ĐẠI HỌC QUỐC GIA HÀ NỘI
VIỆN CÔNG NGHỆ THÔNG TIN
ĐỒNG QUANG VIỆT
XÂY DỰNG HỆ THỐNG QUẢN LÝ TÀI NGUYÊN
VÀ TRUY CẬP INTERNET CHO CÁC KÝ TÚC XÁ
ĐẠI HỌC QUỐC GIA HÀ NỘI
LUẬN VĂN THẠC SĨ CÔNG NGHỆ THÔNG TIN
Hà Nội - 2016
ĐẠI HỌC QUỐC GIA HÀ NỘI
VIỆN CÔNG NGHỆ THÔNG TIN
ĐỒNG QUANG VIỆT
XÂY DỰNG HỆ THỐNG QUẢN LÝ TÀI NGUYÊN
VÀ TRUY CẬP INTERNET CHO CÁC KÝ TÚC XÁ
ĐẠI HỌC QUỐC GIA HÀ NỘI
Ngành: Công nghệ Thông tin
Chuyên ngành: Quản lý Hệ thống Thông tin
Mã số: Chuyên ngàn
59 trang |
Chia sẻ: huong20 | Ngày: 07/01/2022 | Lượt xem: 390 | Lượt tải: 0
Tóm tắt tài liệu Luận văn Xây dựng hệ thống quản lý tài nguyên và truy cập internet cho các ký túc xá đại học quốc gia Hà Nội, để xem tài liệu hoàn chỉnh bạn click vào nút DOWNLOAD ở trên
h đào tạo thí điểm
LUẬN VĂN THẠC SĨ CÔNG NGHỆ THÔNG TIN
NGƯỜI HƯỚNG DẪN KHOA HỌC: TS. VŨ DUY LINH
NHẬN XÉT CỦA NHẬN XÉT CỦA
CÁN BỘ HƯỚNG DẪN CHỦ TICH HỘI ĐỒNG CHẤM LUẬN VĂN
TS. VŨ DUY LINH PGS.TS. ĐỖ NĂNG TOÀN
Hà Nội – 2016
Lời cảm ơn
Để hoàn thành luận văn này, trước tiên, tôi xin gửi lời cảm ơn sâu sắc nhất đến
thầy giáo TS. Vũ Duy Linh, người đã khơi nguồn, định hướng chuyên môn,
cũng như trực tiếp hướng dẫn và tạo mọi điều kiện thuận lợi nhất cho tôi trong
quá trình thực hiện luận văn.
Tôi xin chân thành gửi lời cảm ơn đến các thầy cô trong Viện CNTT – ĐH Quốc
Gia Hà Nội đã góp ý kiến, nhận xét và quan tâm chỉ bảo, giúp đỡ tận tình trong
quá trình tôi thực hiện đề tài.
Tôi xin chân thành gửi lời cám ơn đến các bạn đồng nghiệp cũng trong Trung
tâm Ứng dụng Công nghệ Thông tin – Viện CNTT – ĐH Quốc Gia Hà Nội đã
tạo điều kiện giúp đỡ tôi trong quá trình thực hiện đề tài.
Cuối cùng, tôi xin bày tỏ lòng kính trọng và sự biết ơn sâu sắc đến gia đình đã
tạo động lực và mọi điều kiện tốt nhất để tôi có thể hoàn thành tốt mọi công việc
trong quá trình thực hiện luận văn.
Mặc dù đã rất cố gắng trong quá trình thực hiện luận văn không thể tránh khỏi
những thiếu sót. Tôi rất mong nhận được sự góp ý của các thầy cô và bạn bè để
tiếp tục hoàn thiện thêm việc xây dựng hệ thống quản lý tài nguyên và truy cập
internet cho các ký túc xá Đại học Quốc gia Hà Nội.
Hà Nội, ngày tháng năm 2016
Tác giả luận văn
Đồng Quang Việt
Lời cam đoan
Tôi xin cam đoan rằng đây là công trình nghiên cứu của tôi, có sự hỗ trợ từ Thầy
hướng dẫn và những người tôi đã cảm ơn. Các nội dung nghiên cứu và kết quả
trong đề tài này là trung thực và chưa từng được ai công bố trong bất cứ công
trình nào.
Hà Nội, ngày tháng năm 2016
Tác giả luận văn
Đồng Quang Việt
MỤC LỤC
DANH MỤC THUẬT NGỮ VÀ TỪ VIẾT TẮT ............................................................i
DANH MỤC HÌNH ....................................................................................................... ii
DANH MỤC BẢNG ..................................................................................................... iii
MỞ ĐẦU ......................................................................................................................... 1
Chương 1: Tổng quan về quản lý tài nguyên và truy cập internet và một số giải pháp .. 3
1.1. Các ứng dụng dịch vụ mạng.................................................................................. 3
1.1.1. DHCP .............................................................................................................. 3
1.1.2. LDAP .............................................................................................................. 4
1.1.3. RADIUS.......................................................................................................... 7
1.1.4. DNS Forwarder ............................................................................................... 8
1.1.5. Squid proxy ..................................................................................................... 8
1.1.6. Captive portal .................................................................................................. 9
1.1.7. Firewall ........................................................................................................... 9
1.1.8. Load Balancer ............................................................................................... 11
1.2. Một số giải pháp quản lý tài nguyên và truy cập internet ................................... 11
1.2.1. Giới thiệu các giải pháp ................................................................................ 11
1.2.2 So sánh các giải pháp: .................................................................................... 16
Chương 2: Thiết kế hệ thống quản lý tài nguyên và truy cập internet cho các ký túc xá
trong ĐHQGHN ............................................................................................................ 19
2.1. Kiến trúc hệ thống: .............................................................................................. 19
2.2. Nguyên lý hoạt động: .......................................................................................... 24
2.2.1. DHCP cho hệ thống quản lý tài nguyên và truy cập internet của KTXNN .. 24
2.2.2. Chứng thực người sử dụng cho hệ thống quản lý tài nguyên và truy cập
internet của KTXNN ............................................................................................... 25
2.2.3. FireWall cho hệ thống quản lý tài nguyên và truy cập internet của KTXNN ... 26
2.2.4. Routing và Load balancing cho hệ thống quản lý tài nguyên và truy cập
internet của KTXNN ............................................................................................... 27
Kết luận Chương 2 ......................................................................................................... 28
Chương 3: Xây dựng hệ thống quản lý tài nguyên và truy cập internet cho ký túc xá
ĐHNN trong ĐHQGHN ................................................................................................ 29
3.1 Thực nghiệm xây dựng hệ thống quản lý tài nguyên và truy cập internet cho
KTXNN ...................................................................................................................... 29
3.2. Đánh giá hệ thống quản lý tài nguyên và truy cập internet KTXNN ................. 45
KẾT LUẬN VÀ HƯỚNG PHÁT TRIỂN .................................................................... 49
TÀI LIỆU THAM KHẢO ............................................................................................. 50
i
DANH MỤC THUẬT NGỮ VÀ TỪ VIẾT TẮT
DHCP Dynamic Host Configuration Protocol
LDAP Lightweight Directory Access Protocol
RADIUS Remote Authentication Dial-In User Service
AAA Authentication, Authorization, Access Control
NAC Network Admission Control
NAP Network Access Protection
TNC The Trusted Network Connect
HA High Availability
PVS Posture Validation Server
ĐHQGHN Đại Học Quốc Gia Hà Nôi
KTXNN Ký Túc Xá Đại học Ngoại Ngữ - Đại học Quốc gia Hà Nội
ĐHNN Đại Học Ngoại Ngữ
ii
DANH MỤC HÌNH
Hình 1.1: Mô hình kết nối giữa client/server .................................................................. 5
Hình 1.2: Thao tác tìm kiếm cơ bản ................................................................................ 6
Hình 1.3: Những thông điệp Client gửi cho server ......................................................... 6
Hình 1.4: Nhiều kết quả tìm kiếm được trả về ................................................................ 6
Hình 1.5: Tường lửa làm nhiệm vụ bảo vệ .................................................................... 10
Hình 1.6: Mô hình xác thực NAC của Cisco (nguồn [9]) ............................................. 12
Hình 1.7: Mô hình xác thực sử dụng Captive Portal ..................................................... 13
Hình 1.8: Mô hình sử dụng PFSense ............................................................................. 14
Hình 2.1: Mô hình hệ thống mạng KTXNN ................................................................. 20
Hình 2.2: Mô hình hệ thống mạng KTXNN – PFSense ................................................ 22
Hình 2.3: Thông tin hệ thống Server PFSense .............................................................. 23
Hình 2.4: Mô hình hệ thống mạng chia Vlan tại KTXNN ............................................ 24
Hình 2.5: Bật chức năng DHCP server cho VLAN...................................................... 25
Hình 2.6: Cấu hình cấp dải IP cho VLAN..................................................................... 25
Hình 2.7: Rules của VLAN21NHAA ............................................................................ 26
Hình 2.8: Bảng thiết lập NAT (1:1)............................................................................... 27
Hình 3.1: Cấu hình DHCP cho VLAN21NHAA .......................................................... 29
Hình 3.2: Cấu hình DHCP cho VLAN31NHAB .......................................................... 30
Hình 3.3: Cấu hình DHCP cho VLAN12 ...................................................................... 31
Hình 3.4: Cấu hình DHCP cho VLANWIFI16 ............................................................. 32
Hình 3.5: Kích hoạt DNS Forwarder ............................................................................. 33
Hình 3.6: kích hoạt captive portal cho các interface ..................................................... 33
Hình 3.7: Thiết lập Radius server trên Captive portal ................................................... 34
Hình 3.8: Thiết lập IP qua Captive Portal ..................................................................... 34
Hình 3.9: Bảng thiết lập những Ip được đi qua Captive Portal ..................................... 35
Hình 3.10: Thiết lập kết nối LDAP cho FreeRADIUS ................................................. 36
Hình 3.11: Bảng Rules của Interface WANVNU112 ................................................... 37
Hình 3.12: Giới hạn băng thông .................................................................................... 37
Hình 3.13: Thiết lập các hàng cho các interface ........................................................... 38
iii
Hình 3.14: Thiết lập các hàng cho các interface ........................................................... 38
Hình 3.15: Bảng Vlan của hệ thống .............................................................................. 39
Hình 3.16: Chỉnh sửa 1 Vlan ......................................................................................... 39
Hình 3.17: Bảng các interface của hệ thống .................................................................. 40
Hình 3.18: Interface VLAN21NHAA ........................................................................... 41
Hình 3.19: Interface WANVNU112.............................................................................. 42
Hình 3.20: Interface WAN_SPT ................................................................................... 43
Hình 3.21: Bảng routing ................................................................................................ 44
Hình 3.22: Cấu hình WAN_SPT gateway ..................................................................... 44
Hình 3.23: Default Gateway của hệ thống .................................................................... 45
Hình 3.24: Băng thông đi qua interface WANVNU112 ............................................... 46
Hình 3.25: Thông tin hệ thống ...................................................................................... 47
Hình 3.26: Bảng trạng thái các queue đang áp dụng tại các interface .......................... 48
DANH MỤC BẢNG
Bảng 1.1: So sánh 2 giải pháp quản lý tài nguyên và truy cập internet ........................ 17
1
MỞ ĐẦU
Chúng ta đang sống trong thời đại mới, thời đại phát triển rực rỡ của công nghệ
thông tin. Công nghệ thông tin đã ở một bước phát triển cao đó là số hóa tất cả các dữ
liệu thông tin, luân chuyển mạnh mẽ và kết nối tất cả chúng ta lại với nhau. Mọi loại
thông tin, số liệu âm thanh, hình ảnh có thể được đưa về dạng kỹ thuật số để bất kỳ
máy tính nào cũng có thể lưu trữ và chuyển tiếp cho nhiều người. Từ dữ liệu được số
hóa sẽ trở thành những tài nguyên được chia sẻ chung trong hệ thống mạng cũng như
internet. Chính vì vậy quản lý tài nguyên và truy cập internet của người sử dụng là một
bài toán tổng quan và phổ biến hiện nay. Quản lý tài nguyên và truy cập internet của
người sử dụng cần đáp ứng được các nhu cầu quản lý khác nhau của các đơn vị, tổ
chức hoặc các doanh nghiệp mà chọn các giải pháp khác nhau. Quản lý tài nguyên và
truy cập internet của người sử dụng nhằm một mục đích là làm cho việc sử dụng tài
nguyên và truy cập internet hiệu quả hơn và trong sáng hơn. Rõ ràng là như vậy khi
bạn không muốn người sử dụng truy cập internet và tài nguyên không lành mạnh thì
cần quản lý được nội dung truy cập của người sử dụng. Và như vậy sẽ tăng hiệu năng
làm việc cũng như khả năng học tập của người sử dụng. Quản lý tài nguyên và truy
cập internet cũng là phải quản lý được lưu lượng sử dụng cũng như dung lượng sử
dụng của người sử dụng, tránh làm ảnh hưởng đến chất lượng của hệ thống cũng như
việc sử dụng của các cá nhân khác. Quản lý tài nguyên và truy cập internet của người
sử dụng cũng là việc làm sao phải bảo đảm an toàn và bảo mật thông tin của người sử
dụng khi hoạt động trong hệ thống. Quản lý tài nguyên và truy cập internet của người
sử dụng cũng là quản lý số người truy cập tài nguyên và internet. Muốn quản lý tài
nguyên và truy cập internet của người sử dụng cần phải xây dựng một hệ thống quản
lý tài nguyên và truy cập internet. Với nhiều kỹ thuật mới như hiện nay thì có rất nhiều
giải pháp được đưa ra để quản lý tài nguyên và truy cập internet của người sử dụng.
Khiến cho bài toán quản lý tài nguyên và truy cập internet càng trở nên thiết thực,
phong phú hơn được áp dụng ở nhiều mô hình mạng khác nhau từ nhỏ đến lớn. Có thể
kể đến các giải pháp như: Captive Portal [2], Firewall, DHCP tích hợp MAC filter hay
các giải pháp của các hãng như: Cisco có gói giải pháp NAC (Network Admission
Control) [10], Microsoft có gói giải pháp NAP (Network Access Protection) [11], hay
tổ chức phi lợi nhuận The Trusted Computing Group đưa ra gói giải pháp TNC (the
Trusted Network Connect) [12].
Nhưng để đáp ứng những nhu cầu mạnh mẽ và với chi phí thấp thì sử dụng hệ thống
tích hợp mã nguồn mở PFSense [5][6], một hệ thống rất thiết thực với bài toán quản lý
tài nguyên và truy cập internet vì nó cung cấp các dịch vụ độc lập, phong phú, cho
phép triển khai trong một hệ thống mạng cỡ vừa và lớn, với tập người dùng đa dạng,
tập trung đến yếu tố quản lý truy xuất tài nguyên trên mạng đối với người sử dụng đầu
cuối và quan trọng là hệ thống phần mềm hoàn toàn miễn phí và phí triển khai thấp.
2
Từ đó ta có mục tiêu được đặt ra là Xây dựng hệ thống quản lý tài nguyên và truy cập
internet cho các ký túc xá Đại học Quốc gia Hà Nội bằng hệ thống mã nguồn mở PFSense.
Nội dung và phương pháp nghiên cứu
Để đạt được mục tiêu đã đề ra, trước tiên tôi tìm hiểu các ứng dụng dịch vụ cơ bản cần
có trong quản lý tài nguyên và truy cập internet như DHCP, LDAP, RADIUS, SQUID
PROXY, CAPTIVE PORTAL, FIREWALL, LOAD BALANCER.
Tiếp theo tôi tiến hành nghiên cứu thêm về một số giải pháp quản lý tài nguyên và truy
cập internet hiện nay. Trong đó tôi tìm hiểu kỹ hơn về giải pháp quản lý tài nguyên và
truy cập internet bằng hệ thống mã nguồn mở PFSense.
Sau khi nghiên cứu kỹ lý thuyết và tham khảo một vài giải pháp tôi tiến hành Xây
dựng hệ thống quản lý tài nguyên và truy cập internet cho các ký túc xa của Đại học
Quốc gia Hà Nội. Cuối cùng tôi đánh giá hiệu quả của hệ thống và đề xuất các hướng
nghiên cứu tiếp theo.
Phạm vi nghiên cứu
Luận văn chỉ nghiên cứu về các cơ chế kết hợp, liên thông của các giao thức, dịch vụ,
ứng dụng để đưa ra được hệ thống triển khai hoàn chỉnh.
Tác giả chỉ sử dụng các công cụ nghiên cứu có sẵn chứ không cải tiến các nghiên cứu,
thuật toán trong các lĩnh vực, công cụ này.
Kết quả đạt được
Với mục tiêu đề ra, tôi đã đạt được một số kết quả như sau:
Trình bày một số lý thuyết về các dịch vụ, ứng dụng mạng cơ bản cũng như một số
giải pháp về quản lý tài nguyên và truy cập internet. Tìm hiểu kỹ hơn về giải pháp
quản lý tài nguyên và truy cập internet bằng hệ thống mã nguồn mở PFSense.
Từ đó thấy được giải pháp quản lý tài nguyên và truy cập internet bằng hệ thống mã
nguồn mở PFSense là phù hợp với yêu cầu xây dựng hệ thống quản lý tài nguyên và
truy cập internet cho các ký túc xá của Đại học Quốc gia Hà Nội.
Trình bày việc xây dựng hệ thống quản lý tài nguyên và truy cập internet cho các ký
túc xá Đại học Quốc gia Hà Nội mà lấy điển hình là ký túc xá Đại học Ngoại Ngữ -
Đại học Quốc gia Hà Nội.
Cuối cùng trình bày được những cấu hình thực nghiệm của hệ thống quản lý tài
nguyên và truy cập internet của ký túc xá Đại học Ngoại Ngữ, đưa ra được các đánh
gia vá hướng đi tiếp theo.
3
Chương 1: Tổng quan về quản lý tài nguyên và truy cập internet và một số giải
pháp
Quản lý tài nguyên và truy cập internet là một bài toán tổng quát và phổ biến
hiện nay. Tùy theo nhu cầu khác nhau của các tổ chức, doanh nghiệp mà họ lựa chọn
các giải pháp khác nhau nhằm đáp ứng các yêu cầu quản lý gồm: Triển khai, thiết lập
chính sách bảo mật và khắc phục sự cố. Lập kế hoạch và chọn giải pháp phù hợp cho
việc hợp lý hóa băng thông. Phân đoạn mạng nhằm mục tiêu hợp lý hóa băng thông,
giảm nguy cơ lây lan virus và kiểm soát truy cập tài nguyên mạng. Quản trị mạng
trong một hệ thống tập trung, vân vân.
Cùng với đó việc các công nghệ xác thực, bảo mật khác nhau ra đời khiến cho
bài toán “Quản lý tài nguyên và truy cập internet” càng trở nên thiết thực, phong phú
hơn được áp dụng ở nhiều mô hình mạng khác nhau từ nhỏ đến lớn. Có thể kể đến các
giải pháp như: Captive Portal [2], Firewall, DHCP tích hợp MAC filter hay các giải
pháp của các hãng như: Cisco có gói giải pháp NAC (Network Admission Control)
[10], Microsoft có gói giải pháp NAP (Network Access Protection) [11], hay tổ chức
phi lợi nhuận The Trusted Computing Group đưa ra gói giải pháp TNC (the Trusted
Network Connect) [12], vân vân. Nội dung chương này đề cập đến một số giải pháp
phổ biến hiện nay, các dịch vụ và ứng dụng mạng cơ bản cần có trong quản lý tài
nguyên và truy cập internet.
1.1. Các ứng dụng dịch vụ mạng
1.1.1. DHCP
DHCP (dynamic host configuration protocol): Giao thức cấu hình địa chỉ động
được thiết kế làm giảm thời gian chỉnh cấu hình cho mạng TCP/IP bằng cách tự động
gán các địa chỉ IP cho người sử dụng khi họ vào mạng. Dịch vụ DHCP là một thuận
lợi rất lớn đối với người điều hành mạng. Nó làm yên tâm về các vấn đề cố hữu phát
sinh khi phải khai báo cấu hình thủ công. Nói một cách tổng quan hơn DHCP là dịch
vụ mang đến cho chúng ta nhiều lợi điểm trong công tác quản trị và duy trì một mạng
TCP/IP như:
+ Tập trung quản trị thông tin về cấu hình IP.
+ Cấu hình động các máy.
+ Cấu hình IP cho các máy một cách liền mạch
+ Sự linh hoạt
+ Khả năng mở rộng
Chức năng:
– Mỗi thiết bị trên mạng cơ sở TCP/IP phải có một địa chỉ IP duy nhất để truy cập
mạng và các tài nguyên của nó. Không có DHCP, cấu hình IP phải được thực hiện một
cách thủ công cho các máy tính mới, các máy tính di chuyển từ mạng con này sang
mạng con khác, và các máy tính được loại bỏ khỏi mạng.
– Bằng việc phát triển DHCP trên mạng, toàn bộ tiến trình này được quản lý tự động
và tập trung. DHCP server bảo quản vùng của các địa chỉ IP và giải phóng một địa chỉ
với bất cứ DHCP client có thể khi nó có thể ghi lên mạng. Bởi vì các địa chỉ IP là động
4
hơn tĩnh, các địa chỉ không còn được trả lại một cách tự động trong sử dụng đối với
các vùng cấp phát lại.
Các thuật ngữ trong DHCP:
– DHCP Server: máy quản lý việc cấu hình và cấp phát địa chỉ IP cho Client
– DHCP Client: máy trạm nhận thông tin cấu hình IP từ DHCP Server
– Scope: phạm vi liên tiếp của các địa chỉ IP có thể cho một mạng.
– Exclusion Scope: là dải địa chỉ nằm trong Scope không được cấp phát động cho Clients.
– Reservation: Địa chỉ đặt trước dành riêng cho máy tính hoặc thiết bị chạy các dịch
vụ (tùy chọn này thường được thiết lập để cấp phát địa chỉ cho các Server, Printer,..)
– Scope Options: các thông số được cấu hình thêm khi cấp phát IP động cho Client
như DNS Server(006), Router(003).
Phương thức hoạt động của dịch vụ DHCP
Dịch vụ DHCP hoạt động theo mô hình Client / Server. Theo đó quá trình tương tác
giữa DHCP client và server sẽ diễn ra theo các bước sau.
Bước 1: Khi máy Client khởi động, máy sẽ gửi broadcast gói tin DHCP DISCOVER,
yêu cầu một Server phục vụ mình. Gói tin này cũng chứa địa chỉ MAC của client.
Nếu client không liên lạc được với DHCP Server thì sau 4 lần truy vấn không thành
công nó sẽ tự động phát sinh ra 1 địa chỉ IP riêng cho chính mình nằm trong dãy
169.254.0.0 đến 169.254.255.255 dùng để liên lạc tạm thời. Và client vẫn duy trì việc
phát tín hiệu Broadcast sau mỗi 5 phút để xin cấp IP từ DHCP Server.
Bước 2: Các máy Server trên mạng khi nhận được yêu cầu đó. Nếu còn khả năng cung
cấp địa chỉ IP, đều gửi lại cho máy Client một gói tin DHCP OFFER, đề nghị cho thuê
một địa chỉ IP trong một khoảng thời gian nhất định, kèm theo là một Subnet Mask và
địa chỉ của Server. Server sẽ không cấp phát địa chỉ IP vừa đề nghị cho client thuê
trống suốt thời gian thương thuyết.
Bước 3: Máy Client sẽ lựa chọn một trong những lời đề nghị (DHCP OFFER) và gửi
broadcast lại gói tin DHCP REQUEST và chấp nhận lời đề nghị đó. Điều này cho
phép các lời đề nghị không được chấp nhận sẽ được các Server rút lại và dùng để cấp
phát cho các Client khác.
Bước 4: Máy Server được Client chấp nhận sẽ gửi ngược lại một gói tin DHCP ACK
như một lời xác nhận, cho biết địa chỉ IP đó, Subnet Mask đó và thời hạn cho sử dụng
đó sẽ chính thức được áp dụng. Ngoài ra server còn gửi kèm những thông tin bổ sung
như địa chỉ Gateway mặc định, địa chỉ DNS Server
1.1.2. LDAP
LDAP (Lightweight Directory Access Protocol) – là giao thức truy cập nhanh các dịch
vụ thư mục - là một chuẩn mở rộng cho nghi thức truy cập thư mục.
LDAP là một giao thức tìm, truy nhập các thông tin dạng thư mục trên server. Nó dùng
giao thức dạng Client/Server để truy cập dịch vụ thư mục.
LDAP chạy trên TCP/IP hoặc các dịch vụ hướng kết nối khác.
Ngoài ra, LDAP được tạo ra đặc biệt cho hành động "đọc". Bởi thế, xác thực người
5
dùng bằng phương tiện "lookup" LDAP nhanh, hiệu suất, ít tốn tài nguyên, đơn giản
hơn là query 1 user account trên CSDL
Có các LDAP Server như: OpenLDAP, OPENDS, Active Directory,
Phương thức hoạt động của LDAP
Ldap dùng giao thức giao tiếp client/server
Giao thức giao tiếp client/server là một mô hình giao thức giữa một chương trình client
chạy trên một máy tính gởi một yêu cầu qua mạng đến cho một máy tính khác đang
chạy một chương trình server (phục vụ).
Chương trình server này nhận lấy yêu cầu và thực hiện sau đó nó trả lại kết quả cho
chương trình client.
Ý tưởng cơ bản của giao thức client/server là công việc được gán cho những máy tính
đã được tối ưu hóa để thực hiện công việc đó.
Một máy server LDAP cần có rất nhiều RAM (bộ nhớ) dùng để lưu trữ nội dung các
thư mục cho các thao tác thực thi nhanh và máy này cũng cần đĩa cứng và các bộ vi xử
lý ở tốc độ cao. Đây là một tiến trình hoạt động trao đổi LDAP client/server:
Hình 1.1: Mô hình kết nối giữa client/server
Client mở một kết nối TCP đến LDAP server và thực hiện một thao tác bind. Thao tác
bind bao gồm tên của một directory entry, và ủy nhiệm thư sẽ được sử dụng trong quá
trình xác thực, ủy nhiệm thư thông thường là password nhưng cũng có thể là chứng chỉ
điện tử dùng để xác thực client.
Sau khi thư mục có được sự xác định của thao tác bind, kết quả của thao tác bind được
trả về cho client. Client phát ra các yêu cầu tìm kiếm.
Server thực hiện xử lý và trả về kết quả cho client.
Server gởi thông điệp kết thúc việc tìm kiếm.
Client phát ra yêu cầu unbind, với yêu cầu này server biết rằng client muốn hủy bỏ kết
nối. Server đóng kết nối.
LDAP là một giao thức hướng thông điệp
6
Do client và server giao tiếp thông qua các thông điệp, client tạo một thông điệp
(LDAP message) chứa yêu cầu và gởi nó đến cho server. Server nhận được thông điệp
và xử lý yêu cầu của client sau đó gởi trả cho client cũng bằng một thông điệp LDAP.
Ví dụ: Khi LDAP client muốn tìm kiếm trên thư mục, client tạo LDAP tìm kiếm và
gởi thông điệp cho server. Sever tìm trong cơ sở dữ liệu và gởi kết quả cho client trong
một thông điệp LDAP
Hình 1.2: Thao tác tìm kiếm cơ bản
Nếu client tìm kiếm thư mục và nhiều kết quả được tìm thấy, thì các kết quả này được
gởi đến client bằng nhiều thông điệp.
Hình 1.3: Những thông điệp Client gửi cho server
Do nghi thức LDAP là giao thức hướng thông điệp nên client được phép phát ra nhiều
thông điệp yêu cầu đồng thời cùng một lúc. Trong LDAP, message ID dùng để phân
biệt các yêu cầu của client và kết quả trả về của server.
Hình 1.4: Nhiều kết quả tìm kiếm được trả về
Việc cho phép nhiều thông điệp cùng xử lý đồng thời làm cho LDAP linh động hơn
các nghi thức khác.
7
Ví dụ như HTTP, với mỗi yêu cầu từ client phải được trả lời trước khi một yêu cầu
khác được gởi đi, một HTTP client program như là Web browser muốn tải xuống cùng
lúc nhiều file thì Web browser phải thực hiện mở từng kết nối cho từng file, LDAP
thực hiện theo cách hoàn toàn khác, quản lý tất cả thao tác trên một kết nối.
1.1.3. RADIUS
RADIUS là giao thức Remote Authentication Dial-In User Service được định nghĩa trong
RFC 2865. Với khả năng cung cấp xác thực tập trung, cấp phép và điều khiển truy cập
(Authentication, Authorization, và Access Control – AAA) cho các phiên làm việc với
SLIP và PPP Dial-up – như việc cung cấp xác thực của các nhà cung cấp dịch vụ Internet
(ISP) đều dựa trên giao thức này để xác thực người dùng khi họ truy cập Internet.
Nó cần thiết trong tất cả các Network Access Server (NAS) để làm việc với danh sách
các username và password cho việc cấp phép, RADIUS Access-Request sẽ chuyển các
thông tin tới một Authentication Serve, thông thường nó là một AAA Server (AAA -
Authentication, Authorization, và Accounting).
Trong kiến trúc của hệ thống nó tạo ra khả năng tập trung các dữ liệu thông tin của
người dùng, các điều kiện truy cập trên một điểm duy nhất (single point), trong khi đó
có khả năng cung cấp cho một hệ thống lớn, cung cấp giải pháp NAS.
Khi một user kết nối, NAS sẽ gửi một message dạng RADIUS Access-Request tới
máy chủ AAA Server, chuyển các thông tin như username và password, thông qua một
port xác định, NAS identify, và một message Authenticator.
Sau khi nhận được các thông tin máy chủ AAA sử dụng các gói tin được cung cấp
như, NAS identify, và Authenticator thẩm định lại việc NAS đó có được phép gửi các
yêu cầu đó không. Nếu có khả năng, máy chủ AAA sẽ tìm kiểm tra thông tin username
và password mà người dùng yêu cầu truy cập trong cơ sở dữ liệu. Nếu quá trình kiểm
tra là đúng thì nó sẽ mang một thông tin Access-Request quyết định quá trình truy cập
của user đó được chấp nhận.
Khi quá trình xác thực bắt đầu được sử dụng, máy chủ AAA có thể sẽ trả về một
RADIUS Access – Challenge mang một số ngẫu nhiên. NAS sẽ chuyển thông tin đến
người dùng từ xa (với ví dụ này sử dụng CHAP). Khi đó người dùng sẽ phải trả lời
đúng các yêu cầu xác nhận (trong ví dụ này, đưa ra lời đề nghị mã hóa password), sau
đó NAS sẽ chuyển tới máy chủ AAA một message RADIUS Access-Request.
Nếu máy chủ AAA sau khi kiểm tra các thông tin của người dùng hoàn toàn thỏa mãn
cho phép sử dụng dịch vụ, nó sẽ trả về một message dạng RADIUS Access-Accept.
Nếu không thỏa mãn máy chủ AAA sẽ trả về một tin RADIUS Access-Reject và NAS
sẽ ngắt kết nối vớ user.
Khi một gói tin Access-Accept được nhận và RADIUS Accounting đã được thiết lập,
NAS sẽ gửi một gói tin ReRADIUS Accounting-Request (Start) tới máy chủ AAA.
Máy chủ sẽ thêm các thông tin và file Log của nó, với việc NAS sẽ cho phép làm việc
với user bắt đầu khi nào, và kết thúc khi nào, RADIUS Accounting làm nhiệm vụ ghi
8
lại quá xác thực của user và hệ thống, khi kết thúc phiên làm việc NAS sẽ gửi một thông
tin RADIUS Accounting-Request (Stop).
RADIUS là một giao thức sử dụng rộng rãi cho phép xác thực tập trung, ủy quyền và
kiểm soát truy cập cho mạng. Ban đầu được phát triển cho thiết lập kết nối từ xa.
RADIUS bây giờ thì hỗ trợ cho máy chủ VPN, các điểm truy cập không dây, chứng
thực chuyển mạch internet, truy cập DSL, và các loại truy cập mạng khác. RADIUS
được mô ta trong RFC 2865, “Remote Authentication Dial-in User Service” (RADIUS),
(IETF Draft Standard) and RFC 2866, “RADIUS Accounting” (Informational).
1.1.4. DNS Forwarder
DNS Forwarder (Trình chuyển tiếp) là một máy chủ DNS thực hiện truy vấn DNS
thay cho nhiều máy chủ DNS khác. DNS Forwarder được sử dụng để gỡ bỏ những tác
vụ đang xử lý khỏi những máy chủ DNS đang thực hiện chuyển tiếp những truy vấn
này sang Forwarder, và tăng lưu lượng bộ nhớ đệm DNS trên DNS Forwarder.
Một chức năng khác của DNS Forwarder đó là ngăn cản máy chủ DNS chuyển tiếp
yêu cầu trong khi tương tác với những máy chủ DNS trên Internet. Đây là chức năng
đặc biệt quan trọng vì khi đó máy chủ DNS chứa tài nguyên bên trong miền DNS.
Thay vì cho phép những máy chủ DNS nội bộ tự thực hiện gọi lại lệnh và liên lạc với
những máy chủ DNS khác, nó cấu hình cho máy chủ DNS nội bộ sử dụng một
Forwader cho tất cả các miền không được phân quyền.
1.1.5. Squid proxy
Squid proxy là một là một giải pháp proxy phần mềm mã nguồn mở tự do được sử
dụng nhiều nhất trong giải pháp Proxy của cộng đồng mạng. Squid proxy làm nhiệm
vụ chuyển tiếp các yêu cầu từ phía client và đồng thời đóng vai trò kiểm soát tạo sự an
toàn cho việc truy cập Internet của các client.
Chức năng Squid proxy
Squid xác định những yêu cầu từ client và quyết định đáp ứng hay không đáp ứng, nếu
yêu cầu được đáp ứng, nó sẽ kết nối với server thật thay cho client và tiếp tục chuyển
tiếp đến những yêu cầu từ client đến server, cũng như đáp ứng những yêu cầu của
server đến client. Vì vậy squid proxy giống cầu nối trung gian giữa server và client.
Bên cạnh việc chuyển tiếp các yêu cầu từ phía client, nó cũng sẽ đồng thời lưu lại trên
đĩa những dữ liệu được trả về từ Internet Server – gọi là caching (thường là nội dung
các tran
Các file đính kèm theo tài liệu này:
- luan_van_xay_dung_he_thong_quan_ly_tai_nguyen_va_truy_cap_in.pdf