Giáo trình Xây dựng hệ thống mạng nguồn mở (Ngành: Công nghệ thông tin) - CĐ Kinh tế Kỹ thuật TP.HCM
Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (6.14 MB, 177 trang )
ỦY BAN NHÂN DÂN THÀNH PHỐ HỒ CHÍ MINH
TRƯỜNG CAO ĐẲNG KINH TẾ - KỸ THUẬT
THÀNH PHỐ HỒ CHÍ MINH
GIÁO TRÌNH
MƠN HỌC: XÂY DỰNG HỆ THỐNG MẠNG
NGUỒN MỞ
NGHỀ: CƠNG NGHỆ THƠNG TIN
TRÌNH ĐỘ: CAO ĐẲNG
LƯU HÀNH NỘI BỘ
Tháng 12, năm 2017
ỦY BAN NHÂN DÂN THÀNH PHỐ HỒ CHÍ MINH
TRƯỜNG CAO ĐẲNG KINH TẾ - KỸ THUẬT
THÀNH PHỐ HỒ CHÍ MINH
GIÁO TRÌNH
MƠN HỌC: XÂY DỰNG HỆ THỐNG MẠNG NGUỒN MỞ
NGHỀ: CƠNG NGHỆ THƠNG TIN
TRÌNH ĐỘ: CAO ĐẲNG
THƠNG TIN NGƯỜI BIÊN SOẠN
Chủ biên: DƯƠNG ĐÌNH DŨNG
Học vị: Thạc sĩ
Đơn vị: Khoa Cơng nghệ thơng tin
Email:
TRƯỞNG KHOA
TỔ TRƯỞNG
CHỦ NHIỆM
BỘ MƠN
ĐỀ TÀI
HIỆU TRƯỞNG
DUYỆT
Tháng 12, năm 2017
TUYÊN BỐ BẢN QUYỀN
Tài liệu này thuộc loại sách giáo trình nên các nguồn thơng
tin có thể được phép dùng nguyên bản hoặc trích dùng cho các
mục đích về đào tạo và tham khảo.
Mọi mục đích khác mang tính lệch lạc hoặc sử dụng với
mục đích kinh doanh thiếu lành mạnh sẽ bị nghiêm cấm.
1
LỜI NĨI ĐẦU
Giáo trình này được biên soạn dựa trên chương trình chi tiết mơn học bậc cao đẳng
chun ngành quản trị mạng máy tính của Trường Cao đẳng Kinh tế - Kỹ thuật Thành
Phố Hồ Chí Minh.
Tài liệu được biên soạn nhằm cung cấp kiến thức nền tảng, giúp sinh viên nắm
vững và vận dụng các kỹ thuật phổ biến với các dịch vụ mạng trong quá trình xây dựng
hệ thống mạng trên hệ điều hành nguồn mở (Centos, Ubuntu). Từ đó, sinh viên có thể
vận dụng vào cơng việc sau này..
Trong tài liệu này tác giả sử dụng phương pháp logic trình tự cho từng dịch vụ từ
khái niệm, phân tích mơ hình mạng, mơ phỏng và bài tập áp dụng cho các dịch vụ được
trình bày. Qua đó, giúp sinh viên nắm bắt kiến thức và kỹ năng thực hành cơ bản để vận
dụng trong thực tiễn.
Trong q trình biên soạn chắc chắn giáo trình sẽ cịn nhiều thiếu sót và hạn chế.
Rất mong nhận được sự đóng góp ý kiến quý báu của sinh viên và các bạn đọc để giáo
trình ngày một hồn thiện hơn.
TP. HCM, ngày……tháng 12 năm 2017
Tham gia biên soạn:
1. Chủ biên: Th.s Dương Đình Dũng
2
MỤC LỤC
TUYÊN BỐ BẢN QUYỀN
1
LỜI NÓI ĐẦU
2
MỤC LỤC
3
Chương 1. Xây dựng mơ hình mạng
8
1.1 Giới thiệu mơ hình domain trên linux ................................................. 9
1.2 Triển khai hệ thống domain trên linux với samba 4.0 ........................ 9
1.3 Nâng cấp Active Directory Domain Controller ............................... 11
1.4 Xây dựng additional Domain Controller ........................................... 14
1.5 Join domain các máy client ............................................................... 18
1.5.1 Đối với Windows (7/8/10/2008/2012/2016) .......................... 18
1.5.2 Linux/Unix client (Ubuntu) ................................................... 19
1.6 Quản trị domain ................................................................................. 20
1.6.1 Quản lý user ........................................................................... 20
1.6.2 Quản lý group......................................................................... 21
1.6.3 Home folder & User profile ................................................... 22
1.6.4 OU – Delegate ........................................................................ 23
1.6.5 Quản lý policy (Group Policies Management) ...................... 23
1.7 Share permission trên samba ............................................................. 26
1.7.1 Quyền thư mục/thư mục ........................................................ 27
1.7.2 Ký hiệu số .............................................................................. 27
1.8 Câu hỏi và Bài tập cuối chương ........................................................ 28
1.8.1 Câu hỏi lý thuyết .................................................................... 28
1.8.2 Thực hành............................................................................... 28
Chương 2. Triển khai hạ tầng mạng
30
2.1 Xây dựng máy chủ phân giải tên miền .............................................. 31
2.1.1 DNS đơn................................................................................. 31
2.1.2 Multi DNS .............................................................................. 35
2.2 Tạo bộ định tuyến động ..................................................................... 39
3
2.2.1 Khái niệm và định tuyến tĩnh ................................................. 39
2.2.2 Phương pháp định tuyến động trên Linux ............................. 43
2.3 Cấp phát IP động ............................................................................... 50
2.3.1 Single Subnet ......................................................................... 50
2.3.2 Multi Subnet ........................................................................... 57
2.3.3 IP reservation ......................................................................... 60
2.3.4 DHCP relay Agent ................................................................. 61
2.4 Bài tập áp dụng chương 2 .................................................................. 65
2.4.1 Câu hỏi lý thuyết .................................................................... 65
2.4.2 Bài tập thực hành ................................................................... 66
Chương 3. Web-Mail-FTP
68
3.1 Dịch vụ mail ...................................................................................... 69
3.1.1 Cài đặt và cấu hình Mail server Zimbra ................................ 69
3.1.2 Anti spam, anti virus .............................................................. 76
3.1.3 Tích hợp Zimbra vào Active Directory ................................. 77
3.2 Dịch vụ Web ...................................................................................... 83
3.2.1 Cài đặt và cấu hình apache..................................................... 83
3.2.2 Cấu hình nhiều alias ............................................................... 87
3.2.3 Cấu hình máy chủ hosting...................................................... 87
3.2.4 Cấu hình chứng thực web ...................................................... 88
3.3 Dịch vụ FTP Server ........................................................................... 91
3.3.1 Cài đặt và cấu hình dịch vụ ftp .............................................. 91
3.3.2 Cấu hình user truy xuất nhiều thư mục .................................. 95
3.3.3 Kiểm tra hoạt động ftp server và upload nội dung ................ 97
3.3.4 Bảo mật ftp ............................................................................. 98
3.3.5 Chú ý khi sử dụng ftp ............................................................. 99
3.4 Bài tập chương 3................................................................................ 99
3.4.1 Câu hỏi lý thuyết .................................................................... 99
3.4.2 Bài tập thực hành ................................................................. 100
4
Chương 4. Bảo mật và chia sẻ kết nối
101
4.1 Cài và cấu hình PFSense ................................................................. 102
4.1.1 Cài đặt PFSense lên máy chủ tường lửa .............................. 102
4.1.2 Tạo bô lọc nội dung trên tường lửa (Web proxy) ................ 108
4.1.3 Chống tấn công mạng bằng tường lửa PFSense .................. 112
4.2 Proxy: chia sẻ mạng ........................................................................ 121
4.2.1 Cài đặt squid......................................................................... 121
4.2.2 Cấu hình chia sẻ internet trên mạng đơn ............................. 122
cập
4.2.3 Cấu hình chia sẻ nhiều nhánh mạng và tạo bộ luật kiểm sốt truy
126
4.3 Xuất bản dịch vụ nội bộ ra ngồi mạng .......................................... 130
4.3.1 Cài đặt và cấu hình iptables ................................................. 130
4.3.2 Xây dựng các luật (ACL) ..................................................... 132
4.3.3 NAT IN bằng iptables: chia sẻ dịch vụ web, mail, ftp ........ 136
4.4 Cấu hình VPN trên linux ................................................................. 138
4.5 Bài tập cuối chương 4...................................................................... 139
4.5.1 Cấu hình NAT bằng iptables................................................ 139
4.5.2 BÀI TẬP SQUID - APACHE.............................................. 140
Chương 5. Mạng không đĩa cứng với máy chủ Linux (bootrom)
144
5.1 Chuẩn bị và cài đặt máy chủ bootrom ............................................. 145
5.1.1 Cấu hình máy tính ................................................................ 145
5.1.2 Chọn phần mềm CMS .......................................................... 146
5.1.3 Quy trình cài đặt phần mềm CMS ....................................... 147
5.2 Thiết lập các thơng số trên server bootrom ..................................... 148
5.2.1 Cấu hình PXE....................................................................... 148
5.2.2 Cấu hình cấp phát IP ............................................................ 153
5.2.3 Cấu hình đĩa ảo .................................................................... 156
5.2.4 Cấu hình user và danh mục máy client ................................ 156
5.3 Cài đặt máy Client và build imange lên server ............................... 157
5.3.1 Download phần mềm client ................................................. 157
5
5.3.2 Tạo ảnh đĩa ........................................................................... 159
5.3.3 Capture ảnh đĩa đưa lên Server ............................................ 161
5.3.4 Điều chỉnh chế độ protect .................................................... 163
5.3.5 Khởi động máy Client .......................................................... 165
5.4 Bài tập cuối chương:........................................................................ 165
DANH MỤC HÌNH ẢNH
167
DANH MỤC BẢNG
173
DANH MỤC TỪ VIẾT TẮT
174
TÀI LIỆU THAM KHẢO
175
6
GIÁO TRÌNH MƠN HỌC
Tên mơn học: XÂY DỰNG HỆ THỐNG MẠNG NGUỒN MỞ .
Mã mơn học: MH3101123
Vị trí, tính chất của mơn học:
-
Vị trí: Là mơn học nằm trong nhóm lựa chọn của chuyên ngành Công nghệ
thông tin, được bố trí ở học kỳ 5 sau khi sinh viên học xong các mơn học nhóm
cơ sở và chun ngành.
-
Tính chất: Là môn học tự chọn.
Mục tiêu môn học:
-
Về kiến thức:
+ Trình bày được các yêu cầu trên một hệ thống mạng dùng nguồn mở;
+ Liệt kê được các dịch vụ cần thiết cho một hệ thống mạng;
+ Mô tả được vai trò và chức năng của các dịch vụ trên hệ thống dùng nguồn
mở.
-
Về kỹ năng:
+ Thiết kế đc một hệ thống chuyển đổi sang dùng nguồn mở
+ Chọn được phần mềm nguồn mở đúng với bảng thiết kế;
+ Cài đặt và cấu hình đc các dịch vụ mạng với các phần mềm đã chọn trên
hệ thống nguồn mở;
+ Thiết kế đc hệ thống bảo mật dùng nguồn mở cho hệ thống mạng;
+ Chia sẻ kết nối giữa mạng bên trong và mạng ngoài dùng proxy
-
Về năng lực tự chủ và trách nhiệm:
+ Làm việc thận trọng và có trách nhiệm đối với cơng việc.
+ Có niềm đam mê, sự tự tin và tính chuyên nghiệp.
+ Khả năng làm việc nhóm, biết phối hợp cùng nhau giải quyết vấn đề.
7
Chương 1: Xây dựng mơ hình mạng
CHƯƠNG 1.
XÂY DỰNG MƠ HÌNH MẠNG
➢ Giới thiệu chương:
Trong chương này nhằm giúp cho sinh viên tiếp cận công nghệ xây dựng nền
tảng mạng dựa trên kiến trúc Active Directory (LDAP) gồm các tính năng quản trị
Cơ sở dữ liệu người dùng tập trung
➢ Mục tiêu chương:
-
Trình bày được vai trị, chức năng và nguyên tắc hoạt động của dịch vụ
Active Directory.
-
Cấu hình được máy chủ Active Directory trên Samba 4.0
-
Gia nhập máy thành viên Windows, Linux vào Active Directory
-
Quản trị user/group/OU
-
KHOA CÔNG NGHỆ THÔNG TIN
Trang 8
Chương 1. Tổng quan về cơng nghệ ảo hóa VMware vSphere
1.1 Giới thiệu mơ hình domain trên linux
389-DS (389 Directory Server) là máy chủ LDAP cấp doanh nghiệp, mã nguồn
mở dành cho Linux, được phát triển bởi cộng đồng Red Hat. Chương trình có đầy đủ
tính năng, hỗ trợ sao chép đa chủ, và đã được sử dụng để triển khai cho nhiều máy
chủ LDAP lớn nhất thế giới. Hệ thống 389 Directory Server có thể được tải miễn phí,
cấu hình nhanh chóng, chỉ cỡ 1 tiếng bằng giao diện đồ họa. Hệ thống 389-DS có thể
xử lý đồng thời hàng ngàn người dùng một cách hiệu quả.
Chúng ta có thể liệt kê các tính năng sau:
-
Hiệu suất cao.
-
Multi-Master Replication, cung cấp khả năng chịu lỗi và hiệu suất ghi cao.
-
Codebase đã được phát triển và triển khai liên tục bởi cùng một team trong
hơn một thập kỷ.
-
Đồng bộ hóa Active Directory user và group.
-
Secure authentication và transport (TLSv1, and SASL) ;
-
Hỗ trợ LDAPv3 ;
-
Luôn luôn sẵn sàng, thời gian downtime bằng 0.
-
Giao diện đồ họa thân thiện, dễ dàng sử dụng cho các tác vụ quản lý server,
người dùng, user.
-
Continuous Integration Testing (lib389) – ngăn chặn hồi quy và giúp duy trì
sự ổn định với mỗi bản phát hành.
Như chúng ta đã biết, active directory là dịch vụ quản lý thư mục được Microsoft
phát triển cho mạng windows bao gồm hầu hết các dịch vụ như: quản lý người dung,
quản lý dns, quản lý tên miền, policy… mà chủ yếu dùng cho hệ điều hành windows
là chủ yếu, và máy chủ sử dụng windows server để quản lý. Active directory là dịch
vụ mà người quản trị nào cũng muốn sử dụng để quản lý tập trung hệ thống mạng của
cơng ty. Nhưng vấn đề về chi phí bản quyền Microsoft thì khơng phải cơng ty vừa và
nhỏ nào cũng có khả năng đáp ứng. Vì vậy, hiện nay nhiều công ty đã, đang chuyển
hướng sang các dịch vụ mã nguồn mở tương ứng.
Samba được biết tới như Domain Controller dễ dàng cài đặt và sử dụng trên nền
linux. Kể từ phiên bản 4.0 Samba cịn tương thích với Microsoft Active Directory.
1.2 Triển khai hệ thống domain trên linux với samba 4.0
Mơ hình hệ thống domain controller trên Linux Centos
KHOA CÔNG NGHỆ THÔNG TIN
9
Chương 1. Tổng quan về cơng nghệ ảo hóa VMware vSphere
Hình 1.1 Mơ hình triển khai hệ thống domain với samba. [3]
Mơ hình gồm có 1 máy Centos 7.x làm máy Domain Controller, trên đó có dịch
vụ DNS và cá dịch vụ hỗ trợ
Các máy Client sử dụng trong hệ thống gồm 1 máy Windows 2008/7.
Trên máy DC1 (samba) cấu hình DNS phân giải tên miền hotec.vn. Kiểm thử
phải phân giải được như sau:
Hình 1.2 Phân giải tên miền hotec.vn.
Tên miền đã được phân giải thuận và ngược.
KHOA CÔNG NGHỆ THÔNG TIN
10
Chương 1. Tổng quan về cơng nghệ ảo hóa VMware vSphere
1.3 Nâng cấp Active Directory Domain Controller
Cấu hình hostname cho máy DC1: mở file hosts thêm dòng địa chỉ IP và tên
fullname cho máy domain controller DC1.hotec.vn
Hình 1.3 Cấu hình file hosts.
Lưu file, khởi động lại máy thấy sự thay đổi ở dấu nhắc
Hình 1.4 Kiểm tra host name.
Mở tập tin hostname và thêm DC1 vào đầu hotec.vn
Hình 1.5 Bổ sung tên máy chủ samba để thành FQDN.
Lưu file và khởi động lại máy, hệ điều hành load lại hostname mới. Dùng lệnh
hostname để kiểm tra.
KHOA CÔNG NGHỆ THÔNG TIN
11
Chương 1. Tổng quan về cơng nghệ ảo hóa VMware vSphere
Bước 2: Cài đặt samba
Kiểm tra truy cập Internet cho máy chủ SambaDC. Dùng lệnh yum để cài đặt
yum install -y samba*
Kiểm tra lại kết quả cài đặt bằng lệnh #rpm -qa | grep samba*
Hình 1.6 Kiểm tra các thành phần samba được cài đặt.
Bước 3: Cấu hình domain
Sau khi cài đặt xong, ta sẽ cấu hình Samba AD DC
[root@smb ~]# samba-tool domain provision --userfc2307 --interactive
Trong đó:
-
--use-rfc2307: cho phép enable NIS extensions, cho phép ta dễ dàng sử dụng
Windows tool Active Directory để quản lý user, computer
-
--interactive:
sử
dụng
vuông) nếu không điền gì
KHOA CƠNG NGHỆ THƠNG TIN
trường
mặc
định
(trong
ngoặc
12
Chương 1. Tổng quan về cơng nghệ ảo hóa VMware vSphere
-
Realm: Kerberos Realm. Nó sẽ tự động sử dụng như Active Directory DNS
domain name
-
Domain: NT4/NetBIOS Domain Name (tối đa 15 ký tự)
-
Server role: ‘dc’ cho Domain Controller
-
DNS backend: Sử dụng DNS nội bộ hoặc BIND9 làm DNS dự phòng
(default là DNS nội bộ)
-
DNS forwader IP address: Nếu chọn DNS backend là DNS nội bộ thì mới
có lựa chọn này. (trỏ tới server DNS nội bộ)
Administrator password: đảm bảo mật khẩu mạnh:
-
Ít nhất 8 ký tự
-
Có chứa 3 trong 4 thành phần: chữ hoa, chữ thường, số hoặc ký tự đặc biệt
Chỉnh samba4 start với mode ad:
[root@smb ~]# vi /etc/default/sernet-samba
Thay đổi line 7: SAMBA_START_MODE="ad"
Kết thúc quá trình trên, tiến hành khởi động lại máy tính. Giờ ta khởi động
samba4 và start dịch vụ khi khởi động server
[root@smb ~]# /etc/init.d/sernet-samba-ad start
Starting SAMBA AD services : [ OK ]
[root@smb ~]# chkconfig sernet-samba-ad on
[root@smb ~]# chkconfig sernet-samba-smbd off
[root@smb ~]# chkconfig sernet-samba-nmbd off
[root@smb ~]# chkconfig sernet-samba-winbindd off
Dựng domain level thành 2008R2
[root@smb ~]# samba-tool domain level raise -domain-level 2008_R2 --forest-level 2008_R2
Domain function level changed!
Forest function level changed!
All changes applied successfully!
Kiểm tra cấp độ của domain:
[root@smb ~]# samba-tool domain level show
Domain and forest function level for domain
\'DC=demo,DC=net\'
KHOA CÔNG NGHỆ THÔNG TIN
13
Chương 1. Tổng quan về cơng nghệ ảo hóa VMware vSphere
Forest function level: (Windows) 2008 R2
Domain function level: (Windows) 2008 R2
Lowest function level of a DC: (Windows) 2008 R2
Kết thúc quá trình cầu hình Active Directory Domain Controller trên máy
Samba 4.0 ta được một máy chủ Domain Controller.
1.4 Xây dựng additional Domain Controller
Additional Domain Controller (ADC): Các Domain Controller thêm vào được
gọi là Additional Domain Controller (ADC).
Trong hệ thống mạng doanh nghiệp thì bắt buộc phải có PDC và chỉ duy nhất
một máy. Tuy nhiên do chỉ có một nên sẽ có rất nhiều nguy cơ có thể xảy ra. ADC là
tùy chọn dùng trong các trường hợp sau đây:
-
Hệ thống có nhiều Site
-
Hệ thống chỉ có 1 site Sài Gịn nhưng có số lượng user lớn. Khi log on, DC
sẽ bị quá tải và gây ra tình trạng nghẽn mạng.
-
Hệ thống chỉ có 1 Site Sài Gịn và chỉ có 1 DC, hệ thống nhỏ. Tồn bộ hệ
thống hiện đang chạy ổn định. Nhưng một ngày nào đó DC gặp sự cố, thì hệ
thống cơng ty sẽ bị tê liệt. Thời gian khôi phục sẽ mất khá nhiều thời gian.
Mỗi Domain Controller sẽ lưu trữ Database riêng. Nếu xây dựng thêm ADC sẽ
có thêm database nữa. Tuy nhiên 2 database này ln ln đồng bộ với nhau.
Mơ hình Aditional Domain [6]
Hình 1.7 Mơ hình Additional Domain trên Samba (ADC) [5].
Bước 1: Cấu hình Samba4 trên máy ADC
KHOA CƠNG NGHỆ THÔNG TIN
14
Chương 1. Tổng quan về cơng nghệ ảo hóa VMware vSphere
Trên Ubuntu dùng lệnh:
# hostnamectl set-hostname adc2
Trên Centos/Redhat, mở tập tin /etc/hosts và /etc/hostname thêm thông tin
hostname cho máy ADC
#vi /etc/hosts
192.168.10.2 dc2.hotec.vn dc2
#vi /etc/hostname
dc2.hotec.vn
#vi /etc/resolv.conf
search 192.168.10.1
#ip của máy DC1
Bước 2: Cài đặt Samba4 cùng với các gói phụ thuộc
Thực hiện tương tự như trên máy DC1
Bước 3: Join Samba4 AD DC vào Domain Controller
Tắt samba và các dịch vụ liên quan
#systemctl stop samba-ad-dc smbd nmbd winbind
#mv /etc/samba/smb.conf
/etc/samba/smb.conf.initial
Lệnh nhập dc2 vào domain:
#samba-tool domain join hotec.vn DC -U"hotec_user"
Kết quả thực hiện lệnh trên như sau:
Finding a writeable DC for domain ' hotec.vn'
Found DC adc1. hotec.vn
Password for [WORKGROUP\ hotec_user]:
workgroup is
realm is
HOTEC
hotec.vn
checking sAMAccountName
Deleted CN=ADC2,CN=Computers,DC= hotec,DC=vn
Adding CN=ADC2,OU=Domain Controllers,DC= hotec,DC=vn
Adding CN=ADC2,CN=Servers,CN=Default-First-SiteName,CN=Sites,CN=Configuration,DC= hotec,DC=vn
Adding CN=NTDS Settings,CN=ADC2,CN=Servers,CN=Default-First-SiteName,CN=Sites,CN=Configuration,DC= hotec,DC=vn
Adding SPNs to CN=ADC2,OU=Domain Controllers,DC= hotec,DC=vn
Setting account password for ADC2$
KHOA CÔNG NGHỆ THÔNG TIN
15
Chương 1. Tổng quan về cơng nghệ ảo hóa VMware vSphere
Enabling account
Calling bare provision
Looking up IPv4 addresses
Looking up IPv6 addresses
No IPv6 address will be assigned
Setting up share.ldb
Setting up secrets.ldb
Setting up the registry
Setting up the privileges database
Setting up idmap db
Setting up SAM db
Setting up sam.ldb partitions and settings
Setting up sam.ldb rootDSE
Pre-loading the Samba 4 and AD schema
A Kerberos configuration suitable for Samba 4 has been generated at
/var/lib/samba/private/krb5.conf
Provision OK for domain DN DC= hotec,DC=vn
Starting replication
Schema-DN[CN=Schema,CN=Configuration,DC= hotec,DC=vn]
objects[402/1550] linked_values[0/0]
Schema-DN[CN=Schema,CN=Configuration,DC= hotec,DC=vn]
objects[804/1550] linked_values[0/0]
Schema-DN[CN=Schema,CN=Configuration,DC= hotec,DC=vn]
objects[1206/1550] linked_values[0/0]
Schema-DN[CN=Schema,CN=Configuration,DC= hotec,DC=vn]
objects[1550/1550] linked_values[0/0]
Analyze and apply schema objects
Partition[CN=Configuration,DC= hotec,DC=vn] objects[402/1614]
linked_values[0/0]
Partition[CN=Configuration,DC= hotec,DC=vn] objects[804/1614]
linked_values[0/0]
Partition[CN=Configuration,DC= hotec,DC=vn] objects[1206/1614]
linked_values[0/0]
Partition[CN=Configuration,DC= hotec,DC=vn] objects[1608/1614]
linked_values[0/0]
Partition[CN=Configuration,DC= hotec,DC=vn] objects[1614/1614]
linked_values[28/0]
Replicating critical objects from the base DN of the domain
Partition[DC= hotec,DC=vn] objects[97/97] linked_values[24/0]
Partition[DC= hotec,DC=vn] objects[380/283] linked_values[27/0]
KHOA CÔNG NGHỆ THÔNG TIN
16
Chương 1. Tổng quan về cơng nghệ ảo hóa VMware vSphere
Done with always replicated NC (base, config, schema)
Replicating DC=DomainDnsZones,DC= hotec,DC=vn
Partition[DC=DomainDnsZones,DC= hotec,DC=vn] objects[45/45]
linked_values[0/0]
Replicating DC=ForestDnsZones,DC= hotec,DC=vn
Partition[DC=ForestDnsZones,DC= hotec,DC=vn] objects[18/18]
linked_values[0/0]
Committing SAM database
Sending DsReplicaUpdateRefs for all the replicated partitions
Setting isSynchronized and dsServiceName
Setting up secrets database
Joined domain
as a DC
HOTEC (SID S-1-5-21-715537322-3397311598-55032968)
Sau khi chạy xong lệnh Samba-Tool ta thực hiện chỉnh sửa file smb.conf
#vi /etc/samba/smb.conf
Thêm các dòng sau vào file smb.conf:
dns forwarder = 192.168.10.1
idmap_ldb:use rfc2307 = yes
template shell = /bin/bash
winbind use default domain = true
winbind offline logon = false
winbind nss info = rfc2307
Khởi động dịch vụ samba-ad-dc
# systemctl restart samba-ad-dc
# samba-tool drs showrepl
Đổi tên file Kerberos trong /etc và thay thế nó bằng file krb5.conf (file được
phát sinh bởi samba trong quá trình lên domain). File krb5.conf nằm trong thư mục
/var/lib/samba/private. Tạo một symlink để liên kết bó vào /etc.
# mv /etc/krb5.conf /etc/krb5.conf.initial
# ln -s /var/lib/samba/private/krb5.conf /etc/
# cat /etc/krb5.conf
[libdefaults]
default_realm = HOTEC.VN
dns_lookup_kdc = true
dns_lookup_realm = false
KHOA CÔNG NGHỆ THÔNG TIN
17
Chương 1. Tổng quan về cơng nghệ ảo hóa VMware vSphere
Kiểm tra xác thực kerberos với file kbr5.conf. Cấp một thẻ cho nhà quản trị và
danh sách các thẻ được lưu trữ bởi các lệnh sau:
#kinit administrator
#klist
Bước 4: hoàn chỉnh dịch vụ Aditional Domain
Trên máy DC2 tạo user
# samba-tool user add W01
Chuyển qua máy DC1 kiểm tra sự tồn tại của user W01 mới tạo:
# samba-tool user list | grep W01
Ngoài ra, trên máy Windows 10 cài đặt RSAT và kết nối vào domain hotec.vn
để quản trị như trên Windows server 2012/2016. Trên RSAT ta có thể:
-
Xem và tạo thêm user
-
Vào Domain Controllers thấy 2 máy DC1 và DC2
Bước 5: kiểm thử
-
Dùng máy Windows gia nhập domain hotec.vn
-
Tắt máy DC1, trên máy DC2 tạo thêm user W02 và cho máy Windows 10
đăng nhập bằng user W02 → Đăng nhập vào bình thường.
-
Mở máy DC1 và xem đồng bộ dữ liệu giữa DC2 và DC1
1.5 Join domain các máy client
1.5.1 Đối với Windows (7/8/10/2008/2012/2016)
Ta có thể join domain linux trên hệ điều hành windows không khác so với
windows server với các thao tác đơn giản
Phải chuột vào Computer → Properties → Change settings.
Trong khung cửa sổ Computer name chọn Change → chuyển Domain tương
ứng → Điền user + password của administrator vừa thiết lập ở trên → OK!
KHOA CÔNG NGHỆ THÔNG TIN
18
Chương 1. Tổng quan về cơng nghệ ảo hóa VMware vSphere
Hình 1.8 Nhập máy Client Windows vào domain thành cơng.
1.5.2 Linux/Unix client (Ubuntu)
Ta sẽ sử dụng likewise-open – cung cấp phương pháp xác thực cho phép hệ
thống *nix join vào AD một cách đơn giản. rước hết phải sửa file resolve.conf trỏ lại
về DNS để có thể tìm thấy domain tương ứng:
[root@smb ~]# vi /etc/resolv.conf
nameserver 192.168.0.2 search demo.net
Tiến hành download gói likewise:
root@ubuntu:~# wget
/>Install likewise:
root@ubuntu:~# dpkg -i likewise-open* libglade20_2.6.4*
Selecting previously unselected package likewise-open.
(Reading database ... 56915 files and directories currently installed.)
Preparing to unpack likewise-open_6.1.0.406-0ubuntu10_amd64.deb ...
Unpacking likewise-open (6.1.0.406-0ubuntu10) ...
KHOA CÔNG NGHỆ THÔNG TIN
19
Chương 1. Tổng quan về cơng nghệ ảo hóa VMware vSphere
Selecting previously unselected package libglade2-0:amd64.
Preparing to unpack libglade2-0_2.6.4-2_amd64.deb ...
Unpacking libglade2-0:amd64 (1:2.6.4-2) ...
Setting up likewise-open (6.1.0.406-0ubuntu10) ...
Importing registry...
Để tạo quyền root cho user domain:
root@ubuntu:~# echo -e \'%demo\\\domain^users
ALL=(ALL) ALL\' >> /etc/sudoers
Join domain:
root@ubuntu:~# domainjoin-cli join demo.net
Administrator
Joining to AD Domain: demo.net
With Computer DNS Name: ubuntu.demo.net
\'s password:
SUCCESS
You should reboot this system before attempting
GUI logins as a domain user.
Done. Giờ ta có thể login bằng account domain: demo<user>
1.6 Quản trị domain
1.6.1 Quản lý user
Để tạo mới 1 user trên domain:
samba-tool user add <username> [password]
Ví dụ: tạo user demo với password Aa#123456; mã user 123; email
, tên công ty: demo; phải đổi password lần logon đầu tiên.
#samba-tool user add demo Aa@123456 --uid=123 --mailaddress= --company="demo" --must-changeat-next-login
User 'demo' created successfully
Ở đây, ta đã tạo thành công user "demo" với các thông tin mật
khẩu:"Aa@123456", uid:"123", mail:", tên công ty:"demo", và
buộc user phải thay đổi mật khẩu trong lần đăng nhập tiếp theo. Sau đây là những
tham số thường đi kèm với "user add" --must-change-at-next-login: buộc thay đổi
mật khẩu trong lần đăng nhập kế tiếp
KHOA CÔNG NGHỆ THÔNG TIN
20
Chương 1. Tổng quan về cơng nghệ ảo hóa VMware vSphere
-
--random-password: sinh ra password ngẫu nhiên cho user
-
--home-directory=HOME_DIRECTORY: thư mục gốc của user
-
--company=COMPANY: tên công ty
-
--mail-address=MAIL_ADDRESS: địa chỉ email
-
--uid=UID: UID của user
-
--login-shell=LOGIN_SHELL: shell khi user login (có thể là /bin/bash,
/bin/sh ...)\
Nếu add nhầm thơng tin của user, ta có thể xóa user với câu lệnh: samba-tool
user delete <username>
VD: xố user demo
#samba-tool user delete demo
Deleted user demo
Với user, ta cịn có thể disable tạm thời: samba-tool user disable <username>
enable user: samba-tool user enable <username>
Và kiểm tra user đang có trong domain với câu lệnh: samba-tool user list
1.6.2 Quản lý group
Với group thì tương tự như với user, ta cũng có thể tạo thêm group: samba-tool
group add <groupname>
VD:
#samba-tool group add gdemo
Added group gdemo
Để add thêm user vào group, ta sử dụng câu lệnh:
samba-tool group addmembers <groupname> <username>
VD:
#samba-tool group addmembers gdemo demo
Added members to group gdemo
OK, vậy là user "demo" đã được add vào group "gdemo"
Ta có thể kiểm tra user trong từng group với: samba-tool group listmembers
<groupname>
# samba-tool group listmembers gdemo
demo
KHOA CÔNG NGHỆ THÔNG TIN
21
Chương 1. Tổng quan về cơng nghệ ảo hóa VMware vSphere
Để list các group trong domain, ta sử dụng: samba-tool group list
1.6.3 Home folder & User profile
Để cấu hình samba domain cho phép user đăng nhập vào từ máy client được
join domain ta thực hiện chỉnh sửa file smb.conf. Các mục được thêm vào như sau:
[homes]
comment = Home Directories
browseable = yes
writable = yes
[printers]
comment = All Printers
path = /var/spool/samba
printable = Yes
print ok = Yes
browseable = No
[netlogon]
comment = Network Logon Service
path = /var/lib/samba/netlogon
##(1)
browseable = No
writable = No
[Profiles]
path = /var/lib/samba/profiles
##(2)
create mask = 0755
directory mask = 0755
writable = Yes
Khởi động lại dịch vụ samba bằng các lệnh sau:
systemctl start smb
systemctl start nmb
systemctl enable smb
systemctl enable nmb.service
mkdir -m 1777 /var/lib/samba/netlogon
mkdir Hai thư mục đã khai báo trong (1) và (2) chưa có nên ta phải tiến hành
tạo và phân quyền cho các thư mục này
mkdir -m 1777 /var/lib/samba/profiles
KHOA CÔNG NGHỆ THÔNG TIN
22
Chương 1. Tổng quan về cơng nghệ ảo hóa VMware vSphere
Kiểm thử: Đăng nhập trên máy Client ta thấy có ổ đĩa các nhân trong trình quản
lý file. Tiến hành đổi màn hình và tạo thư mục tên user trên màn hình. Log out và
chuyển sang máy khác đăng nhập bằng user đó màn hình và thư mục trên máy cũ
xuất hiện là profile của user được lưu giữ trên server.
1.6.4 OU – Delegate
Delegate là trao quyền kiểm soát một tập hợp các tài khoản người dùng, máy
tính hay các thiết bị mạng cho một nhóm người hay một quản trị viên phụ nào đó
(sub-administrator), từ đó giảm bớt cơng tác quản trị cho người quản trị toàn bộ hệ
thống.
Thực hiện uỷ quyền (Delegate) trên máy DC hoặc sử dụng máy Windows 10
thông qua RSAT. Thực hiện uỷ quyền tương tự như trên Windows Server.
1.6.5 Quản lý policy (Group Policies Management)
Trước hết, điều ta quan tâm đầu tiên là mật khẩu của account trong domain. Phải
có policy buộc người sử dụng đặt mật khẩu mạnh để tránh dễ dàng bị tấn công.
Để check policy nào đang được áp dụng: samba-tool domain passwordsettings
show
Vd: kiểm tra policy đang áp dụng
#samba-tool domain passwordsettings show
Password informations for domain 'DC=demo,DC=com'
Password complexity: on
Store plaintext passwords: off
Password history length: 5
Minimum password length: 8
Minimum password age (days): 0
Maximum password age (days): 180\
Để set policy cho mật khẩu: samba-tool domain passwordsettings set <option>
-
--complexity=COMPLEXITY: mật khẩu mạnh:on, off, default (mặc định là
on)
-
--history-length=HISTORY_LENGTH: độ dài history (mặc định là 24)
-
--min-pwd-length=MIN_PWD_LENGTH: số lượng ký tự tối thiểu trong
mật khẩu (mặc định là 7)
KHOA CÔNG NGHỆ THÔNG TIN
23
