BÀI2:TRIỂN KHAI GIAO

THỨC KERBEROS
 Chỉ tiêu Điểm tối đa Ghi chú
Triển khai được hệ thống sử dụng xác 2,0 Đã Hoàn Thành
thực Kerberos

Sử dụng MIT Kerberos (không phải +1,0 Đã Hoàn Thành

Kerberos tích hợp sẵn trong các hệ
điều hành)

Triển khai KDC và TGS trên các máy +1,0

khác nhau

Triển khai máy chủ dịch vụ tách rời +1,0 Đã hoàn thành
khỏi các máy chủ Kerberos

2
GIAI ĐOẠN CHUẨN BỊ:
.2 MÁY CLIENT VÀ SERVER CHUNG 1 LAN(VMNET3)
.CẤU HÌNH IP CỦA SERVER VÀ CLIENT VỚI DNS CỦA
CLIENT TRỎ ĐẾN SERVER ĐỂ JOIN VÀO MIỀN
DOMAIN.

3
GIAI ĐOẠN CHUẨN BỊ 2:
.TRIỂN KHAI DOMAIN CONTROLER TRÊN SERVER

4
GIAI ĐOẠN CHUẨN BỊ 3:
.JOIN MÁY CLIENT VÀO MIỀN DOMAIN ĐÃ TẠO TRÊN

5
 PHÂN TÍCH GÓI TIN:

• -Có tổng cộng 4 gói tin trong quá trình xác thực qua phương thức Kerberos gồm: AS-REQ,AS-REP,TGS-
REQ,TGS-REP
• -/AS:Authentication Server
• -/TGS:Ticket Granting Server
• -/REQ:gói request
• -/REP:gói response
• --4 gói tin trên thể hiện tương tác giữa client và KDC(Key Distribution Center) với mục đích cuối cùng để
6
lấy được phiếu dịch vụ(ST-Service Ticket) và yêu cầu dịch vụ từ server
 PHÂN TÍCH GÓI TIN

Ta tiếp tục thấy được quy trình bắt tay ba bước được dùng

7
PHÂN TÍCH GÓI TIN (MÁY CHỦ XÁC THỰC AS)
-PVNO(PROTOCOL VERSION NUMBER):PHIÊN
BẢN KERBEROS(5)
-MSG-TYPE:LOẠI TIN(AS-REQ) VÀ SỐ THẺ LỚP
ỨNG DỤNG(10)
-PADATA: TRUYỀN TẢI THÔNG TIN BỔ SUNG
TRONG CÁC YÊU CẦU HAY PHẢN HỒI XÁC THỰC:
PA-PAC-REQUEST: TRUYỀN TẢI YÊU CẦU TRUY
CẬP
-KDC OPTIONS: FLAG CHO TỪNG PHIẾU KẾT
QUẢ(40810010 LÀ KẾT HỢP TỪ CÁC FLAG NHỎ
HƠN ĐẠI DIỆN CHO TỪNG KẾT QUẢ)
-CNAME:CHỨA TÊN NGƯỜI DÙNG ĐANG XÁC
THỰC(ADMINISTRATOR)
-REALM:VÙNG KERBEROS ,LÀ VÙNG DOMAIN
MÀ TA ĐÃ ĐẶT (KERBEROS.EDU.VN)
-SNAME:CHỨA TÊN DỊCH VỤ ĐANG ĐƯỢC YÊU
CẦU
-TILL:THỜI GIAN HẾT HẠN CỦA TICKET YÊU
CẦU(TGT)
-RTIME:THỜI GIAN TỐI ĐA THỰC TẾ MÀ TICKET
YÊU CẦU(TGT) TỒN TẠI TRƯỚC KHI PHẢI GIA
HẠN
-NONCE:SỐ TẠO NGẪU NHIÊN,DUY NHẤT VÀ
ĐƯỢC SỬ DỤNG TRONG CÁC TIN NHẮN
KERBEROS
-ETYPE:CÁC LOẠI MÃ HÓA ĐƯỢC YÊU CẦU
-ADDRESS:IP CỦA CLIENT
VỚI MÁY CHỦ CUNG CẤP PHIẾU DỊCH VỤ TGS CŨNG CÓ KẾT
8 QUẢ PHÂN TÍCH GẦN NHƯ TƯƠNG TỰ
PHẦN2: TRIỂN KHAI MIT KERBEROS

9
PHẦN 2:MIT KERBEROS

Ta tải phần mềm MIT Kerberos trên internet

và khởi động phần mềm.

10
PHẦN 2:MIT KERBEROS

-Là một phần mềm mang tính chi

tiết hơn do vậy ta có thể:

+tùy chỉnh lại mật khẩu cho phần

authen
+tạo ra 1 principal mới
+có thêm nhiều option khác như
ticket timelife hay renewable
lifetime.

11
 PHẦN 2:MIT KERBEROS

Ta vẫn thu được kết quả tương tự và cũng với những tham số đã giải thích phần
trước

12
PHẦN 4:TRIỂN KHAI MÁY CHỦ DỊCH VỤ TÁCH RỜI

Ta tạo một tài khoản vs username là service để về

sau sẽ là tài khoản chạy dịch vụ

13
PHẦN 4:TRIỂN KHAI MÁY CHỦ DỊCH VỤ TÁCH RỜI

-Thêm role Web Server(IIS) mới

-Thêm 2 phương thức xác thực là: Basic authentication và
Windows authentication
14
 PHẦN 4:TRIỂN KHAI MÁY CHỦ DỊCH VỤ TÁCH RỜI

Vào IIS vừa được add vào mục add website

Cấu hình bao gồm:

-Site name:tên trang
-Physical path:chọn một folder được hiển thị trên trang(ta sẽ
cấp quyền dịch vụ của folder này cho user Service ở trên)
-Binding:giao thức,Ip,port,..
-Connect as:sẽ connect với user Service ta đã tạo
15
PHẦN 4:TRIỂN KHAI MÁY CHỦ DỊCH VỤ TÁCH RỜI

Mở lại website và enable Directory Browsing Vào mục authentication sau đó disable chế độ anonymous
authen và enable window authen

16
PHẦN 4:TRIỂN KHAI MÁY CHỦ DỊCH VỤ TÁCH RỜI

Mở port cần thiết trên tường lửa (vừa rồi ta thiết lập cho
website tại port 8080 thì sẽ mở port 8080
17
PHần 4:Triển khai máy chủ dịch vụ tách rời

Dùng client truy cập vào trình duyệt, nhập vào thanh địa chỉ
http://<IP server dịch vụ>:<port nếu cần>
Ngay sau khi nhập, website sẽ yêu cầu cung cấp thông tin xác
thực của người dùng
Sau khi xác thực thành công, ta sẽ vào được website như ảnh
bên trên
18
PHần 4:Triển khai máy chủ dịch vụ tách rời

Kiểm tra gói tin qua Wireshark, ta thấy được mọi xác thực
Kerberos là do Server Kerberos đảm nhận, Server dịch vụ sẽ chỉ
cung cấp dịch vụ web