Professional Documents
Culture Documents
Bài 02.Triển khai Kerberos
Bài 02.Triển khai Kerberos
THỨC KERBEROS
Chỉ tiêu Điểm tối đa Ghi chú
Triển khai được hệ thống sử dụng xác 2,0 Đã Hoàn Thành
thực Kerberos
Triển khai máy chủ dịch vụ tách rời +1,0 Đã hoàn thành
khỏi các máy chủ Kerberos
2
GIAI ĐOẠN CHUẨN BỊ:
.2 MÁY CLIENT VÀ SERVER CHUNG 1 LAN(VMNET3)
.CẤU HÌNH IP CỦA SERVER VÀ CLIENT VỚI DNS CỦA
CLIENT TRỎ ĐẾN SERVER ĐỂ JOIN VÀO MIỀN
DOMAIN.
3
GIAI ĐOẠN CHUẨN BỊ 2:
.TRIỂN KHAI DOMAIN CONTROLER TRÊN SERVER
4
GIAI ĐOẠN CHUẨN BỊ 3:
.JOIN MÁY CLIENT VÀO MIỀN DOMAIN ĐÃ TẠO TRÊN
5
PHÂN TÍCH GÓI TIN:
• -Có tổng cộng 4 gói tin trong quá trình xác thực qua phương thức Kerberos gồm: AS-REQ,AS-REP,TGS-
REQ,TGS-REP
• -/AS:Authentication Server
• -/TGS:Ticket Granting Server
• -/REQ:gói request
• -/REP:gói response
• --4 gói tin trên thể hiện tương tác giữa client và KDC(Key Distribution Center) với mục đích cuối cùng để
6
lấy được phiếu dịch vụ(ST-Service Ticket) và yêu cầu dịch vụ từ server
PHÂN TÍCH GÓI TIN
Ta tiếp tục thấy được quy trình bắt tay ba bước được dùng
7
PHÂN TÍCH GÓI TIN (MÁY CHỦ XÁC THỰC AS)
-PVNO(PROTOCOL VERSION NUMBER):PHIÊN
BẢN KERBEROS(5)
-MSG-TYPE:LOẠI TIN(AS-REQ) VÀ SỐ THẺ LỚP
ỨNG DỤNG(10)
-PADATA: TRUYỀN TẢI THÔNG TIN BỔ SUNG
TRONG CÁC YÊU CẦU HAY PHẢN HỒI XÁC THỰC:
PA-PAC-REQUEST: TRUYỀN TẢI YÊU CẦU TRUY
CẬP
-KDC OPTIONS: FLAG CHO TỪNG PHIẾU KẾT
QUẢ(40810010 LÀ KẾT HỢP TỪ CÁC FLAG NHỎ
HƠN ĐẠI DIỆN CHO TỪNG KẾT QUẢ)
-CNAME:CHỨA TÊN NGƯỜI DÙNG ĐANG XÁC
THỰC(ADMINISTRATOR)
-REALM:VÙNG KERBEROS ,LÀ VÙNG DOMAIN
MÀ TA ĐÃ ĐẶT (KERBEROS.EDU.VN)
-SNAME:CHỨA TÊN DỊCH VỤ ĐANG ĐƯỢC YÊU
CẦU
-TILL:THỜI GIAN HẾT HẠN CỦA TICKET YÊU
CẦU(TGT)
-RTIME:THỜI GIAN TỐI ĐA THỰC TẾ MÀ TICKET
YÊU CẦU(TGT) TỒN TẠI TRƯỚC KHI PHẢI GIA
HẠN
-NONCE:SỐ TẠO NGẪU NHIÊN,DUY NHẤT VÀ
ĐƯỢC SỬ DỤNG TRONG CÁC TIN NHẮN
KERBEROS
-ETYPE:CÁC LOẠI MÃ HÓA ĐƯỢC YÊU CẦU
-ADDRESS:IP CỦA CLIENT
VỚI MÁY CHỦ CUNG CẤP PHIẾU DỊCH VỤ TGS CŨNG CÓ KẾT
8 QUẢ PHÂN TÍCH GẦN NHƯ TƯƠNG TỰ
PHẦN2: TRIỂN KHAI MIT KERBEROS
9
PHẦN 2:MIT KERBEROS
10
PHẦN 2:MIT KERBEROS
11
PHẦN 2:MIT KERBEROS
Ta vẫn thu được kết quả tương tự và cũng với những tham số đã giải thích phần
trước
12
PHẦN 4:TRIỂN KHAI MÁY CHỦ DỊCH VỤ TÁCH RỜI
13
PHẦN 4:TRIỂN KHAI MÁY CHỦ DỊCH VỤ TÁCH RỜI
Mở lại website và enable Directory Browsing Vào mục authentication sau đó disable chế độ anonymous
authen và enable window authen
16
PHẦN 4:TRIỂN KHAI MÁY CHỦ DỊCH VỤ TÁCH RỜI
Mở port cần thiết trên tường lửa (vừa rồi ta thiết lập cho
website tại port 8080 thì sẽ mở port 8080
17
PHần 4:Triển khai máy chủ dịch vụ tách rời
Dùng client truy cập vào trình duyệt, nhập vào thanh địa chỉ
http://<IP server dịch vụ>:<port nếu cần>
Ngay sau khi nhập, website sẽ yêu cầu cung cấp thông tin xác
thực của người dùng
Sau khi xác thực thành công, ta sẽ vào được website như ảnh
bên trên
18
PHần 4:Triển khai máy chủ dịch vụ tách rời
Kiểm tra gói tin qua Wireshark, ta thấy được mọi xác thực
Kerberos là do Server Kerberos đảm nhận, Server dịch vụ sẽ chỉ
cung cấp dịch vụ web