 6261 0304
protocols = imap imaps pop3 pop3s ;chỉ định các protocol sử dụng
imap_listen = * ;chỉ định trạng thái listen trên card mạng cho IMAP
pop3_listen = * ;chỉ định trạng thái listen trên card mạng cho POP3
Sau đó thực thi lệnh:
# chkconfig dovecot on
# service dovecot restar
6. Phần mềm webmail:
Cài đặt gói:
php-mbstring-5.1.6-23.2.el5_3.i386.rpm.
squirrelmail-1.4.8-5.el5.centos.7.noarch.rpm.
Cấu hình: file /etc/squirrelmail/config.php
$domain = „thanhlong.com‟;
Sau đó thực hiện lệnh:
# chkconfig httpd on
# service httpd start
Mở trình duyệt nhập vào: http://ip_address/webmail

VI. Dịch vụ Samba:
1. Giới thiệu:
Samba là chƣơng trình tiện ích hỗ trợ việc chia sẻ tài nguyên cho những máy khác
nhƣ Linux, Windows.
Phần mềm Samba gồm nhiều thành phần. Daemon mang tên smbd cung cấp dịch
vụ in ấn và tập tin. Tập tin cấu hình của Daemon này là smb.conf, còn daemon
nmbd thì hỗ trợ dịch vụ tên NETBIOS.
Khoa CNTT – Đồ Án Tốt Nghiệp: Quản lý xác thực tập trung với dịch vụ LDAP Linux Trang 76/164

TRƢỜNG CAO ĐẲNG NGHỀ CNTT iSPACE
240 Võ Văn Ngân, QuậnThủ Đức, TP. Hồ Chí Minh
ĐT: 08.6. 2678999 Fax: 08 – 6261 0304
2. Cài đặt:
Chúng ta có thể cài đặt Samba trong quá trình cài CentOS hoặc cài sau bằng tiện
ích RPM. Các tập tin cài đặt bao gồm:
Samba-3.0.33-3.14.el5.i386.rpm
Samba-client-3.0.33-3.14.el5.i386.rpm
Samba-common-3.0.33-3.14.el5.i386.rpm
System-config-samba
Samba-swat
Khởi tạo dịch vụ:
Khởi tạo dịch vụ tại thời điểm hệ thống khởi động
# chkconfig smb on
Khởi tạo dịch vụ thông qua lệnh
# service smb start|stop|restart
Kiểm tra hoạt động của dịch vụ Samba
# pgrep smb
Cấu hình samba:
/etc/samba/smb.conf: là tập tin cấu hình chính của Samba. Tập tin này có
nhiều phần, mỗi phần bắt đầu bằng dấu […] và tiếp tục đến bắt đầu của phần
mới.
Cú pháp của mỗi dòng: Paramater = value.
Các thành phần trong tập tin cấu hình chính
Thành phần
Giải thích
[global]
Chứa các tham số cấu hình chung của Samba server
[printers]
Chứa các tham số sử dụng cho việc cấu hình máy in.
[home]
Chỉ định SMB chia sẻ thƣ mục home directory của user.
[netlogon]
Chia sẻ logon script.
Khoa CNTT – Đồ Án Tốt Nghiệp: Quản lý xác thực tập trung với dịch vụ LDAP Linux Trang 77/164

TRƢỜNG CAO ĐẲNG NGHỀ CNTT iSPACE
240 Võ Văn Ngân, QuậnThủ Đức, TP. Hồ Chí Minh
ĐT: 08.6. 2678999 Fax: 08 – 6261 0304
[profile]

Chia sẻ profile

Đoạn [global]
workgroup = MYGROUP; chỉ ra nhóm mà máy sẽ tham gia.
server string = Samba Server; chỉ tên dịch vụ
hosts allow = 172.31.0.1 173.31.0.3; chỉ định các địa chỉ đƣợc phép truy
cập đến samba server.
guest account = pcguest; cung cấp username cho 1 account khách trên
server. Account này nhận diện những user đƣợc dùng dịch vụ samba
dành cho khách.
log file = /var/log/samba/smb.%m; xác định vị trí tập tin log của từng client
truy cập samba.
max log size = 50; kích thƣớc tối đa của tập tin log (KB).
encrypt password = yes; mã hóa mật khẩu.
smb passwd file = /etc/samba/smbpasswd; tập tin lƣu trữ những user
đƣợc phép truy cập đến server smb.
Đoạn [homes]
comment = Home Directory; chỉ định dòng chú thích.
path = %H; chỉ định thƣ mục gốc cho user.
read only = no; chỉ đƣợc quyền đọc trong thƣ mục path.
valid users = %S; chỉ định tên user đƣợc phép truy xuất. Nếu ta cho phép
group ta dùng cú pháp @group_name hoặc + group_name
browseable = no; hiển thị trên danh sách duyệt mạng.
writeable = yes; chỉ định quyền ghi.
create mask = 0750; kiểm tra xem trong số những tập tin tạo ra trong thƣ
mục chia sẻ, thì tập tin nào đƣợc phép làm gì.
Đoạn [printers]
comment = All Printer
path = /var/spool/samba
browseable = no
public = yes
guest ok = no
Khoa CNTT – Đồ Án Tốt Nghiệp: Quản lý xác thực tập trung với dịch vụ LDAP Linux Trang 78/164

TRƢỜNG CAO ĐẲNG NGHỀ CNTT iSPACE
240 Võ Văn Ngân, QuậnThủ Đức, TP. Hồ Chí Minh
ĐT: 08.6. 2678999 Fax: 08 – 6261 0304
writable = no
printable = yes ; cho phép in.
create mask = 0700
Chia sẻ thƣ mục [dirshare]
[soft]
comment = “chia sẻ thƣ mục”
path = /usr/local/share
valid users = tuandq
browseable = yes
public = no
writable = yes
Đoạn trên đã tạo ra một thƣ mục chia sẻ mang tên soft, ánh xạ đến thƣ mục
/usr/local/share.
Samba SWAT:
Samba SWAT là công cụ cho phép cấu hình Samba qua giao diện Web.
Tập tin cấu hình Samba SWAT:
Thiết lập một số thông số trong tập tin /etc/xinetd.d/swat
service swat
{
disable

= no

port

= 901

socket_type

= stream

wait

= no

only_from

= 172.31.0.0/24

user

= root

server

= /usr/sbin/swat

log_on_failure += USERID
}
Truy xuất SWAT từ Internet Explorer:
Khoa CNTT – Đồ Án Tốt Nghiệp: Quản lý xác thực tập trung với dịch vụ LDAP Linux Trang 79/164

TRƢỜNG CAO ĐẲNG NGHỀ CNTT iSPACE
240 Võ Văn Ngân, QuậnThủ Đức, TP. Hồ Chí Minh
ĐT: 08.6. 2678999 Fax: 08 – 6261 0304
- Từ trình duyệt Web, truy xuất SMB SWAT thông qua địa chỉ http://<IPSamba-Server>:<Port>
- Ví dụ: http://172.31.0.1:901

Hình 27: Truy xuất samba swat

Hình 28: Đăng nhập samba thành công
Khoa CNTT – Đồ Án Tốt Nghiệp: Quản lý xác thực tập trung với dịch vụ LDAP Linux Trang 80/164

TRƢỜNG CAO ĐẲNG NGHỀ CNTT iSPACE
240 Võ Văn Ngân, QuậnThủ Đức, TP. Hồ Chí Minh
ĐT: 08.6. 2678999 Fax: 08 – 6261 0304
Cấu hình samba swat:

Thành phần

Giải thích
Cung cấp các tài liệu tham khảo về Samba.
Quản lý thông tin cấu hình.
Quản lý tài nguyên chia sẻ.
Quản lý việc chia sẻ máy in.
Quản lý Server Type, Wins và các tham số khác.
Quản lý trạng thái SAMBA, theo dõi connection.
Xem các thông tin cấu hình trong file smb.conf
Quản lý mật khẩu.

Sử dụng samba client:
Từ dấu nhắc lệnh, sử dụng smbclient để truy xuất thƣ mục chia sẻ trên SMB
Server theo cú pháp sau:
$smbclient <//SMB_Server/Sharename><option> <user>
Ví dụ: #smbclient //samba-svr/data -U tuandq
Password:
smb: \>
Từ dấu nhắc smb: \>, có thể ra bất kỳ lệnh nào để truy xuất tài nguyên.
Mount tài nguyên:
Ta có thể ánh xạ một thƣ mục chia sẻ trên Samba Server vào ổ đĩa cục thông
qua lệnh smbmount.
Cú pháp :
#mount
–t
smbfs
<//Server/Sharename>
username=<user>,password=<pass>

<mount_point>

-o

Khoa CNTT – Đồ Án Tốt Nghiệp: Quản lý xác thực tập trung với dịch vụ LDAP Linux Trang 81/164

TRƢỜNG CAO ĐẲNG NGHỀ CNTT iSPACE
240 Võ Văn Ngân, QuậnThủ Đức, TP. Hồ Chí Minh
ĐT: 08.6. 2678999 Fax: 08 – 6261 0304
Ví dụ : #mount –t smbfs //smb_server/data /mnt/smb -o
username=tuandq,password=123456
Mount tự động:
Để tự động mount một tài nguyên chia sẻ ta thực hiện các bƣớc sau:
Bƣớc 1: tạo thƣ mục mount_point (Ví dụ: /mnt/smb)
Bƣớc 2: mô tả dòng lệnh trong tập tin /etc/fstab
//SMB_Server/ShareName /mnt/smb smbfs credential=/etc/cred 0 0
Bƣớc 3: tạo tập tin /etc/cred để lƣu thông tin username và mật khẩu
usermane = <username>
password = <password>
Bƣớc 4: dùng lệnh mount –a để update tập tin /etc/fstab và kiểm tra.
Mã hóa mật khẩu:
Tạo ra mật khẩu của ngƣời dùng riêng cho samba server quản lý.
Các bƣớc tạo mật khẩu
Bƣớc 1: Tạo một tập tin mật khẩu riêng cho Samba
#cat /etc/passwd | mksmbpasswd.sh >/etc/samba/smbpasswd
Bƣớc 2: Cấp quyền đọc ghi cho root và cấp mật khẩu cho user
#chmod 600 /etc/samba/smbpasswd
#smbpasswd <username>
Bƣớc 3: Chỉnh tập tin smb.conf
encrypt passwd = yes
smb passwd file = /etc/samba/smbpasswd
Bƣớc 4: Khởi động lại samba server #/etc/init.d/smb restar

Khoa CNTT – Đồ Án Tốt Nghiệp: Quản lý xác thực tập trung với dịch vụ LDAP Linux Trang 82/164

TRƢỜNG CAO ĐẲNG NGHỀ CNTT iSPACE
240 Võ Văn Ngân, QuậnThủ Đức, TP. Hồ Chí Minh
ĐT: 08.6. 2678999 Fax: 08 – 6261 0304

CHƢƠNG IV: CƠ SỞ LÝ THUYẾT LDAP
I. Giới thiệu về LDAP:
1. Khái niệm cơ bản:
Thƣ mục (Directory): là nơi dùng để chứa và cho phép thực hiện các thao tác truy
xuất thông tin.
Nghi thức truy cập thƣ mục (LDAP):
LDAP (Lightweight Directory Access Protocol) là một chuẩn mở rộng cho nghi
thức truy cập thƣ mục, hay là một ngôn ngữ để LDAP client và severs sử dụng
để giao tiếp với nhau.
LDAP là một nghi thức “lightweight ” có nghĩa là đây là một giao thức có tính
hiệu quả, đơn giản và dể dàng để cài đặt. trong khi chúng sử dụng các hàm ở
mức cao. Điều này trái ngƣợc với nghi thức “heavyweight” nhƣ là nghi thức
truy cập thƣ mục X.500 (DAP). Nghi thức này sử dụng các phƣơng thức mã
hoá quá phức tạp.
LDAP sử dụng các tập các phƣơng thức đơn giản và là một nghi thức thuộc
tầng ứng dụng.
LDAP đã phát triển với phiên bản LDAP v2 đƣợc định nghĩa trong chuẩn RFC
1777 và
1778, LDAP v3 là một phần trong chuẩn Internet, đƣợc định nghĩa trong RFC
2251 cho đến RFC 2256, do chúng quá mới nên không phải tất cả mọi thứ các
nhà cung cấp hổ trợ hoàn toàn cho LDAP v3.
Ngoài vai trò nhƣ là một thủ tục mạng, LDAP còn định nghĩa ra bốn mô hình,
các mô hình này cho phép linh động trong việc sắp đặt các thƣ mục:
Mô hình LDAP information - định nghĩa ra các loại dữ liệu mà bạn cần
đặt vào thƣ mục.
Mô hình LDAP Naming - định nghĩa ra cách bạn sắp xếp và tham chiếu
đến thƣ mục.
Khoa CNTT – Đồ Án Tốt Nghiệp: Quản lý xác thực tập trung với dịch vụ LDAP Linux Trang 83/164

TRƢỜNG CAO ĐẲNG NGHỀ CNTT iSPACE
240 Võ Văn Ngân, QuậnThủ Đức, TP. Hồ Chí Minh
ĐT: 08.6. 2678999 Fax: 08 – 6261 0304
Mô hình LDAP Functional - định nghĩa cách mà bạn truy cập và cập nhật
thông tin trong thƣ mục của bạn.
Mô hình LDAP Security - định nghĩa ra cách thông tin trong trong thƣ
mục của bạn đƣợc bảo vệ tránh các truy cập không đƣợc phép.
Ngoài các mô hình ra LDAP còn định nghĩa ra khuôn dạng để trao đổi dữ liệu
LDIF (LDAP Data Interchange Format), ở dạng thức văn bản dùng để mô tả
thông tin về thƣ mục. LDIF còn có thể mô tả một tập hợp các thƣ mục hay các
cập nhật có thể đƣợc áp dụng trên thƣ mục.

II. Phƣơng thức hoạt động của LDAP:
1. Một nghi thức client/sever:
Là một mô hình giao thức giữa một chƣơng trình client chạy trên một máy tính gởi
một yêu cầu qua mạng đến cho một máy tính khác đang chạy một chƣơng trình
sever (phục vụ), chƣơng trình này nhận lấy yêu cầu và thực hiện sau đó nó trả lại
kết quả cho chƣơng trình client. Ví dụ những nghi thức client/server khác là nghi
thức truyền siêu văn bản (Hypertext transfer protocol ) viết tắt là HTTP, nghi thức
này có những ứng dụng rộng rãi phục vụ những trang web và nghi thức Internet
Message Access Protocol (IMAP), là một nghi thức sử dụng để truy cập đến các
thƣ thông báo điện tử.
Ý tƣởng cơ bản của nghi thức client/server là công việc đƣợc gán cho những máy
tính đã đƣợc tối ƣu hoá để làm thực hiện công việc đó. Ví dụ tiêu biểu cho một
máy server LDAP có rất nhiều RAM(bô nhớ) dùng để lƣu trữ nội dung các thƣ
mục cho các thao tác thực thi nhanh và máy này cũng cần đĩa cứng và các bộ vi
sử lý ở tốc độ cao.
2. LDAP Là một nghi thức hƣớng thông điệp:
Do client và sever giao tiếp thông qua các thông điệp, Client tạo một thông điệp
(LDAP message) chứa yêu cầu và gởi nó đến cho server. Server nhận đƣợc
thông điệp và sử lý yêu cầu của client sau đó gởi trả cho client cũng bằng một
thông điệp LDAP.

Khoa CNTT – Đồ Án Tốt Nghiệp: Quản lý xác thực tập trung với dịch vụ LDAP Linux Trang 84/164

TRƢỜNG CAO ĐẲNG NGHỀ CNTT iSPACE
240 Võ Văn Ngân, QuậnThủ Đức, TP. Hồ Chí Minh
ĐT: 08.6. 2678999 Fax: 08 – 6261 0304
Ví dụ: khi LDAP client muốn tìm kiếm trên thƣ mục, client tạo LDAP tìm kiếm và
gởi thông điệp cho server. Sever tìm trong cơ sở dữ liệu và gởi kết quả cho client
trong một thông điệp LDAP.

Hình 29: Thao tác tìm kiếm cơ bản
Nếu client tìm kiếm thƣ mục và nhiều kết quả đƣợc tìm thấy, thì các kết quả này
đƣợc gởi đến client bằng nhiều thông điệp.

Hình 30: Những thông điệp Client gửi cho Server
Do nghi thức LDAP là nghi thức thông điệp nên, client đƣợc phép phát ra nhiều
thông điệp yêu cầu đồng thời cùng một lúc. Trong LDAP, message ID dùng để
phân biệt các yêu cầu của client và kết quả trả về của server.

Khoa CNTT – Đồ Án Tốt Nghiệp: Quản lý xác thực tập trung với dịch vụ LDAP Linux Trang 85/164

TRƢỜNG CAO ĐẲNG NGHỀ CNTT iSPACE
240 Võ Văn Ngân, QuậnThủ Đức, TP. Hồ Chí Minh
ĐT: 08.6. 2678999 Fax: 08 – 6261 0304

Hình 31: Nhiều kết quả tìm kiếm được trả về

Việc cho phép nhiều thông điệp cùng xử lý đồng thời làm cho LDAP linh động hơn
các nghi thức khác ví dụ nhƣ HTTP, với mỗi yêu cầu từ client phải đƣợc trả lời
trƣớc khi một yêu cầu khác đƣợc gởi đi, một HTTP client program nhƣ là Web
browser muốn tải xuống cùng lúc nhiều file thì Web browser phải thực hiện mở
từng kết nối cho từng file, LDAP thực hiện theo cách hoàn toàn khác, quản lý tất
cả thao tác trên một kết nối.
3. Các thao tác của nghi thức LDAP:
LDAP có 9 thao tác cơ bản, chia thành 3 nhóm thao tác chính:
Thao tác thẩm tra (interrogation) : search, compare. Hai thao tác này cho phép
chúng ta thực hiện thẩm tra trên thƣ mục.
Thao tác cập nhật (update): add, delete, modify, modify DN ( rename ). Những
thao tác này cho phép chúng ta thực hiện cập nhật thông tin trên thƣ mục.
Thao tác xác thực và điều kiển(authentiaction and control) : bind, unbind,
abandon. Thao tác bind cho phép client tự xác định đƣợc mình với thƣ mục,
thao tác này cung cấp sự xác nhận và xác thực chứng thƣ; unbind cho phép
client huỷ bỏ phân đoạn làm việc hiện hành; và cuối cùng là thao tác abandon
cho phép client chỉ ra các thao tác mà kết quả client không còn quan tâm đến
nữa.

Khoa CNTT – Đồ Án Tốt Nghiệp: Quản lý xác thực tập trung với dịch vụ LDAP Linux Trang 86/164

TRƢỜNG CAO ĐẲNG NGHỀ CNTT iSPACE
240 Võ Văn Ngân, QuậnThủ Đức, TP. Hồ Chí Minh
ĐT: 08.6. 2678999 Fax: 08 – 6261 0304
4. Các thao tác mở rộng:
Ngoài 9 thao tác cơ bản. LDAP version 3 đƣợc thiết kế mở rộng thông qua 3 thao
tác.
Thao tác mở rộng LDAP(LDAP extended operations) – đây là một nghi thức
thao tác mới. Trong tƣơng lai nếu cần một thao tác mới, thì thao tác này có thể
định nghĩa và trở thành chuẩn mà không yêu cầu ta phải xây dựng lại các
thành phần cốt lõi của LDAP. Ví dụ một thao tác mở rộng là StarTLS, nghĩa là
báo cho sever rằng client muốn sử dụng transport layer security(TLS) để mã
hoá và tuỳ chọn cách xác thực khi kết nối.
LDAP control - Những phần của thông tin kèm theo cùng với các thao tác
LDAP, thay đổi hành vi của thao tác trên cùng một đối tƣợng.
Xác thực đơn giản và tầng bảo mật (Simple Authentication and Security Layer
SASL) là một mô hình hổ trợ cho nhiều phƣơng thức xác thực. Bằng cách sử
dụng mô hình SASL để thực hiện chứng thực. LDAP có thể dễ dàng thích nghi
với các phƣơng thức xác thực mới khác, SASL còn hổ trợ một mô hình cho
client và server có thể đàm phán trên hệ thống bảo mật diển ra ở các tầng
thấp(dẫn đến độ an toàn cao). Mặt dù nhƣ vậy nhƣng các mô hình này của
SASL đều thích nghi với các nghi thức của internet.
5. Mô hình kết nối Client – Server:
Sau đây là một là một tiến trình hoạt động trao đổi giữa LDAP client/server:

Hình 32: Mô hình kết nối giữa client và server
Khoa CNTT – Đồ Án Tốt Nghiệp: Quản lý xác thực tập trung với dịch vụ LDAP Linux Trang 87/164

TRƢỜNG CAO ĐẲNG NGHỀ CNTT iSPACE
240 Võ Văn Ngân, QuậnThủ Đức, TP. Hồ Chí Minh
ĐT: 08.6. 2678999 Fax: 08 – 6261 0304
LDAP client và server thực hiện theo các bƣớc sau:
Client mở một kết nối TCP đến LDAP server và thực hiện một thao tác bind.
Thao tác bind bao gồm tên của một directory entry ,và uỷ nhiệm thƣ sẽ đƣợc
sử dụng trong quá trình xác thực, uỷ nhiệm thƣ thông thƣờng là pasword
nhƣng cũng có thể là chứng chỉ điện tử dùng để xác thực client.
Sau khi thƣ mục có đƣợc sự xác định của thao tác bind, kết quả của hao tác
bind đƣợc trả về cho client.
Client phát ra các yêu cầu tìm kiếm.
Server thực hiện sử lý và trả về kết quả cho client. Server thực hiện sử lý và trả
về kết quả cho client. Server gởi thông điệp kết thúc việc tìm kiếm.
Client phát ra yêu cầu unbind, với yêu cầu này server biết rằng client muốn huỷ
bỏ kết nối.
Server đóng kết nối.

III. Các mô hình LDAP:
LDAP định nghĩa ra 4 mô hình gồm có LDAP informmation, LDAP Naming, LDAP
Functional, LDAP Security.
1. LDAP Information Model:
Mô hình LDAP Information định nghĩa ra các kiểu của dữ liệu và các thành phần
cơ bản của thông tin mà bạn có thể chứa trong thƣ mục. Hay chúng ta có thể nói
rằng LDAP Information mô tả cách xây dựng ra các khối dữ liệu mà chúng ta có
thể sử dụng để tạo ra thƣ mục.
Thành phần cơ bản của thông tin trong một thƣ mục gọi là entry đây là một tập
hợp chứa các thông tin về đối tƣợng (Object). Thƣờng thì các thông tin trong một
entry mô tả một đối tƣợng thật nhƣ là thông tin về ngƣời, nhƣng đây không phải là
qui định bắt buộc với mô hình. Ví dụ nhƣ trên thƣ mục dƣới đây.

Khoa CNTT – Đồ Án Tốt Nghiệp: Quản lý xác thực tập trung với dịch vụ LDAP Linux Trang 88/164

TRƢỜNG CAO ĐẲNG NGHỀ CNTT iSPACE
240 Võ Văn Ngân, QuậnThủ Đức, TP. Hồ Chí Minh
ĐT: 08.6. 2678999 Fax: 08 – 6261 0304

Hình 33: Cây thư mục với các entry là các thành phần cơ bản
Một entry là tập hợp của các thuộc tính, từng thuộc tính này mô tả một nét đặt
trƣng tiêu biểu của một đối tƣợng. Mỗi thuộc tính có kiểu một hay nhiều giá trị,
kiểu của thuộc tính mô tả loại thông tin đƣợc chứa, giá trị là dữ liệu thực sự.
Ví dụ một entry mô tả một ngƣời với các thuộc tính: tên họ, tên, số điện thoại, và
địa chỉ email.

Atrribute type
cn :
sn :
telephone number :
mail :

Atrribute values
Barbara jensen
Bads jensen
jensen
+1 408 555 1212

bads@arius.com

LDAP Data Interchange Format (LDIF):
LDAP định nghĩa ra LDIF là dạng văn bản để mô tả thông tin thƣ mục. LDIF có
thể mô tả một tập hợp các entry thƣ mục hay là tập hợp các cập nhật lên thƣ
mục dữ liệu của các thƣ mục có thể trao đổi cho nhau bằng cách dùng LDIF
Khoa CNTT – Đồ Án Tốt Nghiệp: Quản lý xác thực tập trung với dịch vụ LDAP Linux Trang 89/164

TRƢỜNG CAO ĐẲNG NGHỀ CNTT iSPACE
240 Võ Văn Ngân, QuậnThủ Đức, TP. Hồ Chí Minh
ĐT: 08.6. 2678999 Fax: 08 – 6261 0304
Ví dụ thông tin thƣ mục ở dạng văn bản LDIF, đây là dạng chuẩn dành cho việc
nhập và xuất thông tin trên thƣ mục, và các tập tin LDIF đều ở dạng ASCII điều
này làm cho chúng dễ dàng chuyền tải trên hệ thống email.
Một entry thƣ mục ở dang LDIF:
dn:uid=bjensen,dc=airius,dc=com objectClass: top
objectClass: person
objectClass: organizationalPerson
objectClass: inetOrgPerson
cn: Barbara Jensen
cn: Babs Jensen
sn: Jensen
mail:bjensen@airius.com
telephoneNumber:+14085551212
description: A big sailing fan.
Dạng một entry LDIF bao gồm nhiều dòng, đầu tiên là distinguished name (dn)
là tên của entry thƣ mục tất cả đƣợc viết trên một dòng, sau đó lần lƣợt là các
thuộc tính của entry, mỗi thuộc tính trên một dòng theo thứ tự là: kiểu thuộc
tính : giá trị thuộc tính.
Thứ tự các thuộc tính không quan trọng tuy nhiên để dễ đọc đƣợc thông tin
chúng ta nên đặt các giá trị objectclass trƣớc tiên và nên làm sao cho các giá
trị của các thuộc tính cùng kiểu ở gần nhau.
KiểuThuộc tính dữ liệu qui định, mô tả dữ liệu đƣợc đặt vào và cách thƣ mục
so sánh giá trị khi dò tìm. Ví dụ nhƣ cú pháp caseIgnoreString: qui định trong
trong một ngữ cảnh nào đó thì chúng ta xem nhƣ nhau và không cần thực hiện
so sánh nhƣ là Tom và tom nhƣ nhau không phân biệt chữ hoa và
thƣờngcaseExactString : trái ngƣợc lại với cú pháp trên phân biệt rõ ràng chữ
hoa và chữ thƣờng do đó Tom và tom là không tƣơng đƣơng nhau.
LDAP sever không hổ trợ các kiểu dữ liệu trù tƣợng chỉ hổ trợ duy nhất cho
các kiểu chuẩn. Không nhƣ những nghi thức khác chẳng hạn là X.500 ngoài
một số liểu dữ liệu chuẩn (chuỗi, số, kiểu bool) và một số kiểu dữ liệu phức tạp
xây dựng từ các kiểu dữ liệu trên. Tuy nhiên những giao diện plug-in cho phép
định nghĩa các cú pháp mới.

Khoa CNTT – Đồ Án Tốt Nghiệp: Quản lý xác thực tập trung với dịch vụ LDAP Linux Trang 90/164

TRƢỜNG CAO ĐẲNG NGHỀ CNTT iSPACE
240 Võ Văn Ngân, QuậnThủ Đức, TP. Hồ Chí Minh
ĐT: 08.6. 2678999 Fax: 08 – 6261 0304
Các thuộc tính cũng phân thành 2 loại: thuộc tính ngƣời dùng, thuộc tính thao
tác
Thuộc tính ngƣời dùng (user attributes) là các thuộc tính bình thƣờng
của một entry thƣ mục, các thuộc tính này có thể đƣợc điều chỉnh bởi
user của thƣ mục(tất nhiên là các thao tác sữa chữa đƣợc phép).
Thuộc tính thao tác (operational attributes) đây là các thuộc tính đặc biệt
và chỉ có thể đƣợc điều chỉnh bởi directory server hay là các thuộc tính
cho biết trạng thái của thƣ mục, ví dụ một thuộc tính thao tác là một
thuộc tính modifytimestamp, những thuộc tính này đƣợc bảo trì bởi thƣ
mục và nó cho biết thời điểm cuối cùng mà entry này đƣợc cập nhật.
Khi entry đƣợc gởi đến cho client, các operational attributes sẽ không
đƣợc gởi đi cùng trừ khi client yêu cầu.
Có một số ràng buộc trên giá trị của thuộc tính. Một số server software cho
phép nhà quản trị khai báo rằng một thuộc tính có thể giữ một hay nhiều giá trị.
Ví dụ nhƣ thuộc tính givenName có thể chứa nhiều giá trị, khi một ngƣời muốn
thêm vào nhiều tên (ví dụ nhƣ là Jim và James chẳng hạn) và cũng có một số
thuộc tính chỉ chứa duy nhất một giá trị. những nhà quản trị hệ thống đặt ra
phạm vi giới hạn của dữ liệu để ngăn chặn các user sử dụng vƣợt qua giới hạn
cho phép.
Bảo trì các hệ thống thƣ mục:
Bất kì một entry trong thƣ mục có tập các kiểu thuộc tính đây là các kiểu đƣợc
yêu cầu và đƣợc cho phép, ví dụ nhƣ một entry mô tả một ngƣời thì thuộc tính
yêu cầu cho entry đó là phải có cn(common name) và sn(surname). Một số
thuộc tính cho phép nhƣng phải là cần thiết cho entry mô tả một ngƣời, các
thuộc tính khác không đƣợc yêu cầu hay không đƣợc phép sẽ không có mặt
trong entry.
Những tập hợp các tập thuộc tính yêu cầu và thuộc tính đƣợc phép đƣợc gọi là
mô hình thƣ mục(directory schemas). Directory schemas có thể đƣợc thiết kế
cho phép chúng ta có quyền điều kiển và bảo trì các thông tin chứa trong entry.
Chúng ta đã có một khối thông tin cơ bản đó là entry, nhƣng làm sao để có thể
Khoa CNTT – Đồ Án Tốt Nghiệp: Quản lý xác thực tập trung với dịch vụ LDAP Linux Trang 91/164

TRƢỜNG CAO ĐẲNG NGHỀ CNTT iSPACE
240 Võ Văn Ngân, QuậnThủ Đức, TP. Hồ Chí Minh
ĐT: 08.6. 2678999 Fax: 08 – 6261 0304
sắp xếp xây dựng một cây thông tin thƣ mục (directory information tree) DIT.
Chúng ta sẽ nghiên cứu các qui tắc xây dựng trong phần LDAP Naming Model.
2. LDAP Naming Model:
Mô hình LDAP Naming định nghĩa ra cách để chúng ta có thể sắp xếp và tham
chiếu đến dữ liệu của mình. Hay chúng ta có thể nói rằng mô hình này mô tả cách
sắp xếp các entry của chúng vào một cấu trúc có logical, và mô hình LDAP
Naming chỉ ra cách để chúng ta có thể tham chiếu đến bất kỳ một entry thƣ mục
nào nằm trong cấu trúc đó.
Mô hình LDAP Naming cho phép chúng ta có thể đặt dữ liệu vào thƣ mục theo
cách mà chúng ta có thể dễ dàng quản lý nhất. Ví dụ nhƣ chúng ta có thể tạo ra
một container(khái niệm vật thể chứa đựng) chứa tất cả các entry mô tả ngƣời
trong một tổ chức, và một container chứa tất cả các group của bạn, hoặc bạn có
thể thiết kế entry theo mô hình phân cấp theo cấu trúc tổ chức của bạn. Việc thiết
kế tốt cần phải có những nghiên cứu thoả đáng.

Hình 34: Cây thư mục LDAP
Chúng ta đƣa ra hệ thống tập tin UNIX để thấy đƣợc những điểm khác biệt với hệ
thống thƣ mục LDAP, sau đó phân tích mô hình cây thƣ mục LDAP.

Khoa CNTT – Đồ Án Tốt Nghiệp: Quản lý xác thực tập trung với dịch vụ LDAP Linux Trang 92/164

TRƢỜNG CAO ĐẲNG NGHỀ CNTT iSPACE
240 Võ Văn Ngân, QuậnThủ Đức, TP. Hồ Chí Minh
ĐT: 08.6. 2678999 Fax: 08 – 6261 0304

Hình 35: Hệ thống tập tin của UNIX
Có ba điểm khác biệt quan trọng :
Điểm khác biệt đầu tiên giữa hai mô hình là trong mô hình LDAP không thực
sự có một entry gốc(root). Root là nơi mà chúng ta có thể đặt các entry vào.
Trên hệ thống LDAP có một entry đặc biệt đƣợc gọi là root DES chứa các
thông tin về server, nhƣng đây không phải là một entry thƣ mục bình thƣờng.
Khác biệt thứ hai là thƣ mục LDAP mỗi một node chứa dữ liệu, và cũng có
thể là một container chứa các entry khác. Đây là một khác biệt với hệ thống
tập tin do ở hệ thống tập tin chỉ có thƣ mục có thể chứa thƣ mục con và chỉ
có tập tin mới chứa dữ liệu. Ta có thể thấy rằng entry trong thƣ mục có thể
đồng thời là tập tin và thƣ mục. Hình 33 minh hoạ khái niệm trên các
entry dc=airius, dc=com, ou=People và ou=devices tất cả đều chứa dữ liệu
nhƣng tất cả đều có node con cấp dƣới.

Khoa CNTT – Đồ Án Tốt Nghiệp: Quản lý xác thực tập trung với dịch vụ LDAP Linux Trang 93/164

TRƢỜNG CAO ĐẲNG NGHỀ CNTT iSPACE
240 Võ Văn Ngân, QuậnThủ Đức, TP. Hồ Chí Minh
ĐT: 08.6. 2678999 Fax: 08 – 6261 0304

Hình 36: Một phần thư mục LDAP với các entry chứa thông tin.
Khác biệt cuối cùng là hệ thống tập tin phân cấp và hệ thống LDAP: Trong một
hệ thống tập tin khi ta đi từ trái sang phải tên tập tin là cách ta thực hiện đi từ
gốc(/) đến tập tin. Ví dụ nhƣ hình 35 hệ thống file Unix tên file của node đậm
màu là : /user/bin/grep. Với hệ thống thƣ mục LDAP tại node đậm màu có tên
là uid=bjensen, ou=people, dc=airius, dc=com nếu chúng ta đi từ trái sang phải
thì chúng ta có thể quay ngƣợc lại đỉnh của cây. Ta thấy rằng hệ thống thƣ
mục LDAP sắp đặt có trật tự các entry của thƣ mục, tuy nhiên LDAP không quy
định bất kỳ sự phân cấp đặt biệt nào, chúng ta có thể tự do sắp xếp hệ thống
tập tin của bạn một cách có ý nghĩa nhất với bạn. Ngoài việc chỉ cho bạn cách
sắp xếp dữ liệu vào trong các cấu trúc phân cấp, mô hình LDAP Naming còn
chỉ ra cách để tham chiếu đến từ entry trong thƣ.
Distinguished names & Relative Distingguished name:
Distinguished names (DNs) trong LDAP đây là tên của một entry chỉ ra cách
bạn có thể tham chiếu đến các entry trên thƣ mục, hai entry khác nhau trên thƣ
mục hai DNs cũng khác nhau.
Giống nhƣ đƣờng dẫn của hệ thống tập tin, tên của một entry LDAP đƣợc hình
thành bằng cách nối tất cả các tên của từng entry cấp trên (cha) cho đến khi
trở lên root, nhƣ hình trên ta thấy node có màu đậm sẽ có tên là uid=bjensen,
ou=people, dc=airius, dc=com nếu chúng ta đi từ trái sang phải thì chúng ta có
thể quay ngƣợc lại đỉnh của cây, chúng ta thấy rằng các thành phần riêng lẽ

Khoa CNTT – Đồ Án Tốt Nghiệp: Quản lý xác thực tập trung với dịch vụ LDAP Linux Trang 94/164

TRƢỜNG CAO ĐẲNG NGHỀ CNTT iSPACE
240 Võ Văn Ngân, QuậnThủ Đức, TP. Hồ Chí Minh
ĐT: 08.6. 2678999 Fax: 08 – 6261 0304
của cây đƣợc phân cách bởi dấu phẩy khoảng trắng sau dấu phẩy là tuỳ ý, do
đó hai DNs sau là tƣơng đƣơng:
uid=bjensen, ou=people, dc=airius, dc=com
uid=bjensen,ou=people,dc=airius,dc=com
Với bất kỳ một DN, thành phần trái nhất đƣợc gọi là relative distingguished
name (RDN), nhƣ đã nói DN là tên duy nhất cho mỗi entry trên thƣ mục, do đó
các entry có chùng cha thì RDN cũng phải phân biệt, ví dụ hình dƣới đây ta
thấy trên thƣ mục.

Hình 37: Ví dụ về relative distingguished name (RDN)
Mặc dù cho có hai entry có cùng RDN cn=Joohn Smith nhƣ hai entry ở hai
nhánh khác nhau.
Bí danh (Aliases):
Những entry bí danh (Aliases entry)trong thƣ mục LDAP cho phép một entry
chỉ đến một entry khác, do đó chúng ta có thể xây dựng ra cấu trúc mà thứ bật
không cón chính xác nữa, khái niệm Aliases entry giống nhƣ khái niệm
symbolic links trong UNIX hay shortcuts trên Windows9x/NT. Hình dƣới đây
cho ta thấy đƣợc một aliases entry trỏ đến một entry thật sự.
Để tạo ra một alias entry trong thƣ mục trƣớc tiên bạn phải tạo ra một entry với
tên thuộc tính là aliasedOjecctName với giá trị thuộc tính là DN của entry mà
chúng ta muốn alias entry này chỉ đến.
Khoa CNTT – Đồ Án Tốt Nghiệp: Quản lý xác thực tập trung với dịch vụ LDAP Linux Trang 95/164

TRƢỜNG CAO ĐẲNG NGHỀ CNTT iSPACE
240 Võ Văn Ngân, QuậnThủ Đức, TP. Hồ Chí Minh
ĐT: 08.6. 2678999 Fax: 08 – 6261 0304

Hình 38: LDAP với alias entry
Nhƣng không phải tất cả các LDAP Directory Server đều hổ trợ Aliases. Bởi vì
một alias entry có thể chỉ đến bất kỳ một entry nào, kể cả các entry LDAP
server khác. Do việc tìm kiếm khi gặp phải một bí danh có thể phải thực hiện
tìm kiếm trên một cây thƣ mục khác nằm trên các server khác, do đó làm tăng
chi phi cho việc tìm kiếm và đây cũng là lý do chính mà các phần mềm không
hổ trợ alias.
3. Mô hình LDAP Function:
Phần trên chúng ta đã nói đến mô hình LDAP Information và LDAP Naming, bây
giờ chúng ta sẽ xem xét mô hình LDAP Functional, đây là mô hình mô tả các thao
tác cho phép chúng ta có thể thao tác trên thƣ mục. Chúng ta nhắc lại khái quát về
mô hình LDAP Functional.
Mô hình LDAP Functional chứa một tập các thao tác chia thành 3 nhóm. Thao tác
thẩm tra (interrogation) cho phép bạn có thể search trên thƣ mục và nhận dữ liệu
từ thƣ mục. Thao tác cập nhật (update): add, delete, rename và thay đổi các entry
thƣ mục. Thao tác xác thực và điều kiển(authentiaction and control) cho phép
client xác định mình đến cho thƣ mục và điều kiển các hoạt động của phiên kết
nối. Với version 3 nghi thức LDAP ngoài 3 nhóm thao tác trên, còn có thao tác
LDAP extended, thao tác này cho phép nghi thức LDAP sau này có thể mở rộng

Khoa CNTT – Đồ Án Tốt Nghiệp: Quản lý xác thực tập trung với dịch vụ LDAP Linux Trang 96/164

TRƢỜNG CAO ĐẲNG NGHỀ CNTT iSPACE
240 Võ Văn Ngân, QuậnThủ Đức, TP. Hồ Chí Minh
ĐT: 08.6. 2678999 Fax: 08 – 6261 0304
một cách có tổ chức và không làm thay đổi đến nghi thức. Bây giờ chúng sẽ phân
tích kĩ các thao tác theo từng nhóm và đầu tiên là các thao tác LDAP interrogation.
Các thao tác thẩm tra (LDAP Interrogation):
Hai thao tác thẩm tra (LDAP Interrogation) cho phép client có thể tìm và nhận
lại thông tin từ thƣ mục nhƣng nghi thức LDAP không có thao tác đọc một
entry thƣ mục, do đó khi đó chúng ta muốn đọc một entry thì ta phải thực hiện
tìm kiếm và dừng tìm kiếm ngay khi nhận đƣợc kết quả đầu tiên. Thao tác tìm
kiếm (LDAP search operation) yêu cầu 8 tham số:
Tham số đầu tiên là đối tƣợng cơ sở mà các thao tác tìm kiếm thực
hiện trên đây, tham số này là DN chỉ đến đỉnh của cây mà chúng ta
muốn tìm.
Tham số thứ hai là phạm vi cho việc tìm kiếm, chúng ta có 3 phạm vi
thực hiện tìm kiếm:
- Phạm vi “base” chỉ ra rằng bạn muốn tìm ngay tại đối tƣợng cơ sở
- Phạm vi “onelevel” thao tác tìm kiếm diễn ra tại cấp dƣới (con trực
tiếp của đối tƣợng cơ sở)
- Phạm vi “subtree” thao tác này thực hiện tìm hết trên cây mà đối
tƣợng cơ sở là đỉnh.
- Sau đây là các hình minh hoạ các trƣờng hợp tìm kiếm tƣơng ứng với
các phạm vi trên:

Hình 39: Thao tác tìm kiếm với phạm vi base
Khoa CNTT – Đồ Án Tốt Nghiệp: Quản lý xác thực tập trung với dịch vụ LDAP Linux Trang 97/164

TRƢỜNG CAO ĐẲNG NGHỀ CNTT iSPACE
240 Võ Văn Ngân, QuậnThủ Đức, TP. Hồ Chí Minh
ĐT: 08.6. 2678999 Fax: 08 – 6261 0304

Hình 40: Thao tác tìm kiếm với phạm vi onelevel

Hình 41: Thao tác tìm kiếm với phạm vi subtree
Tham số thứ ba derefAliases , cho server biết rằng liệu bí danh aliases
có bị bỏ qua hay không tham khảo đến khi thực hiện tìm kiếm, có 4 giá
trị mà derefAliases có thể nhận đƣợc:
- nerverDerefAliases - nghĩa là thực hiện tìm kiếm và không bỏ qua bí
danh (aliases) trong lúc thực hiện tìm kiếm và áp dụng với cả đối
tƣợng cơ sở.
- derefInsearching - bỏ qua các aliases trong trong các entry cấp dƣới
Khoa CNTT – Đồ Án Tốt Nghiệp: Quản lý xác thực tập trung với dịch vụ LDAP Linux Trang 98/164

TRƢỜNG CAO ĐẲNG NGHỀ CNTT iSPACE
240 Võ Văn Ngân, QuậnThủ Đức, TP. Hồ Chí Minh
ĐT: 08.6. 2678999 Fax: 08 – 6261 0304
của đối tƣợng cơ sở, và không quan tâm đến thuộc tính của đối
tƣợng cơ sở.
- derefFindingBaseObject - ngƣợc lại với giá trị thuộc tính trên với giá
trị này thì việc tìm kiếm sẽ bỏ qua các aliases của đối tƣợng cơ sở, và
không quan tâm đến thuộc tính của các entry thấp hơn đối tƣợng cơ
sở.
- derfAlways - bỏ qua cả hai nếu việc tìm kiếm thấy đối tƣợng cơ sở
hay là các entry cấp thấp là các entry aliases.
Tham số thứ bốn cho server biết có tối đa bao nhiêu entry kết quả
đƣợc trả về, ví dụ nhƣ nếu client cho biết tham số này là 100, nhƣng
server lại tìm đƣợc 500 entry thoả mãn, nhƣng lúc này server sẽ gởi 100
entry cho cilent, nếu client đặt tham số này là zero thì client nhận đƣợc
tất cả các kết quả của việc dò tìm(chú ý tham số này có thể đƣợc áp đặt
bởi server và những ngƣời dùng bình thƣờng không thể thay đổi đƣợc).
Tham số thứ năm qui định thời gian tối đa cho việc thực hiện tìm kiếm,
khi thời gian tìm kiếm đã vƣợt quá thời gian tối đa thì server sẽ gởi cho
client LDAP_TIMELIMIT_EXCEEDED, nếu tham số này đƣợc thiết lập là
zero thì nghĩa là không có giới hạn thới gian cho việc tìm kiếm, cũng nhƣ
tham số thứ bốn tham số này có thể do server thiết lập một giới hạn và
chỉ có những ngƣời dùng có đặc quyền mới có thể thay đổi đƣợc.
Tham số thứ sáu attrOnly – là một tham số kiểu bool, nếu đƣợc thiết
lập là true, thì server chỉ gởi các kiểu thuộc tính của entry cho client,
nhƣng sever không gởi giá trị của các thuộc tính đi, điều này là cần thiết
nếu nhƣ client chỉ quan tâm đến các kiểu thuộc tính chứa trong ldap.
Tham số thứ bảy là bộ lọc tìm kiếm(search filter) đây là một biểu thức
mô tả các loại entry sẽ đƣợc giữ lại. Trong LDAP chức năng tìm kiếm
với biểu thức lọc nhƣ vậy là rất linh động, tham khảo chi tiết các loại bộ
lọc với phần tiếp theo.

Khoa CNTT – Đồ Án Tốt Nghiệp: Quản lý xác thực tập trung với dịch vụ LDAP Linux Trang 99/164

TRƢỜNG CAO ĐẲNG NGHỀ CNTT iSPACE
240 Võ Văn Ngân, QuậnThủ Đức, TP. Hồ Chí Minh
ĐT: 08.6. 2678999 Fax: 08 – 6261 0304
Tham số thứ tám và đây là tham số cuối cùng đây là một danh sách
các thuộc tính đƣợc giữ lại với mỗi entry. Bạn có thể chỉ định các thuộc
tính đƣợc giữ lại.
Các kiểu bộ lọc áp dụng cho việc tìm kiếm.
Filter Type

Format

Example

Matches

Equality

(attr=value)

sn=jensen

Tìm kiếm các
entry
có surname là
jensen

Substring

(attr=[leading]
*[any]*[trailin
g])

(sn=*jensen*)

Surname chứa
chuổi con
“jensen”

(sn=jensen*)
(sn=*jensen)
(sn=je*nse*n)

Surname bắt
đầu là chuổi
jensen
Surname kết
thúc với chuổi
“jensen”
Surname bắt
đầu với chuổi
“je” chứa
chuổi”nse” và
kết thúc là chuổi
“n”

Approximat
e

(attr~=value)

(attr=~jensen)

Surname xấp xĩ
nhƣ là chuổi
“jensen” chẳng
hạn nhƣ “jensin”
hay “jenson”

Greater
than or
equal to

(attr>=value)

(sn>=jensen)

Surname
>=”jensen”, bộ
lọc này áp dụng
cho các
thuộc tính là
kiểu có giá trị

Less than
or equal to

(attr<=value)

(sn<=jensen)

Surname
>=”jensen”

Presence

(attr=*)

(sn=*)

Tất cả các
entry có thuộc
tính atrr

Khoa CNTT – Đồ Án Tốt Nghiệp: Quản lý xác thực tập trung với dịch vụ LDAP Linux Trang 100/164

TRƢỜNG CAO ĐẲNG NGHỀ CNTT iSPACE
240 Võ Văn Ngân, QuậnThủ Đức, TP. Hồ Chí Minh
ĐT: 08.6. 2678999 Fax: 08 – 6261 0304

AND

(&(filter1)(filte
r2)…)

(&(sn=jensen)(obj
ectclass=person))

Các entry là
objectclass
person và
surname=jensen

OR

(|(filter1)(filter
2)…)

(|(sn~=jensen)(tel
ephonenumber=89
44570))

Các entry
cósurname xấp
sĩ nhƣ chuổi
“jensen” hay có
số điện thoại là
8944570

NOT

(!(filter))

(!(age>=22))

Các entry có
thuộc tính tuổi
<22

Chỉ có LDAP version 3 hổ trợ cho bộ lọc này: đây là một bộ lọc thiết kế cho các
thao tác tìm kiếm phát triển trong tƣơng lai. Bộ lọc này mang tính dễ dàng mở
rộng của LDAP khi các thao tác tìm kiếm phát triển. Một ví dụ cho thấy sự hữu
dụng của đặc tính này là:
Cú pháp của bộ lọc mở rộng này khá phức tạp, gồm có 5 phần và 3
trong đó là các tuỳ chọn, những phần đó là:
ƒ

-Tên của thuộc tính.
- Chuỗi tuỳ chọn : dn chỉ ra rằng các thuộc tính hình thành nên DN của
entry đƣợc xem nhƣ là một thuộc tính của entry trong suốt thời gian thực
hiện tìm kiếm.
- Tuỳ chọn dấu : đi sau đó là qui tắc thực hiện để so sánh nếu để trống
thì một qui tắc mặc định thích hợp sẽ đƣợc lựa chọn cho việc tìm kiếm
trên thuộc tính, nếu thuộc tính tên bị bỏ sót thì tuỳ chọn này buộc phải
có mặt.
ƒ

Chuỗi “:=”.

ƒ

Một giá trị dùng để so sánh.

- Ví dụ: attr [“:dn”] [“:” matchingrule] “:” value
Các kí tự đặc biệt

Khoa CNTT – Đồ Án Tốt Nghiệp: Quản lý xác thực tập trung với dịch vụ LDAP Linux Trang 101/164

TRƢỜNG CAO ĐẲNG NGHỀ CNTT iSPACE
240 Võ Văn Ngân, QuậnThủ Đức, TP. Hồ Chí Minh
ĐT: 08.6. 2678999 Fax: 08 – 6261 0304
Nếu khi chúng ta thực hiện tìm kiếm mà một số giá trị thuộc tính chứa một trong 5 kí tự đặc
biệt trong bảng ở bên dƣới:

Bảng các kí tự tránh sử dụng trong bộ lọc tìm kiếm
Kí tự

Giá trị hệ 10

Giá trị hệ 16

* (dấu hoa thị)

42

0x2A

\2A

( (mở ngoặc)
) (đóng ngoặc)
\ (xẹt ngƣợc)

40
41
92

0x28
0x29
0x5C

\28
\29
\5c

NULL

0

0x00

\00

Escap Sequence

Để thực hiện tìm kiếm một thuộc tính cn=star* thì chúng ta sẽ sử dụng bộ lọc là
(cn=star\2A) ở đây \2A thay thế cho kí tự *.
Thao tác cập nhật:
Chúng ta có 4 thao tác cập nhật đó là add, delete, rename(modify DN), và modify.
Add: Thao tác add tạo ra một entry mới với tên DN và danh sách các thuộc tính
truyền vào, khi thực hiện add một entry mới vào thƣ mục phải thoả các điều
kiện sau :
- Entry là nút cha của entry mới phải tồn tại.
- Chƣa tồn tại một entry nào có cùng tên DN với entry mới trên thƣ mục
Các thao tác điều kiển truy cập trên thƣ mục là các thao tác đƣợc phép.
Delete: Thao tác xoá (delete) chỉ cần truyền vào tên của entry cần xoá và thao
tác thực hiện đƣợc nếu nhƣ:
-

Entry tồn tại với tên là DN truyền vào.
Entry bị xoá không có các entry con.

Các thao tác điều kiển truy cập trên thƣ mục là các thao tác đƣợc phép xoá.
Rename: Thao tác rename hay modify DN sử dụng để đổi tên hay dùng để di
chuyển các entry trong thƣ mục, các tham số cần truyền vào là DN của entry
cần đổi tên, RDN mới của entry và một số tham số tuỳ chọn dành cho các entry
là cha mới của entry di chuyển đến, và cuối cùng là một cờ cho phép xoá hay
không xóa với RDN cũ. Cũng nhƣ trên thao tác thực hiện đƣợc nếu nhƣ thoả:
Khoa CNTT – Đồ Án Tốt Nghiệp: Quản lý xác thực tập trung với dịch vụ LDAP Linux Trang 102/164

TRƢỜNG CAO ĐẲNG NGHỀ CNTT iSPACE
240 Võ Văn Ngân, QuậnThủ Đức, TP. Hồ Chí Minh
ĐT: 08.6. 2678999 Fax: 08 – 6261 0304
-

Các entry bị đổi tên phải tồn tại.

-

Tên mới của entry phải chƣa tồn tại.

Các thao tác điều kiển truy cập trên thƣ mục là các thao tác đƣợc phép.
LDAP version 2 không hổ trợ thao tác modify DN, chỉ có thao tác modify RDN,
do chỉ thay đổi RDN của entry cho nên LDAP version 2 chỉ cho phép thực hiện
rename tên của entry nhƣng không có khả năng di chuyển có đến nơi khác
trên cây.
Update: Thao tác cuối cùng là thao tác cập nhật với tham số DN và tập hợp
các thay đổi đƣợc áp dụng lên đây. Và thao tác này đòi hỏi
-

Entry với DN truyền vào phải tồn tại.

-

Tất cả các thuộc tính thay đổi đều thực hiện thành công

-

Các thao tác cập nhật phải là các thao tác đƣợc phép

Nếu một điều kiện nào ở trên không thoả thì cách cập nhận sẽ không đƣợc áp dụng trên
entry.
Các thao tác xác thực và điều kiển(LDAP authentiaction and control
Operations):
- Thao tác xác thực gồm: thao tác bind và unbind.
-

Thao tác điều kiển chỉ có abandon.
Bind:

-

Thao tác bind là cách client xác thực với server, client đƣa ra DN và uỷ
nhiệm thƣ, server kiểm tra DN và uỷ nhiệm thƣ nếu thành công thì client có
quyền thực hiện các thao tác lên thƣ mục.

-

Có nhiều phƣơng thức bind khác nhau, đơn giản là client đƣa ra một DN và
password các thông tin này ở dạng hiểu đƣợc. Lúc này server chỉ cần tìm
entry với tên DN và kiểm tra xem giá trị thuộc tính userpassword có đúng với
password truyền vào hay không. Tuy các phƣơng thức an toàn hơn là SSL
hay là TLS.

-

Với LDAP version 3 có một thao tác bind, là SASL bind đây là một nghi thức
độc lập với các mô hình xác thực, với SASL cho phép client chọn thao tác
xác thực và nếu thao tác này đƣợc server hổ trợ thì đây là thao tác dùng để

Khoa CNTT – Đồ Án Tốt Nghiệp: Quản lý xác thực tập trung với dịch vụ LDAP Linux Trang 103/164

TRƢỜNG CAO ĐẲNG NGHỀ CNTT iSPACE
240 Võ Văn Ngân, QuậnThủ Đức, TP. Hồ Chí Minh
ĐT: 08.6. 2678999 Fax: 08 – 6261 0304
xác thực client.
Unbind:
-

Thao tác unbind, khi client phát ra thông báo này thì server sẽ huỹ bỏ các
thông tin liên quan đến khách hàng huỷ bỏ tất cả các thao tác đang thi hành
trên thƣ mục và đóng kết nối TCP.
Abandon:

-

Thao tác abandon có một tham số duy nhất đó là ID của thông điệp, client
thực hiện thao tác này khi không quan tâm đến kết quả của thao tác bất kỳ
trƣớc đó.

4. Mô hình LDAP Security:
Vấn đề cuối cùng trong các mô hình LDAP là việc bảo vệ thông tin trong thƣ mục
khỏi các truy cập không đƣợc phép. Khi thực hiện thao tác bind dƣới một tên DN
hay có thể client một ngƣời vô danh thì với mỗi user có một số quyền thao tác trên
entry thƣ mục. Và những quyền nào đƣợc entry chấp nhận tất cả những điều trên
gọi là truy cập điều kiển (access control). Hiện nay LDAP chƣa định nghĩa ra một
mô hình Access Control, các điều kiển truy cập này đƣợc thiết lập bởi các nhà
quản trị hệ thống bằng các server software.

IV. Sử dụng LDAP:
1. Ứng dụng xác thực dùng LDAP:
Dùng LDAP xác thực một user đăng nhập vào một hệ thống qua chƣơng trình
thẩm tra, chƣơng trình thực hiện nhƣ sau đầu tiên chƣơng trình thẩm tra tạo ra
một đại diện để xác thực với LDAP thông qua (1) sau đó so sánh mật khẩu của
user A với thông tin chứa trong thƣ mục. Nếu so sánh thành công thì user A đã
xác thực thành công.

Khoa CNTT – Đồ Án Tốt Nghiệp: Quản lý xác thực tập trung với dịch vụ LDAP Linux Trang 104/164

TRƢỜNG CAO ĐẲNG NGHỀ CNTT iSPACE
240 Võ Văn Ngân, QuậnThủ Đức, TP. Hồ Chí Minh
ĐT: 08.6. 2678999 Fax: 08 – 6261 0304

Hình 42: Xác thực dùng LDAP
2. Một số ứng dụng sử dụng nghi thức LDAP:
Một chƣơng trình mail có thể thực hiện dùng chứng chỉ điện tử chứa trong thƣ
mục trên server LDAP để ký, bằng cách gởi yêu cầu tìm kiếm cho LDAP server ,
LDAP server gởi lại cho client chứng chỉ điện tử của nó sau đó chƣơng trình mail
dùng chứng chỉ điện tử để ký và gởi cho Message sever. Nhƣng ở góc độ ngƣời
dùng thì tất cả quá trình trên đều hoạt động một cách tự động và ngƣời dùng
không phải quan tâm.

Hình 43: Mô hình đơn giản lưu trữ
Message server có thể sử dụng LDAP directory để thực hiện kiểm tra các mail. Khi
một mail đến từ một địa chỉ, messeage server tìm kiếm địa chỉ email trong thƣ mục
trên LDAP server lúc này Message server biết đƣợc hợp thƣ ngƣời sử dụng có
tồn tại và nhận thƣ.
Khoa CNTT – Đồ Án Tốt Nghiệp: Quản lý xác thực tập trung với dịch vụ LDAP Linux Trang 105/164

TRƢỜNG CAO ĐẲNG NGHỀ CNTT iSPACE
240 Võ Văn Ngân, QuậnThủ Đức, TP. Hồ Chí Minh
ĐT: 08.6. 2678999 Fax: 08 – 6261 0304

Hình 44: Dùng LDAP để quản lý thư

Khoa CNTT – Đồ Án Tốt Nghiệp: Quản lý xác thực tập trung với dịch vụ LDAP Linux Trang 106/164

TRƢỜNG CAO ĐẲNG NGHỀ CNTT iSPACE
240 Võ Văn Ngân, QuậnThủ Đức, TP. Hồ Chí Minh
ĐT: 08.6. 2678999 Fax: 08 – 6261 0304

CHƢƠNG V: TRIỂN KHAI HỆ THỐNG
I. Phân tích hiện trạng hệ thống:
Hiện nay, trong hệ thống mạng của công ty Thành Long các dịch vụ đã và đang
đƣợc triển khai ngày càng nhiều. Điều này phản ánh đƣợc hiệu quả của hệ thống;
Tuy nhiên, các hệ thống dịch vụ này vẫn đang sử dụng các hệ thống xác thực
riêng lẻ. Mỗi một dịch vụ có một hệ thống dữ liệu về ngƣời dùng khác nhau gây
khó khăn trong việc quản lý và bảo mật hệ thống. Do vậy, cần xây dựng một hệ
thống dữ liệu xác thực chuẩn đảm bảo các tiêu chí về bảo mật và an toàn dữ liệu
để có thể cung cấp dịch vụ xác thực cho các dịch vụ sẵn có và đặc biệt là các dịch
vụ tích hợp thêm.
Để giải quyết vấn đề có quá nhiều hệ thống ngƣời dùng riêng rẽ, cần nghiên cứu
một hệ thống có khả năng tập trung các hệ thống ngƣời dùng thành một hệ dữ liệu
thống nhất để phục vụ việc chứng thực cho tất cả các ứng dụng. Sử dụng hệ
thống chứng thực tập trung có các ƣu điểm sau:
Tập trung quản lý ngƣời dùng: Toàn bộ ngƣời dùng sẽ đƣợc quản lý tại một hệ
dữ liệu thống nhất. Các thao tác từ cấp phát, loại bỏ, phân quyền đến sao lƣu
dự phòng, khôi phục dữ liệu… sẽ chỉ thực hiện tại một hệ dữ liệu này.
Tiện lợi cho ngƣời sử dụng: Ngƣời dùng không cần phải nhớ quá nhiều tên
đăng nhập và mật khẩu khi sử dụng hệ thống.
Tiết kiệm chi phí đầu tƣ: Các ứng dụng sẽ không cần phải quan tâm đến việc
cấp phát và quản lý ngƣời dùng.
Qua phân tích hiện trạng các dịch vụ hiện tại của công ty Thành Long, nhóm thực
hiện nhận thấy việc tổ chức dữ liệu tập trung phục vụ chứng thực cho các ứng
dụng là cần thiết và hoàn toàn có khả năng thực hiện.
Trong đề tài này, nhóm thực hiện xin đƣa ra giải pháp sử dụng hệ thống dữ liệu
LDAP để xây dựng hệ thống dữ liệu phục vụ xác thực tập trung cho các ứng dụng
với các ƣu điểm sau:
Gọn nhẹ, đảm bảo truy xuất nhanh thông tin.
Khoa CNTT – Đồ Án Tốt Nghiệp: Quản lý xác thực tập trung với dịch vụ LDAP Linux Trang 107/164

TRƢỜNG CAO ĐẲNG NGHỀ CNTT iSPACE
240 Võ Văn Ngân, QuậnThủ Đức, TP. Hồ Chí Minh
ĐT: 08.6. 2678999 Fax: 08 – 6261 0304
Dễ dàng quản lý và điều khiển.
Hoạt động ổn định.
Có giao diện mở tƣơng tác với các ứng dụng khác.
Có cơ chế đảm bảo an toàn thông tin, khả năng sao lƣu đồng bộ và khôi phục
khi gặp sự cố.
Có khả năng phân cấp thông tin và lƣu trữ phân tán.

Khoa CNTT – Đồ Án Tốt Nghiệp: Quản lý xác thực tập trung với dịch vụ LDAP Linux Trang 108/164

TRƢỜNG CAO ĐẲNG NGHỀ CNTT iSPACE
240 Võ Văn Ngân, QuậnThủ Đức, TP. Hồ Chí Minh
ĐT: 08.6. 2678999 Fax: 08 – 6261 0304
II. Cài đặt và cấu hình Open LDAP Replication Multi Master:
1. Cài đặt:
1.1 Các gói cài đặt:
Berkeley Database.
Openldap-2.4.25.
Openldap-clients.
Openldap-devel.
Nss_ldap.
Libtool-ltdl-1.5.
Openldap-servers.
2. Các file cấu hình:
/usr/local/etc/openldap/slapd.conf

; ldapserver config file and replication.

/etc/syslog.conf

; config log file.

/usr/local/libexec/slapd

; Start ldap.

2.1 Cấu hình file /usr/local/etc/openldap/slapd.conf:
Trên máy ldap-svr1:

Hình 45: Khai báo schema

Hình 46: Khai báo tham số ldap

Khoa CNTT – Đồ Án Tốt Nghiệp: Quản lý xác thực tập trung với dịch vụ LDAP Linux Trang 109/164

TRƢỜNG CAO ĐẲNG NGHỀ CNTT iSPACE
240 Võ Văn Ngân, QuậnThủ Đức, TP. Hồ Chí Minh
ĐT: 08.6. 2678999 Fax: 08 – 6261 0304

Hình 47: Định nghĩa database, tên phân giải, user quản trị, thư mục lưu trữ database.

Hình 48: Khai báo các tham số đồng bộ ldap

Hình 49: Chỉ định logfile

Hình 50: Tạo các đối tượng cho ldap
Khoa CNTT – Đồ Án Tốt Nghiệp: Quản lý xác thực tập trung với dịch vụ LDAP Linux Trang 110/164

TRƢỜNG CAO ĐẲNG NGHỀ CNTT iSPACE
240 Võ Văn Ngân, QuậnThủ Đức, TP. Hồ Chí Minh
ĐT: 08.6. 2678999 Fax: 08 – 6261 0304

Trên máy ldap-svr2:

Hình 51: Khai báo schema

Hình 52: Khai báo tham số ldap

Hình 53: Định nghĩa database, tên phân giải, user quản trị, thư mục lưu trữ
database.

Hình 54: Khai báo các tham số đồng bộ ldap
Khoa CNTT – Đồ Án Tốt Nghiệp: Quản lý xác thực tập trung với dịch vụ LDAP Linux Trang 111/164

TRƢỜNG CAO ĐẲNG NGHỀ CNTT iSPACE
240 Võ Văn Ngân, QuậnThủ Đức, TP. Hồ Chí Minh
ĐT: 08.6. 2678999 Fax: 08 – 6261 0304

Sau khi cấu hình các tham số chúng ta start | restart lại dịch vụ ldap trên cả 02
máy bằng lệnh:
#/usr/local/libexec/slapd
Từ máy ldap-svr1 dùng công cụ quản trị ldap admin tạo user u1 quan sát ta thấy
user u1 sẽ đƣợc đồng bộ sang ldap-svr2.

Hình 55: User u1 đã được đồng bộ sang ldap-svr2

Khoa CNTT – Đồ Án Tốt Nghiệp: Quản lý xác thực tập trung với dịch vụ LDAP Linux Trang 112/164

TRƢỜNG CAO ĐẲNG NGHỀ CNTT iSPACE
240 Võ Văn Ngân, QuậnThủ Đức, TP. Hồ Chí Minh
ĐT: 08.6. 2678999 Fax: 08 – 6261 0304
Từ máy ldap-svr2 dùng công cụ quản trị ldap admin tạo user u2 quan sát ta thấy
user u2 sẽ đƣợc đồng bộ sang ldap-svr1

Hình 56: User u2 đã được đồng bộ sang ldap-svr1

III. Xây dựng Primary Domain Controller (Openldap with Samba):
1. Cài đặt:
1.1 Các gói cài đặt:
Libtool-ltdl-1.5.22-6.1.i386.rpm
Openldap-servers-2.3.43-3.el5.i386.rpm
Openldap-clients-2.3.43-3.el5.i386.rpm
Openldap-2.3.43-3.el5.i386.rpm
Nss_ldap
Php_ldap
Python-ldap
Khoa CNTT – Đồ Án Tốt Nghiệp: Quản lý xác thực tập trung với dịch vụ LDAP Linux Trang 113/164

TRƢỜNG CAO ĐẲNG NGHỀ CNTT iSPACE
240 Võ Văn Ngân, QuậnThủ Đức, TP. Hồ Chí Minh
ĐT: 08.6. 2678999 Fax: 08 – 6261 0304
Samba-3.0.33-3.14.el5.i386.rpm
Samba-client-3.0.33-3.14.el5.i386.rpm
Samba-common-3.0.33-3.14.el5.i386.rpm
System-config-samba
Samba-swat
Smbldap-tools-0.9.3
2. Các file cấu hình:
/etc/openldap/slapd.conf
/etc/ldap.conf
/etc/samba/smb.conf
2.1 Cấu hình file /etc/openldap/slapd.conf:

Hình 57: Khai báo samba.schema

Hình 58: Khai báo tham số ldap

Hình 59: Định nghĩa database, tên phân giải, user quản trị, thư mục lưu trữ database.

Khoa CNTT – Đồ Án Tốt Nghiệp: Quản lý xác thực tập trung với dịch vụ LDAP Linux Trang 114/164

TRƢỜNG CAO ĐẲNG NGHỀ CNTT iSPACE
240 Võ Văn Ngân, QuậnThủ Đức, TP. Hồ Chí Minh
ĐT: 08.6. 2678999 Fax: 08 – 6261 0304

Hình 60: Khai báo chỉ mục cho database

Hình 61: Phân quyền cho các đối tượng

Hình 62: Khai báo thông tin chứng thực bằng ldap

Khoa CNTT – Đồ Án Tốt Nghiệp: Quản lý xác thực tập trung với dịch vụ LDAP Linux Trang 115/164

TRƢỜNG CAO ĐẲNG NGHỀ CNTT iSPACE
240 Võ Văn Ngân, QuậnThủ Đức, TP. Hồ Chí Minh
ĐT: 08.6. 2678999 Fax: 08 – 6261 0304
2.2 Cấu hình file /etc/samba/smb.conf:

Hình 63: Khai báo tên Domain, kiểu chứng thực

Hình 64: Khai báo logfile, logsize, script tạo các đối tượng cho DC

Hình 65: Cấu hình logon script, kiểu chứng thực
Khoa CNTT – Đồ Án Tốt Nghiệp: Quản lý xác thực tập trung với dịch vụ LDAP Linux Trang 116/164

TRƢỜNG CAO ĐẲNG NGHỀ CNTT iSPACE
240 Võ Văn Ngân, QuậnThủ Đức, TP. Hồ Chí Minh
ĐT: 08.6. 2678999 Fax: 08 – 6261 0304

Hình 66: Cấu hình netlogon, tạo Profiles cho user
2.3 Tạo file script logon trong /var/lib/samba/netlogon/scripts

Khoa CNTT – Đồ Án Tốt Nghiệp: Quản lý xác thực tập trung với dịch vụ LDAP Linux Trang 117/164

TRƢỜNG CAO ĐẲNG NGHỀ CNTT iSPACE
240 Võ Văn Ngân, QuậnThủ Đức, TP. Hồ Chí Minh
ĐT: 08.6. 2678999 Fax: 08 – 6261 0304

Hình 67: Nội dung file logon
Khoa CNTT – Đồ Án Tốt Nghiệp: Quản lý xác thực tập trung với dịch vụ LDAP Linux Trang 118/164

TRƢỜNG CAO ĐẲNG NGHỀ CNTT iSPACE
240 Võ Văn Ngân, QuậnThủ Đức, TP. Hồ Chí Minh
ĐT: 08.6. 2678999 Fax: 08 – 6261 0304
2.4 Cấu hình file /var/lib/samba/sbin/smbldap_tools.pm:

Hình 68: Chỉ định đường dẫn file smbldap_bind.conf; smbldap.conf
Chạy lệnh: #./configure.pl để cấu hình

Hình 69: Nhập các thông số cấu hình
Từ dấu nhắc lệnh > nhập các thông số cấu hình, những thông số nào không thay
đổi nhấn enter.
Tạo các đối tƣợng cho Domain (ví dụ: ou, groups, user…)
Từ máy Windows XP tiến hành join vào Domain
Khoa CNTT – Đồ Án Tốt Nghiệp: Quản lý xác thực tập trung với dịch vụ LDAP Linux Trang 119/164

TRƢỜNG CAO ĐẲNG NGHỀ CNTT iSPACE
240 Võ Văn Ngân, QuậnThủ Đức, TP. Hồ Chí Minh
ĐT: 08.6. 2678999 Fax: 08 – 6261 0304

Hình 70: Join Domain thành công

Hình 71: Client Windows XP đã được thêm vào Cơ sở dữ liệu LDAP
Khoa CNTT – Đồ Án Tốt Nghiệp: Quản lý xác thực tập trung với dịch vụ LDAP Linux Trang 120/164

TRƢỜNG CAO ĐẲNG NGHỀ CNTT iSPACE
240 Võ Văn Ngân, QuậnThủ Đức, TP. Hồ Chí Minh
ĐT: 08.6. 2678999 Fax: 08 – 6261 0304
IV. Xây dựng File-Server chứng thực LDAP (Samba):
1. Cài đặt:
1.1 Các gói cài đặt:
Samba-3.0.33-3.14.el5.i386.rpm
Samba-client-3.0.33-3.14.el5.i386.rpm
Samba-common-3.0.33-3.14.el5.i386.rpm
System-config-samba
Samba-swat
2. Các file cấu hình:
/etc/samba/smb.conf.
/etc/ldap.conf.
/etc/xinetd.d/swat
2.1 Cấu hình file /etc/samba/smb.conf:
Tạo các thƣ mục lƣu trữ dữ liệu cho các đối tƣợng
#mkdir /home/dulieu
#mkdir /home/ketoan
#mkdir /home/kinhdoanh
#mkdir /home/software
Cấu hình chia sẽ các thƣ mục:

Khoa CNTT – Đồ Án Tốt Nghiệp: Quản lý xác thực tập trung với dịch vụ LDAP Linux Trang 121/164

TRƢỜNG CAO ĐẲNG NGHỀ CNTT iSPACE
240 Võ Văn Ngân, QuậnThủ Đức, TP. Hồ Chí Minh
ĐT: 08.6. 2678999 Fax: 08 – 6261 0304

Hình 72: Các thư mục chia sẽ

Từ client truy xuất vào file server: Start  Run  \\hostname | ip_address:

Hình 73: Truy xuất file server từ client

Khoa CNTT – Đồ Án Tốt Nghiệp: Quản lý xác thực tập trung với dịch vụ LDAP Linux Trang 122/164

TRƢỜNG CAO ĐẲNG NGHỀ CNTT iSPACE
240 Võ Văn Ngân, QuậnThủ Đức, TP. Hồ Chí Minh
ĐT: 08.6. 2678999 Fax: 08 – 6261 0304
2.2 Giám sát truy cập tài nguyên chia sẽ:
Cấu hình file /etc/xinetd.d/swat

Hình 74: Thông số samba swat
Mở trình duyệt truy cập vào samba-server để giám sát tài nguyên chia sẽ:
http://hostname | ip_address:901

Hình 75: Giám sát chia sẽ tài nguyên
Khoa CNTT – Đồ Án Tốt Nghiệp: Quản lý xác thực tập trung với dịch vụ LDAP Linux Trang 123/164

TRƢỜNG CAO ĐẲNG NGHỀ CNTT iSPACE
240 Võ Văn Ngân, QuậnThủ Đức, TP. Hồ Chí Minh
ĐT: 08.6. 2678999 Fax: 08 – 6261 0304

V. Xây dựng Mail-Server chứng thực LDAP (Postfix):
1. Cài đặt:
1.1 Các gói cài đặt:
Postfix-2.3.3-2.1.el5_2.i386.rpm
Dovecot-1.0.7-7.el5.i386.rpm
Php-mbstring-5.1.6-23.2.el5_3.i386.rpm
Squirrelmail-1.4.8-5.el5.centos.7.noarch.rpm
2. Các file cấu hình:
/etc/postfix/main.cf
/etc/ldap.conf
/etc/postfix/accountsmap.cf
/etc/postfix/ldap-aliases.cf
/etc/dovecot-ldap.conf.
/etc/squirrelmail/config.php
2.1 Cấu hình file /etc/postfix/main.cf:

Hình 76: Chỉ định hostname, domain, origin, network

Hình 77: Khai báo virtual_alias_maps, virtual_mailbox_maps..

Khoa CNTT – Đồ Án Tốt Nghiệp: Quản lý xác thực tập trung với dịch vụ LDAP Linux Trang 124/164

TRƢỜNG CAO ĐẲNG NGHỀ CNTT iSPACE
240 Võ Văn Ngân, QuậnThủ Đức, TP. Hồ Chí Minh
ĐT: 08.6. 2678999 Fax: 08 – 6261 0304

2.2 Tạo file /etc/postfix/accountsmap.cf:

Hình 78: Nội dung file accountsmap.cf
2.3 Tạo file /etc/postfix/ldap-aliases.cf:

Hình 79: Nội dung file ldap-aliases.cf
2.4 Cấu hình file dovecot-ldap.conf:
Copy file dovecot-ldap-example.conf từ /usr/share/doc/dovecot-1.0.7/examples
sang /etc/dovecot-ldap.conf.

Hình 80: Cấu hình file dovecot-ldap.conf
2.5 Cấu hình file dovecot.conf:

Khoa CNTT – Đồ Án Tốt Nghiệp: Quản lý xác thực tập trung với dịch vụ LDAP Linux Trang 125/164

TRƢỜNG CAO ĐẲNG NGHỀ CNTT iSPACE
240 Võ Văn Ngân, QuậnThủ Đức, TP. Hồ Chí Minh
ĐT: 08.6. 2678999 Fax: 08 – 6261 0304

Hình 81: Cấu hình file dovecot.conf
3. Tạo mail và kiểm tra:
3.1 Tạo email account:
Sử dụng công cụ ldap admin  tạo user (nếu chƣa có)  R-click user 
Properties  Chọn tab Business  Add  Nhập vào email account  OK 
OK.

Khoa CNTT – Đồ Án Tốt Nghiệp: Quản lý xác thực tập trung với dịch vụ LDAP Linux Trang 126/164

TRƢỜNG CAO ĐẲNG NGHỀ CNTT iSPACE
240 Võ Văn Ngân, QuậnThủ Đức, TP. Hồ Chí Minh
ĐT: 08.6. 2678999 Fax: 08 – 6261 0304

Hình 82: Tạo email account
3.2 Kiểm tra gởi – nhận mail:
Cấu hình các tham số cho outlook express:

Hình 83: Cấu hình outlook express
Khoa CNTT – Đồ Án Tốt Nghiệp: Quản lý xác thực tập trung với dịch vụ LDAP Linux Trang 127/164

TRƢỜNG CAO ĐẲNG NGHỀ CNTT iSPACE
240 Võ Văn Ngân, QuậnThủ Đức, TP. Hồ Chí Minh
ĐT: 08.6. 2678999 Fax: 08 – 6261 0304

Hình 84: Gởi – nhận mail thành công
4. Cấu hình webmail:
4.1 Cấu hình file /etc/squirrelmail/config.php

4.2 Sử dụng webmail:
Mở trình duyệt nhập vào: http://mail-server | ip_address/webmail:

Khoa CNTT – Đồ Án Tốt Nghiệp: Quản lý xác thực tập trung với dịch vụ LDAP Linux Trang 128/164

TRƢỜNG CAO ĐẲNG NGHỀ CNTT iSPACE
240 Võ Văn Ngân, QuậnThủ Đức, TP. Hồ Chí Minh
ĐT: 08.6. 2678999 Fax: 08 – 6261 0304

Hình 85: Trang đăng nhập webmail

Hình 86: Giao diện webmail
Khoa CNTT – Đồ Án Tốt Nghiệp: Quản lý xác thực tập trung với dịch vụ LDAP Linux Trang 129/164

TRƢỜNG CAO ĐẲNG NGHỀ CNTT iSPACE
240 Võ Văn Ngân, QuậnThủ Đức, TP. Hồ Chí Minh
ĐT: 08.6. 2678999 Fax: 08 – 6261 0304
VI. Xây dựng FTP-Server chứng thực LDAP (vsftpd):
1. Cài đặt:
1.1 Các gói cài đặt:
Vsftpd-2.0.5-16.el5.i386.rpm.
2. Các file cấu hình:
/etc/pam.d/vsftpd.
/etc/vsftpd/vsftpd.conf.
2.1 Cấu hình file /etc/pam.d/vsftpd (chứng thực ldap):

Hình 87: Nội dung file /etc/pam.d/vsftpd
2.2 Cấu hình file /etc/vsftpd/ vsftpd.conf (cấu hình cơ bản):

Hình 88: Cấu hình thông số ftp cơ bản.
3. Kiểm tra – sử dụng:
Chúng ta có thể dùng trình duyệt để truy cập ftp server hoặc sử dụng chƣơng
trình ftp client chuyên dụng, cũng có thể truy cập ftp server bằng command
line.

Khoa CNTT – Đồ Án Tốt Nghiệp: Quản lý xác thực tập trung với dịch vụ LDAP Linux Trang 130/164

TRƢỜNG CAO ĐẲNG NGHỀ CNTT iSPACE
240 Võ Văn Ngân, QuậnThủ Đức, TP. Hồ Chí Minh
ĐT: 08.6. 2678999 Fax: 08 – 6261 0304

Hình 89: Truy cập FTP Server

Khoa CNTT – Đồ Án Tốt Nghiệp: Quản lý xác thực tập trung với dịch vụ LDAP Linux Trang 131/164

TRƢỜNG CAO ĐẲNG NGHỀ CNTT iSPACE
240 Võ Văn Ngân, QuậnThủ Đức, TP. Hồ Chí Minh
ĐT: 08.6. 2678999 Fax: 08 – 6261 0304
VII. Xây dựng Web-Server chứng thực LDAP (apache):
1. Cài đặt:
1.1 Các gói cài đặt:
Httpd-2.2.3-43.el5.centos
2. Các file cấu hình:
/etc/httpd/conf/httpd.conf
2.1 Cấu hình file /etc/httpd/conf/httpd.conf (chứng thực ldap):
Thêm vào các dòng sau:

Hình 90: Yêu cầu chứng thực khi truy cập vào trang /admin

Khoa CNTT – Đồ Án Tốt Nghiệp: Quản lý xác thực tập trung với dịch vụ LDAP Linux Trang 132/164

TRƢỜNG CAO ĐẲNG NGHỀ CNTT iSPACE
240 Võ Văn Ngân, QuậnThủ Đức, TP. Hồ Chí Minh
ĐT: 08.6. 2678999 Fax: 08 – 6261 0304

3. Kiểm tra chứng thực truy cập:

Hình 91: Chứng thực truy cập

Hình 92: Chứng thực truy cập thành công
Khoa CNTT – Đồ Án Tốt Nghiệp: Quản lý xác thực tập trung với dịch vụ LDAP Linux Trang 133/164

TRƢỜNG CAO ĐẲNG NGHỀ CNTT iSPACE
240 Võ Văn Ngân, QuậnThủ Đức, TP. Hồ Chí Minh
ĐT: 08.6. 2678999 Fax: 08 – 6261 0304
VIII.

Xây dựng Proxy, Firewall, VPN Server (IPCOP):

1. Cài đặt:
1.1 Cài đặt IPCOP:
Download file ipcop.iso (internet)  ghi ra đĩa CD  chọn boot từ CDROM
để cài đặt.
1.2 Các bƣớc cài đặt:
Chọn ngôn ngữ sử dụng  OK

Hình 93: Chọn ngôn ngữ sử dụng

Khoa CNTT – Đồ Án Tốt Nghiệp: Quản lý xác thực tập trung với dịch vụ LDAP Linux Trang 134/164

TRƢỜNG CAO ĐẲNG NGHỀ CNTT iSPACE
240 Võ Văn Ngân, QuậnThủ Đức, TP. Hồ Chí Minh
ĐT: 08.6. 2678999 Fax: 08 – 6261 0304

Chọn source cài đặt là CDROM  OK

Hình 94: Chọn source cài đặt
Click OK

Hình 95: Thông báo prepare harddisk
Khoa CNTT – Đồ Án Tốt Nghiệp: Quản lý xác thực tập trung với dịch vụ LDAP Linux Trang 135/164

TRƢỜNG CAO ĐẲNG NGHỀ CNTT iSPACE
240 Võ Văn Ngân, QuậnThủ Đức, TP. Hồ Chí Minh
ĐT: 08.6. 2678999 Fax: 08 – 6261 0304

Hình 96: Quá trình cài đặt bắt đầu
Cấu hình mạng  Click Probe

Hình 97: Cấu hình mạng
Khoa CNTT – Đồ Án Tốt Nghiệp: Quản lý xác thực tập trung với dịch vụ LDAP Linux Trang 136/164

TRƢỜNG CAO ĐẲNG NGHỀ CNTT iSPACE
240 Võ Văn Ngân, QuậnThủ Đức, TP. Hồ Chí Minh
ĐT: 08.6. 2678999 Fax: 08 – 6261 0304
Quá trình kiểm tra driver Network Card diễn ra  Nhập địa chỉ IP cho
GREEN interface  OK

Hình 98: Thiết lập địa chỉ IP cho GREEN interface
Chọn kiểu bàn phím

Hình 99: Chọn kiểu bàn phím
Khoa CNTT – Đồ Án Tốt Nghiệp: Quản lý xác thực tập trung với dịch vụ LDAP Linux Trang 137/164

TRƢỜNG CAO ĐẲNG NGHỀ CNTT iSPACE
240 Võ Văn Ngân, QuậnThủ Đức, TP. Hồ Chí Minh
ĐT: 08.6. 2678999 Fax: 08 – 6261 0304
Đặt tên cho firewall  OK

Hình 100: Nhập hostname
Nhập tên Domain  OK

Hình 101: Nhập Domain name
Khoa CNTT – Đồ Án Tốt Nghiệp: Quản lý xác thực tập trung với dịch vụ LDAP Linux Trang 138/164

TRƢỜNG CAO ĐẲNG NGHỀ CNTT iSPACE
240 Võ Văn Ngân, QuậnThủ Đức, TP. Hồ Chí Minh
ĐT: 08.6. 2678999 Fax: 08 – 6261 0304
Chọn Network configuration type  OK

Hình 102: Cấu hình mạng
Chọn GREEN + ORANGE + RED  OK

Hình 103: Chọn kiểu cấu hình mạng
Khoa CNTT – Đồ Án Tốt Nghiệp: Quản lý xác thực tập trung với dịch vụ LDAP Linux Trang 139/164

TRƢỜNG CAO ĐẲNG NGHỀ CNTT iSPACE
240 Võ Văn Ngân, QuậnThủ Đức, TP. Hồ Chí Minh
ĐT: 08.6. 2678999 Fax: 08 – 6261 0304
Chọn Drivers and card assignments  OK

Hình 104: Chỉ định drivers cho NIC
Chọn Address settings  OK

Hình 105: Thiết lập IP address
Khoa CNTT – Đồ Án Tốt Nghiệp: Quản lý xác thực tập trung với dịch vụ LDAP Linux Trang 140/164

TRƢỜNG CAO ĐẲNG NGHỀ CNTT iSPACE
240 Võ Văn Ngân, QuậnThủ Đức, TP. Hồ Chí Minh
ĐT: 08.6. 2678999 Fax: 08 – 6261 0304
Đặt địa chỉ IP cho ORANGE interface

Hình 106: Đặt ip cho ORANGE interface
Đặt ip cho RED interface  OK  Done

Hình 107: Đặt ip cho RED interface
Khoa CNTT – Đồ Án Tốt Nghiệp: Quản lý xác thực tập trung với dịch vụ LDAP Linux Trang 141/164

TRƢỜNG CAO ĐẲNG NGHỀ CNTT iSPACE
240 Võ Văn Ngân, QuậnThủ Đức, TP. Hồ Chí Minh
ĐT: 08.6. 2678999 Fax: 08 – 6261 0304
Chọn DNS and Gateway settings  OK

Hình 108: Thiết lập DNS và Gateway
Chỉ định DNS và Gateway  OK  Done

Hình 109: Chỉ định DNS và Gateway
Khoa CNTT – Đồ Án Tốt Nghiệp: Quản lý xác thực tập trung với dịch vụ LDAP Linux Trang 142/164

TRƢỜNG CAO ĐẲNG NGHỀ CNTT iSPACE
240 Võ Văn Ngân, QuậnThủ Đức, TP. Hồ Chí Minh
ĐT: 08.6. 2678999 Fax: 08 – 6261 0304
Cấu hình DHCP Server  OK

Hình 110: Cấu hình DHCP Server
Đặt password cho user root  OK

Hình 111: Đặt password cho user root
Khoa CNTT – Đồ Án Tốt Nghiệp: Quản lý xác thực tập trung với dịch vụ LDAP Linux Trang 143/164

TRƢỜNG CAO ĐẲNG NGHỀ CNTT iSPACE
240 Võ Văn Ngân, QuậnThủ Đức, TP. Hồ Chí Minh
ĐT: 08.6. 2678999 Fax: 08 – 6261 0304
Đặt password cho user admin (dùng để quản trị bằng giao diện web)  OK

Hình 112: Đặt password cho user admin
Đặt password backup  OK

Hình 113: Đặt password backup
Khoa CNTT – Đồ Án Tốt Nghiệp: Quản lý xác thực tập trung với dịch vụ LDAP Linux Trang 144/164

TRƢỜNG CAO ĐẲNG NGHỀ CNTT iSPACE
240 Võ Văn Ngân, QuậnThủ Đức, TP. Hồ Chí Minh
ĐT: 08.6. 2678999 Fax: 08 – 6261 0304
Hoàn tất cài đặt  OK

Hình 114: Hoàn tất cài đặt

Khoa CNTT – Đồ Án Tốt Nghiệp: Quản lý xác thực tập trung với dịch vụ LDAP Linux Trang 145/164

TRƢỜNG CAO ĐẲNG NGHỀ CNTT iSPACE
240 Võ Văn Ngân, QuậnThủ Đức, TP. Hồ Chí Minh
ĐT: 08.6. 2678999 Fax: 08 – 6261 0304

1.3 Cấu hình Proxy Server:
Mở trình duyệt nhập vào: http://firewall_ip_address:81 để vào trang quản trị:

Hình 115: Giao diện quản trị firewall

Khoa CNTT – Đồ Án Tốt Nghiệp: Quản lý xác thực tập trung với dịch vụ LDAP Linux Trang 146/164

TRƢỜNG CAO ĐẲNG NGHỀ CNTT iSPACE
240 Võ Văn Ngân, QuậnThủ Đức, TP. Hồ Chí Minh
ĐT: 08.6. 2678999 Fax: 08 – 6261 0304

Chọn Tab Services  Chọn Advanced Proxy  Check Enable Proxy  Thiết
lập Port

Hình 116: Cấu hình Proxy Server

Khoa CNTT – Đồ Án Tốt Nghiệp: Quản lý xác thực tập trung với dịch vụ LDAP Linux Trang 147/164

TRƢỜNG CAO ĐẲNG NGHỀ CNTT iSPACE
240 Võ Văn Ngân, QuậnThủ Đức, TP. Hồ Chí Minh
ĐT: 08.6. 2678999 Fax: 08 – 6261 0304

Cấu hình chứng thực LDAP: Chọn phƣơng thức chứng thực LDAP  điền
các thông số LDAP Server  Clich Save and Restart

Hình 117: Khai báo thông số chứng thực LDAP

Khoa CNTT – Đồ Án Tốt Nghiệp: Quản lý xác thực tập trung với dịch vụ LDAP Linux Trang 148/164

TRƢỜNG CAO ĐẲNG NGHỀ CNTT iSPACE
240 Võ Văn Ngân, QuậnThủ Đức, TP. Hồ Chí Minh
ĐT: 08.6. 2678999 Fax: 08 – 6261 0304

Mở trình duyệt  nhập vào địa chỉ trang web bất kỳ  ta thấy xuất hiện hộp
thoại chứng thực user để truy cập web.

Hình 118: Chứng thực user truy cập web

Khoa CNTT – Đồ Án Tốt Nghiệp: Quản lý xác thực tập trung với dịch vụ LDAP Linux Trang 149/164

TRƢỜNG CAO ĐẲNG NGHỀ CNTT iSPACE
240 Võ Văn Ngân, QuậnThủ Đức, TP. Hồ Chí Minh
ĐT: 08.6. 2678999 Fax: 08 – 6261 0304

1.4 Cấu hình firewall:
Chọn Tab Firewall  Chọn Port Forwarding  Thiết lập Rule public
application server

Hình 119: Thiết lập rule puplic dịch vụ

Khoa CNTT – Đồ Án Tốt Nghiệp: Quản lý xác thực tập trung với dịch vụ LDAP Linux Trang 150/164

TRƢỜNG CAO ĐẲNG NGHỀ CNTT iSPACE
240 Võ Văn Ngân, QuậnThủ Đức, TP. Hồ Chí Minh
ĐT: 08.6. 2678999 Fax: 08 – 6261 0304

Chọn Tab Firewall  Chọn DNZ PinHoles  Thiết lập Rule cho phép các
máy trong vùng DNZ truy cập GREEN network (internal):

Hình 120: Thiết lập rule DNZ zone.

Khoa CNTT – Đồ Án Tốt Nghiệp: Quản lý xác thực tập trung với dịch vụ LDAP Linux Trang 151/164

TRƢỜNG CAO ĐẲNG NGHỀ CNTT iSPACE
240 Võ Văn Ngân, QuậnThủ Đức, TP. Hồ Chí Minh
ĐT: 08.6. 2678999 Fax: 08 – 6261 0304

Chọn Tab Firewall  Chọn Firewall Option  Thiết lập ping response

Hình 121: Thiết lập ping response

Khoa CNTT – Đồ Án Tốt Nghiệp: Quản lý xác thực tập trung với dịch vụ LDAP Linux Trang 152/164

TRƢỜNG CAO ĐẲNG NGHỀ CNTT iSPACE
240 Võ Văn Ngân, QuậnThủ Đức, TP. Hồ Chí Minh
ĐT: 08.6. 2678999 Fax: 08 – 6261 0304

1.5 Cấu hình logs:
Chọn Tab LOGS  Log settings  Thiết lập các thông số log

Hình 122: Thiết lập các thông số log

Khoa CNTT – Đồ Án Tốt Nghiệp: Quản lý xác thực tập trung với dịch vụ LDAP Linux Trang 153/164

TRƢỜNG CAO ĐẲNG NGHỀ CNTT iSPACE
240 Võ Văn Ngân, QuậnThủ Đức, TP. Hồ Chí Minh
ĐT: 08.6. 2678999 Fax: 08 – 6261 0304

Giám sát Proxy logs:

Hình 123: Proxy logs

Khoa CNTT – Đồ Án Tốt Nghiệp: Quản lý xác thực tập trung với dịch vụ LDAP Linux Trang 154/164

TRƢỜNG CAO ĐẲNG NGHỀ CNTT iSPACE
240 Võ Văn Ngân, QuậnThủ Đức, TP. Hồ Chí Minh
ĐT: 08.6. 2678999 Fax: 08 – 6261 0304

Giám sát firewall logs:

Hình 124: Firewall logs

Khoa CNTT – Đồ Án Tốt Nghiệp: Quản lý xác thực tập trung với dịch vụ LDAP Linux Trang 155/164

TRƢỜNG CAO ĐẲNG NGHỀ CNTT iSPACE
240 Võ Văn Ngân, QuậnThủ Đức, TP. Hồ Chí Minh
ĐT: 08.6. 2678999 Fax: 08 – 6261 0304

Giám sát IDS logs:

Hình 125: IDS logs

Khoa CNTT – Đồ Án Tốt Nghiệp: Quản lý xác thực tập trung với dịch vụ LDAP Linux Trang 156/164

TRƢỜNG CAO ĐẲNG NGHỀ CNTT iSPACE
240 Võ Văn Ngân, QuậnThủ Đức, TP. Hồ Chí Minh
ĐT: 08.6. 2678999 Fax: 08 – 6261 0304

Giám sát URL Filter logs:

Hình 126: URL Filter logs

Khoa CNTT – Đồ Án Tốt Nghiệp: Quản lý xác thực tập trung với dịch vụ LDAP Linux Trang 157/164

TRƢỜNG CAO ĐẲNG NGHỀ CNTT iSPACE
240 Võ Văn Ngân, QuậnThủ Đức, TP. Hồ Chí Minh
ĐT: 08.6. 2678999 Fax: 08 – 6261 0304

1.6 Cấu hình VPN Server:
Cài đặt Open VPN (ZERINA-0.9.5b):
#rpm –ivh Zerina-0.9.5b.rpm
Mở trình duyệt  Nhập vào địa chỉ firewall  Chọn Tab VPNs  Chọn Open
VPN  Nhập các thông số cho VPN Server

Hình 127: Cấu hình VPN Server

Khoa CNTT – Đồ Án Tốt Nghiệp: Quản lý xác thực tập trung với dịch vụ LDAP Linux Trang 158/164

TRƢỜNG CAO ĐẲNG NGHỀ CNTT iSPACE
240 Võ Văn Ngân, QuậnThủ Đức, TP. Hồ Chí Minh
ĐT: 08.6. 2678999 Fax: 08 – 6261 0304

Click Add cấu hình thông số cho user:

Hình 128: Khai báo thông tin user

Khoa CNTT – Đồ Án Tốt Nghiệp: Quản lý xác thực tập trung với dịch vụ LDAP Linux Trang 159/164

TRƢỜNG CAO ĐẲNG NGHỀ CNTT iSPACE
240 Võ Văn Ngân, QuậnThủ Đức, TP. Hồ Chí Minh
ĐT: 08.6. 2678999 Fax: 08 – 6261 0304

Download key chứng thực:

Hình 129: Download key chứng thực

Khoa CNTT – Đồ Án Tốt Nghiệp: Quản lý xác thực tập trung với dịch vụ LDAP Linux Trang 160/164

TRƢỜNG CAO ĐẲNG NGHỀ CNTT iSPACE
240 Võ Văn Ngân, QuậnThủ Đức, TP. Hồ Chí Minh
ĐT: 08.6. 2678999 Fax: 08 – 6261 0304

Tại máy client cài đặt OpenVPN GUI:

Hình 130: Cài đặt OpenVPN client
Giải nén key vừa down ở trên vào thƣ mục C:\Programfile\OpenVPN\Config.

Hình 131: Giải nén key xác thực
Khoa CNTT – Đồ Án Tốt Nghiệp: Quản lý xác thực tập trung với dịch vụ LDAP Linux Trang 161/164

TRƢỜNG CAO ĐẲNG NGHỀ CNTT iSPACE
240 Võ Văn Ngân, QuậnThủ Đức, TP. Hồ Chí Minh
ĐT: 08.6. 2678999 Fax: 08 – 6261 0304
R-click lên icon network (màu đỏ) ở góc trái thanh taskbar  Chọn connect
 Nhập vào password chứng thực  OK  Thông báo kết nối thành công

Hình 132: Kết nối VPN thành công

Khoa CNTT – Đồ Án Tốt Nghiệp: Quản lý xác thực tập trung với dịch vụ LDAP Linux Trang 162/164

TRƢỜNG CAO ĐẲNG NGHỀ CNTT iSPACE
240 Võ Văn Ngân, QuậnThủ Đức, TP. Hồ Chí Minh
ĐT: 08.6. 2678999 Fax: 08 – 6261 0304

Kiểm tra truy cập mạng nội bộ thành công:

Hình 133: Truy cập mạng internal thành công

Khoa CNTT – Đồ Án Tốt Nghiệp: Quản lý xác thực tập trung với dịch vụ LDAP Linux Trang 163/164

TRƢỜNG CAO ĐẲNG NGHỀ CNTT iSPACE
240 Võ Văn Ngân, QuậnThủ Đức, TP. Hồ Chí Minh
ĐT: 08.6. 2678999 Fax: 08 – 6261 0304

CHƢƠNG VI: ĐÁNH GIÁ VÀ HƢỚNG PHÁT TRIỂN
I. Kết quả thực hiện đề tài:
1. Yêu cầu đề tài:
Hoàn thành đầy đủ các yêu cầu đề tài đặt ra, cụ thể:
Xây dựng hệ thống chứng thực tập trung cho các dịch vụ mạng (mail, ftp,
web..) của công ty Thành Long bằng chƣơng trình OpenLDAP.
Phát triển mở rộng hệ thống chứng thực LDAP Primary Domain Controller.
Triển khai hệ thống firewall nguồn mở IPCOP.
Xây dựng VPN Server phục vụ nhu cầu kết nối từ xa.
2. Hƣớng phát triển đề tài:
Mở rộng hệ thống chứng thực tập trung theo mô hình Branch – Office.

II. Tài liệu tham khảo:
[1] Tiêu Đông Nhơn, Giáo trình dịch vụ mạng Linux, NXB ĐH QG TP.HCM
[2] Khoa mạng truyền thông Trƣờng CĐN iSPACE - Tài liệu môn học Quản trị mạng
Linux
[3] Trung tâm đào tạo mạng Nhất Nghệ - Chứng chỉ Linux Administration.

III. Các website:
[1] http://www.centos.org.
[2] http://www.server-world.info.
[3] http://www.ipcop.org.
[4] http://www.openldap.org.
[5] Các website khác.

Khoa CNTT – Đồ Án Tốt Nghiệp: Quản lý xác thực tập trung với dịch vụ LDAP Linux Trang 164/164

Sign up to vote on this title
UsefulNot useful