Tải bản đầy đủ (.pdf) (107 trang)

Khóa luận tốt nghiệp Tìm hiểu và ứng dụng của LDAP

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (5.99 MB, 107 trang )

1
NHẬN XÉT CỦA GIÁO VIÊN HƯỚNG DẪN
__________________________________________________________________
__________________________________________________________________
__________________________________________________________________
__________________________________________________________________
__________________________________________________________________
__________________________________________________________________
__________________________________________________________________
__________________________________________________________________
__________________________________________________________________
__________________________________________________________________
__________________________________________________________________
__________________________________________________________________
__________________________________________________________________
__________________________________________________________________
__________________________________________________________________
__________________________________________________________________
__________________________________________________________________
__________________________________________________________________
__________________________________________________________________
__________________________________________________________________
Tp.HCM, Ngày___tháng___năm 2009
Giáo viên hướng dẫn
[Ký tên và ghi rõ họ tên]
2
NHẬN XÉT CỦA GIÁO VIÊN PHẢN BIỆN
__________________________________________________________________
__________________________________________________________________
__________________________________________________________________
__________________________________________________________________


__________________________________________________________________
__________________________________________________________________
__________________________________________________________________
__________________________________________________________________
__________________________________________________________________
__________________________________________________________________
__________________________________________________________________
__________________________________________________________________
__________________________________________________________________
__________________________________________________________________
__________________________________________________________________
__________________________________________________________________
__________________________________________________________________
__________________________________________________________________
__________________________________________________________________
__________________________________________________________________
Tp.HCM, Ngày___tháng___năm 2009
Giáo viên phản biện
[Ký tên và ghi rõ họ tên]
3
LỜI CẢM ƠN
Để đánh giá kết quả học tập và có thêm nhiều hiểu biết trước khi rời ghế
nhà trường, chúng em đã có cơ hội làm khóa luận tốt nghiệp để học hỏi và tìm
hiểu kinh nghiệm. Được sự phân công của khoa Công Nghệ Thông Tin, từ ngày
09/03/2009 đến ngày 07/07/2009 chúng em được nhận đề tài khóa luận “Tìm hiểu
và ứng dụng của LDAP” với sự hướng dẫn của thầy Cái Phúc Thiên Khoa.
Đề tài khóa luận của chúng em chủ yếu là tìm hiểu về LDAP và ứng dụng
của nó, sử dụng OpenLDAP và cách ứng dụng của chúng trong thực tiễn. Trong
quá trình làm khóa luận chúng em được sự hướng dẫn nhiệt tình của Thầy Cái
Phúc Thiên Khoa và các thầy cô khoa Công Nghệ Thông Tin. Nhờ đó, qua thời

gian làm khóa luận chúng em được biết thêm nhiều vấn đề về mạng máy tính mà
nó sẽ hổ trợ tích cực cho chúng em trong công việc sau này.
Em xin chân thành cảm ơn thầy Cái Phúc Thiên Khoa và các thầy cô đã
nhiệt tình gúp đỡ chúng em trong quá làm khóa luận.
Em xin chân thành cảm ơn các thầy cô khoa công nghệ thông tin đã tạo
điều kiện cho chúng em hoàn thành tốt khóa luận tốt nghiệp này.
4
Mục Lục
NHẬN XÉT CỦA GIÁO VIÊN HƯỚNG DẪN 1
NHẬN XÉT CỦA GIÁO VIÊN PHẢN BIỆN 2
LỜI CẢM ƠN 3
Chương I: TỔNG QUAN KHÓA LUẬN 9
1. Nghiên cứu thực tiễn 9
2. Mục tiêu đề tài 9
3. Phương pháp tiếp cận và hướng giải quyết vấn đề 9
4. Tóm tắt khóa luận: 10
4.1 TÌM HIỂU GIAO THỨC LDAP 10
4.2 TÌM HIỂU ACTIVE DIRECTORY 10
4.3 TÌM HIỂU OPENLDAP 10
4.4 SAMBA DOMAIN CHỨNG THỰC BẰNG LDAP 10
5. Phạm vi và giới hạn của đề tài 11
6. Kết quả đạt được 11
o Chương II: TÌM HIỂU LDAP 12
1. Tổng quan về LDAP 12
2. Phương thức hoạt động của LDAP 13
3. Các mô hình LDAP 16
3.1 Mô hình LDAP Information 16
3.2 Mô hình LDAP Naming 18
3.3 Mô hình LDAP Security 19
3.4 Mô hình LDAP Function 20

4. Một số dịch vụ sử dụng giao thức LDAP 20
5
Chương III: TÌM HIỂU ACTIVE DIRECTORY 23
Giới thiệu 23
1. Workgroup 23
2. Domain 24
3. Active Directory (AD) 25
4. Directory Services 28
Các thành phần 28
4.1 Object (đối tượng) 28
4.2 Attribute (thuộc tính) 29
4.3 Schema (cấu trúc tổ chức) 29
4.4 Container (vật chứa) 29
4.5 Global Catalog 30
4.6 Objects class 31
4.7 Domain 32
4.8 Domain tree 33
Chương IV: Tìm hiểu OPENLDAP 36
1. Tổng quan Bekerley DB 36
2. Tổng quan OPENLDAP 43
Cài đặt Berkeley DB 44
Cài đặt Openldap 45
2.1 Kiểm tra hoạt động của OpenLDAP 51
2.2 Cấu hình kiểm tra username/password bằng OPENLDAP 57
2.3 Cấu hình LDAP client 62
Chương V: DỊCH VỤ SAMBA DOMAIN CHỨNG THỰC BẰNG GIAO
THỨC LDAP 67
1. Giới thiệu dịch vụ Samba 67
6
2. Cấu hình Samba Domain chứng thực bằng giao thức LDAP 68

Chương VI: HỆ THỐNG MAIL CHỨNG THỰC BẰNG GIAO THỨC
LDAP 84
1. Giới thiệu Mail server MDaemon 84
2. Cấu hình LDAP trên MDaemon 85
2.1 LDaemon 86
2.2 Mail server MDaemon và OpenLDAP Server 93
3. Cấu hình Outlook Express sử dụng giao thức LDAP 98
Chương VII: MÔ HÌNH ỨNG DỤNG GIAO THỨC LDAP 102
1. Sơ lược mô hình 102
2. Cơ chế quản lý mạng tập trung theo mô hình 103
3. Vài nhận xét 103
4. Cách hiện thực 104
Chương VIII: KẾT QUẢ ĐẠT ĐƯỢC VÀ HƯỚNG PHÁT TRIỂN 105
1. Kết quả đạt được 105
1.1 Việc làm được: 105
1.2 Việc chưa làm được: 105
2. Hướng phát triển 105
Phụ lục: 106
Acroynms 106
Tài liệu tham khảo 107
7
ĐỀ CƯƠNG CHI TIẾT
Tên Đề Tài:
TÌM HIỂU VÀ ỨNG DỤNG CỦA LDAP
Giáo viên hướng dẫn: CÁI PHÚC THIÊN KHOA
Thời gian thực hiện: 09/03/2009  21/06/2009
Sinh viên thực hiện:
HUỲNH THANH LIÊM MSSV: 206205324
VÕ LINH ĐA MSSV: 206205026
Loại đề tài: Nghiên cứu ứng dụng

Nội Dung Đề Tài: Tìm hiểu và ứng dụng LDAP để thực hiện authentication và
authorization.
 Tìm hiểu khái niệm LDAP và Active Directory.
 Tìm hiểu OpenLDAP trong việc hiện thực LDAP.
 Tìm hiểu cách thức cài đặt và cấu hình OpenLDAP để quản trị tập trung tài
nguyên(Users, Computers, Profiles…) trên nền Linux.
 Triển khai mô hình mạng nhỏ có ứng dụng LDAP cho yêu cầu chứng thực và
quản lý thông tin tập trung.
Kế hoạch thực hiện:
Tuần 1 + 2: Tìm hiểu LDAP
 LDAP là gì ?
 Directory service
8
 Cách thức LDAP hoạt động

Tuần 3 + 4: Tìm hiểu Active Directory của Windows.
 Mô hình mạng Workgroup và Domain
 Một số khái niệm cơ bản trong Active Directory
 Đối chiếu với OPENLDAP
Tuần 5 + 6 + 7: Tìm hiểu phần mềm OPENLDAP
 Tìm hiểu phần mềm OPENLDAP
 Download phần mềm OPENLDAP và BerkeleyDB
 Cách thức “build” OPENLDAP và BerkeleyDB từ source code
 Cài đặt OPENLDAP và BerkeleyDB trên Linux Fedora
Tuần 8 + 9 + 10 + 11: Tìm hiểu cách cấu hình OPENLDAP để quản trị tập trung tài
nguyên (Users, Computers, Profiles …) trên Linux
 Tìm hiểu cách cấu hình OPENLDAP để thực hiện authentication và authorisation
Tuần 12 + 13 + 14 + 15: Triển khai mô hình dạng nhỏ có ứng dung LDAP cho yêu cầu
chứng thực và quản lý thông tin tập trung
 Thiết kế sơ đồ mạng (logical topology, IP/Subnet,servers, clients )

 Triển khai OPENLDAP trong mô hình mạng
 Cấu hình và kiểm tra kết quả: quản lý và chứng thực
 Lập tài liệu ( Sơ đồ, IP/subnet, cách cấu hình, file cấu hình,…)
Xác nhận của GVHD
Ngày……tháng……năm……
SV Thực hiện
9
Chương I: TỔNG QUAN KHÓA LUẬN
1. Nghiên cứu thực tiễn
Trong môi trường máy tính mạng thì việc cấp phát và quản lý account là
một việc không hoàn toàn đơn giản. Nếu tất cả các máy tính không nối mạng với
nhau và mỗi một nhân viên đều chỉ đơn thuần sử dụng một máy tính cụ thể thì mọi
việc sẽ trở nên tầm thường. Tuy nhiên, trong điều kiện làm việc ngày nay thì hầu
hết các máy tính đều được nối mạng và nhu cầu đặt ra là mỗi người nhân viên có
thể cơ động làm việc ở các máy khác nhau đã khiến cho việc quản lý đăng nhập
tập trung trở nên cầp thiết.
Giải pháp cho vấn đề này là tạo tất cả các account trên một máy để mọi
người có thể linh động làm việc ở bất cứ máy nào. Và LDAP là giao thức dùng để
quản lý tập trung và chứng thực tài khoản người dùng và nguyên trên mạng.
2. Mục tiêu đề tài
o Tìm hiểu và ứng dụng của giao thức LDAP.
o Tìm hiểu Active Directory trên Windows.
o Tìm hiểu phần mềm OPENLDAP trong việc thực thi LDAP.
o Thiết lập một mô hình nhỏ ứng dụng giao thức LDAP để lưu trữ tập
trung tài khoản người dùng, tài nguyên trên mạng.
3. Phương pháp tiếp cận và hướng giải quyết vấn đề
o Nghiên cứu và ứng dụng của giao thức LDAP.
o Tìm hiểu các dịch vụ ứng dụng LDAP.
o Kết hợp với kiến thức đã học để định hướng giải quyết vấn đề đã đặt
ra và mở rộng

.
10
4. Tóm tắt khóa luận:
4.1 TÌM HIỂU GIAO THỨC LDAP
 Tổng quan về giao thức LDAP
 Phương thức hoạt động của LDAP
 Các mô hình LDAP
 Một số dịch vụ sử dụng giao thức LDAP
4.2 TÌM HIỂU ACTIVE DIRECTORY
 Workgroup – Domain
 Active Directory
 Directory Service
4.3 TÌM HIỂU OPENLDAP
 Tổng quan OpenLDAP – Berkeley DB
 Cài đặt – Cấu hình OpenLDAP
 Kiểm tra hoạt động của OpenLDAP
4.4 SAMBA DOMAIN CHỨNG THỰC BẰNG LDAP
 Dịch vụ SAMBA
 Cấu hình SAMBA chứng thực bằng LDAP
4.5 MAIL SERVER CHỨNG THỰC BẰNG GIAO THỨC LDAP
 Mail Server MDaemon
 Cấu hình LDAP trên Mdaemon
 Cấu hình Outlook Express sử dụng LDAP
4.6 THIẾT LẬP MÔ HÌNH NHỎ ỨNG DỤNG GIAO THỨC LDAP
 Sơ lược mô hình mạng
11
 Cơ chế quản lý tập trung
 Nhận xét
 Cách thực hiện
4.7 KẾT QUẢ ĐẠT ĐƯỢC VÀ HƯỚNG PHÁT TRIỂN

 Kết quả đạt được.
 Hướng phát triển trong tương lai.
5. Phạm vi và giới hạn của đề tài
o Tìm hiểu khái niệm LDAP và Active Directory.
o Tìm hiểu OpenLDAP trong việc hiện thực LDAP.
o Tìm hiểu cách thức cài đặt và cấu hình OpenLDAP để lưu trữ tập
trung tài nguyên trên mạng.
o Triển khai mô hình mạng nhỏ có ứng dụng LDAP cho yêu cầu
chứng thực và quản lý thông tin tập trung
6. Kết quả đạt được
o Tìm hiểu và ứng dụng LDAP.
o Cài đặt OpenLDAP server phục vụ cho việc lưu trữ tập trung tài
khoản người dùng và tài nguyên trên mạng.
o Kết hợp OpenLDAP với dịch vụ Samba Domain.
o Dùng OpenLDAP lưu danh bạ cho Mail server MDaemon.
Hướng phát triển trong tương lai:
o Cố gắng khắc phục những hạn chế chưa thực hiện được.
o Xây dựng một OpenLDAP server để Backup dữ lệu, phòng khi
Server gặp sự cố.
o Kết hợp OpenLDAP với các dịch vụ khác.
12
Chương II: TÌM HIỂU LDAP
1. Tổng quan về LDAP
LDAP (Lightweight Directory Access Protocol) là một chuẩn mở rộng cho
giao thức truy cập thư mục, hay là một ngôn ngữ để LDAP client và severs sử
dụng để giao tiếp với nhau, LDAP chạy trên TCP/IP hoặc kết nối khác theo định
hướng chuyển giao dịch vụ, được định nghĩa trong RFC 2251 “The Lightweight
Directory Access Protocol”.
Bản chất của LDAP là một phần của dịch vụ thư mục X.500. LDAP là một
giao thức “lightweight ” có nghĩa đây là một giao thức có tính hiệu quả, đơn giản

và dễ dàng để cài đặt. Điều này trái ngược với giao thức “heavyweight” như giao
thức truy cập thư mục X.500 (DAP_Directory Access Control ), giao thức này sử
dụng các phương thức mã hoá quá phức tạp. LDAP là giao thức thuộc tầng ứng
dụng của mô hình OSI, sử dụng các tập các phương thức đơn giản.
LDAP đã phát triển với phiên bản LDAP v2 được định nghĩa trong chuẩn
RFC 1777 và 1778, và LDAP v3 là một phần trong chuẩn Internet, được định
nghĩa trong RFC 2251 cho đến RFC 2256, do chúng quá mới nên không phải tất
cả mọi thứ các nhà cung cấp hỗ trợ hoàn toàn cho LDAP v3.
LDAPv3 hoạt động và cung cấp một mô hình đơn giản cho người lập trình
và quản trị hệ thống. Việc cung cấp một tập các hoạt động nhỏ hơn và đơn giản
hơn cho phép người phát triển tập trung vào những ngữ nghĩa của chương trình mà
không cần phải hiểu những giao thức đặc trưng mà ít khi được dùng đến. Theo đó,
người thiết kế LDAP hi vọng rằng sẽ tạo ra được sự đón nhận nhiều hơn nữa bằng
cách cung cấp những phát triển ứng dụng đơn giản hơn.
Ngoài vai trò như là một giao thức mạng, LDAP còn định nghĩa bốn mô
hình, các mô hình này cho phép linh động trong việc sắp đặt các thư mục:
13
o Mô hình LDAP information - định nghĩa ra các loại dữ liệu cần đặt vào thư
mục.
o Mô hình LDAP Naming - định nghĩa ra cách sắp xếp và tham chiếu đến thư
mục.
o Mô hình LDAP Functional - định nghĩa cách truy cập và cập nhật thông tin
trong thư mục của bạn.
o Mô hình LDAP Security - định nghĩa ra cách thông tin trong trong thư mục
của bạn được bảo vệ tránh các truy cập không được phép.
Ngoài các mô hình ra LDAP còn định nghĩa ra khuôn dạng để trao đổi dữ liệu
LDIF (LDAP Data Interchange Format) ở dạng văn bản dùng để mô tả thông
tin về thư mục. LDIF còn có thể mô tả một tập hợp các thư mục hay các cập
nhật có thể được áp dụng trên thư mục.
2. Phương thức hoạt động của LDAP

 LDAP là một nghi thức client/server
Là một mô hình giao thức giữa một chương trình client chạy trên một máy
tính gởi một yêu cầu qua mạng đến cho một máy tính khác đang chạy một chương
trình server, chương trình server này nhận lấy yêu cầu và sau đó nó thực hiện trả
lại kết quả cho chương trình client. Ví dụ giao thức client/server là giao thức
truyền siêu văn bản (Hypertext transfer protocol) viết tắt là HTTP, giao thức này
có những ứng dụng rộng rãi phục vụ những trang web. Và giao thức Internet
Message Access Protocol (IMAP), là một nghi thức sử dụng để truy cập đến các
thư thông báo điện tử.
Ý tưởng cơ bản của giao thức client/server là công việc được gán cho
những máy tính đã được tối ưu hoá để thực hiện công việc đó. Ví dụ một máy
LDAP server có rất nhiều RAM (bộ nhớ) dùng để lưu trữ nội dung các thư mục
cho các thao tác thực thi nhanh và server này cũng cần đĩa cứng và các bộ vi sử lý
ở tốc độ cao.
14
 LDAP là một giao thức hướng thông điệp
Do client và sever giao tiếp thông qua các thông điệp, Client tạo một thông
điệp (LDAP message) chứa yêu cầu và gởi đến cho server. Server nhận được
thông điệp và xử lý yêu cầu của client sau đó gởi trả cho client cũng bằng một
thông điệp LDAP.
Ví dụ: Khi LDAP client muốn tìm kiếm trên thư mục, client tạo LDAP tìm
kiếm và gởi thông điệp cho server. Sever tìm trong cơ sở dữ liệu và gởi kết quả
cho client trong một thông điệp LDAP.
Hình 1.1: Một thao tác tìm kiếm cơ bản
Nếu client tìm kiếm thư mục và nhiều kết quả được tìm thấy, thì các kết
quả này được gởi đến client bằng nhiều thông điệp.
Hình 1.2: Những thông điệp client gởi cho server
15
Do nghi thức LDAP là nghi thức thông điệp nên client được phép phát ra
nhiều thông điệp yêu cầu đồng thời cùng một lúc. Trong LDAP, message ID dùng

để phân biệt các yêu cầu của client và kết quả trả về của server.
Hình 1.3: Nhiều kết quả tìm kết đượcc trả về
Việc cho phép nhiều thông điệp cùng sử lý đồng thời làm cho LDAP linh
động hơn các nghi thức khác ví dụ như HTTP, với mỗi yêu cầu từ client phải được
trả lời trước khi một yêu cầu khác được gởi đi, một HTTP client program như là
Web browser muốn tải xuống cùng lúc nhiều file thì Web browser phải thực hiện
mở từng kết nối cho từng file, LDAP thực hiện theo cách hoàn toàn khác, quản lý
tất cả thao tác trên một kết nối.
Hình 1.4: Mô hình kết nối giữa client/server
16
LDAP client và server thực hiện theo các bước sau:
o Client mở một kết nối TCP đến LDAP server và thực hiện một thao tác
bind. Thao tác bind bao gồm tên của một directory entry ,và uỷ nhiệm thư
sẽ được sử dụng trong quá trình xác thực, ủy nhiệm thư thông thường là
pasword nhưng cũng có thể là chứng chỉ điện tử dùng để xác thực client.
o Sau khi thư mục có được sự xác định của thao tác bind, kết quả của hao tác
bind được trả về cho client.
o Client gởi đi các yêu cầu tìm kiếm.
o Server thực hiện xử lý và trả về kết quả cho client.
o Server gởi thông điệp kết thúc việc tìm kiếm.
o Client phát ra yêu cầu unbind, với yêu cầu này server biết rằng client muốn
huỷ bỏ kết nối.
o Server đóng kết nối.
3. Các mô hình LDAP
LDAP định nghĩa ra 4 mô hình gồm có:
o LDAP information
o LDAP Naming
o LDAP Functional
o LDAP Security.
3.1 Mô hình LDAP Information

Mô hình LDAP Information định nghĩa ra các kiểu của dữ liệu và các thành
phần cơ bản của thông tin mà bạn có thể chứa trong thư mục. Hay chúng ta có thể
nói rằng LDAP Information mô tả cách xây dựng ra các khối dữ liệu mà chúng ta
có thể sử dụng để tạo ra thư mục.
Thành phần cơ bản của thông tin trong một thư mục gọi là entry, đây là một
tập hợp chứa các thông tin về đối tượng (Object). Thường thì các thông tin trong
17
một entry mô tả một đối tượng thật như là thông tin về người, nhưng đây không
phải là qui định bắt buộc với mô hình. Ví dụ như trên thư mục dưới đây.
Hình 1.5: Một cây thư mục với các entry là các thành phần cơ bản
LDAP thường phân chia theo O (Organisation - tổ chức) và các OU
(Organisation Unit - phân bộ). Trong các OU có thể có những OU con và trong
các OU có các CN (Common Name), những nhóm giá trị này thường được gọi là
DN (Distinguished Name - tên gọi phân biệt). Mỗi giá trị chứa trong LDAP thuộc
dạng tên: giá trị, thường được gọi là LDAP Attribute (viết tắt là attr, mỗi attr được
nhận diện như một LDAP Object).
Những điểm ở trên hình thành một cái gọi là LDAP schema và có tiêu
chuẩn thống nhất giữa các ứng dụng phát triển LDAP. Đây là lý do LDAP được ưa
chuộng cho công tác lưu trữ và tích hợp với các tính năng authentication -
authorisation vì chúng có thể được dùng giữa các LDAP system miễn sao các hệ
thống đó tuân thủ đúng tiêu chuẩn chung.
Một entry là tập hợp của các thuộc tính, từng thuộc tính này mô tả một nét
đặt trưng tiêu biểu của một đối tượng. Mỗi thuộc tính có kiểu một hay nhiều giá
trị, kiểu của thuộc tính mô tả loại thông tin được chứa, giá trị là dữ liệu thực sự.
18
Ví dụ một entry mô tả một người với các thuộc tính: tên họ, tên, số điện
thoại, và địa chỉ email.
Hình 1.6: Một entry với các thuôc tính cơ bản
3.2 Mô hình LDAP Naming
Mô hình LDAP Naming định nghĩa ra cách để chúng ta có thể sắp xếp và

tham chiếu đến dữ liệu của mình. Hay chúng ta có thể nói rằng mô hình này mô tả
cách sắp xếp các entry của chúng vào một cấu trúc có logical, và mô hình LDAP
Naming chỉ ra cách để chúng ta có thể tham chiếu đến bất kỳ một entry thư mục
nào nằm trong cấu trúc đó.
Mô hình LDAP Naming cho phép chúng ta có thể đặt dữ liệu vào thư mục
theo cách mà chúng ta có thể dễ dàng quản lý nhất. Ví dụ như chúng ta có thể tạo
ra một container (khái niệm vật thể chứa đựng) chứa tất cả các entry mô tả người
trong một tổ chức, và một container chứa tất cả các group của bạn, hoặc bạn có thể
thiết kế entry theo mô hình phân cấp theo cấu trúc tổ chức của bạn. Việc thiết kế
tốt cần phải có những nghiên cứu thoả đáng.
Hình 1.7: Một cây thư mục LDAP
19
Ví dụ:
 Cây thư mục bao gồm các mục chứa (container entry) và các mục lá (leaf
object entry). Mục lá có thể là người, máy tính, máy in, và dung lượng lưu
trữ . Mỗi mục lá có một tên chung CN (common name). DN (distinguished
name) là tên xác định tất cả các mục chứa đựng tạo thành đường đi từ đầu
cây đến một mục lá nào đó.
 Ví dụ trên như:
o cn=Barbara (thuộc lớp đối tượng Person)
o ou=Sales , ou=Marketing (thuộc lớp đối tượng Organization unit)
o o=Acme (Acme thuộc lớp đối tượng Organization)
o st=California (thuộc lớp state)
o c=US, c=GB (thuộc lớp đối tượng Country)
3.3 Mô hình LDAP Security
Vấn đề cuối cùng trong các mô hình LDAP là việc bảo vệ thông tin trong
thư mục khỏi các truy cập không được phép. Khi thực hiện thao tác bind dưới một
tên DN hay có thể client một người vô danh thì với mỗi user có một số quyền thao
tác trên entry thư mục. Và những quyền nào được entry chấp nhận tất cả những
20

điều trên gọi là truy cập điều kiển (access control). Hiện nay LDAP chưa định
nghĩa ra một mô hình Access Control, các điều kiển truy cập này được thiết lập
bởi các nhà quản trị hệ thống bằng các server software.
3.4 Mô hình LDAP Function
Đây là mô hình mô tả các thao tác cho phép trên thư mục. Mô hình LDAP
Functional chứa một tập các thao tác chia thành 3 nhóm.
o Thao tác thẩm tra (interrogation): search, compare cho phép bạn có thể
search trên thư mục và nhận dữ liệu từ thư mục.
o Thao tác cập nhật (update): add, delete, rename và thay đổi các entry thư
mục.
o Thao tác xác thực và điều kiển(authentiaction and control): bind, unbind,
abandon cho phép client xác định mình đến cho thư mục và điều kiển các
hoạt động của phiên kết nối.
Với LDAPv3 ngoài 3 nhóm thao tác trên, còn có thao tác LDAP extended, thao
tác này cho phép giao thức LDAP sau này có thể mở rộng một cách có tổ chức và
không làm thay đổi đến giao thức.
4. Một số dịch vụ sử dụng giao thức LDAP
Bằng cách kết hợp các thao tác LDAP đơn giản này. Thư mục client có thể
thực hiện các thao tác phức tạp như các ví dụ sau:
Môt chương mail có thể thực hiện dùng chứng chỉ điện tử chứa trong thư
mục trên server LDAP để kí, bằng cách gởi yêu cầu tìm kiếm cho LDAP server,
LDAP server gởi lại cho client chứng chỉ điện tử của nó sau đó chương trình mail
dùng chứng chỉ điện tử để kí và gởi cho Message sever. Nhưng ở góc độ người
dùng thì tất cả quá trình trên đều hoạt động một cách tự động và người dùng
không phải quan tâm
21
Hình 1.8: Một mô hình đơn giản lưu trữ
Netscape Message server có thể sử dụng LDAP directory để thực hiện kiểm
tra các mail. Khi một mail đến từ một địa chỉ, messeage server tìm kiếm địa chỉ
email trong thư mục trên LDAP server lúc này Message server biết được hợp thư

người sử dụng có tồn tại và nhận thư.
Hình 1.9: Dùng LDAP để quản lý thư
22
Dùng LDAP xác thực một user đăng nhập vào một hệ thống qua chương
trình thẩm tra, chương trình thực hiện như sau đầu tiên chương trình thẩm tra tạo
ra một đại diện để xác thực với LDAP thông qua (1) sau đó so sánh mật khẩu của
user A với thông tin chứa trong thư mục. Nếu so sánh thành công thì user A đã xác
thực thành công
Hình 1.10: Xác thực dùng LDAP
Active directory là một dịch vụ được tích hợp sẵn trong các sản phẩm
Windows Server của Microsoft, Active Directory cung cấp một số tính năng quan
trọng, giúp công việc thiết kế, triển khai và quản trị hệ thống dễ dàng hơn, chặt
chẽ hơn.
Active Directoy trong Windows server sẽ tự động xác thực và mã hóa
thông tin, dữ liệu truyền tải trên giao thức LDAP. Việc xác thực giao thức nhằm
đảm bảo thông tin được gửi đến từ 1 nguồn chính thức và không bị giả mạo. Tiếp
theo sau đây, chúng ta sẽ tìm hiểu về Active Directory.
23
Chương III: TÌM HIỂU ACTIVE DIRECTORY
Giới thiệu
Mô hình quản lý mạng cần dựa trên các yếu tố sau để quyết định chọn mô hình
sao cho phù hợp với nu cầu.
 Số lượng máy
 Số tài nguyên chia sẻ
 Tính bảo mật (tài nguyên, thiết bị ngọai vi, người dùng)
 Chi phí
 Nhân lực
 Cần sức mạnh tính toán, xử lý tập trung
 Cần lưu trữ tập trung
 Qui mô

Windows hỗ trợ những mô hình mạng là:
 Workgroup
 Domain
1. Workgroup
Trong mô hình này các máy tính có quyền hạn ngang nhau và không có các
máy tính chuyên dụng làm nhiệm vụ cung cấp dịch vụ hay quản lý. Các máy tính
tự bảo mật và quản lý các tài nguyên của riêng mình. Đồng thời các máy tính cục
bộ này cũng tự chứng thực cho người dùng cục bộ.
Đặc điểm:
 Còn gọi là mô hình peer-to-peer
 Không cần server
 Một máy vừa là Client vừa là Server
 Các tài nguyên lưu trữ phân tán tại các hệ thống cục bộ
 Dành cho các mạng nhỏ (dưới 10 máy), hoặc không yêu cầu tính bảo mật
cao, hoặc việc phục vụ tập trung không quá lớn
24
 Lưu giữ thông tin người dùng trong tập tin SAM (Security Accounts
Manager) trên hệ thống cục bộ
Thuận lợi: Rẻ tiền, dễ thiết lập, bảo trì.
Bất lợi: Dữ liệu bị phân tán, khó định vị tài nguyên, tính bảo mật thấp.
2. Domain
Ngược lại với mô hình Workgroup, trong mô hình Domain thì việc quản lý
và chứng thực người dùng mạng tập trung tại máy tính Primary Domain
Controller. Các tài nguyên mạng cũng được quản lý tập trung và cấp quyền hạn
cho từng người dùng. Lúc đó trong hệ thống có các máy tính chuyên dụng làm
nhiệm vụ cung cấp các dịch vụ và quản lý các máy trạm.
Đặc điểm:
 Còn gọi là mô hình phục vụ (Server-Client/Server based)
o Client: yêu cầu dịch vụ, không cung cấp dịch vụ, chỉ cần cấu hình
phần cứng tối thiểu.

o Server: phục vụ các yêu cầu từ Client, thường là máy có cấu hình
mạnh.
 Trong mạng phải có ít nhất 1 máy làm chức năng điều khiển tòan bộ hệ
thống mạng (Domain Controller).
 Dùng cho các công ty vừa và lớn.
 Thông tin người dùng quản lý trong các Active Directory trên Domain
Controller (trong file NTDS.DIT).
Thuận lợi: Bảo mật tập trung, dễ truy xuất, backup
Bất lợi: Server đắt tiền, phụ thuộc vào người quản trị mạng. Chứng thực, quản
lý tài nguyên tập trung trên server.
25
Hình 2.1: Domain controller
3. Active Directory (AD)
Active Directory:
 Là một dịch vụ quản lý thư mục mang tính thứ bậc được giới thiệu bởi
Microsoft cùng với Windows 2000.
 Active Directory sử dụng LDAP (Lightweight Directory Access Protocol)
và được xây dựng trên cơ sở Hệ thống xác định domain theo tên (DNS).
Một trong những điểm ưu việt của Active Directory là nó quản lý hệ thống
mạng bằng cách tạo ra tên domain cho workgroup, trên cơ sở đó cho phép
các hệ thống mạng khác (Unix, Mac) truy cập vào.
 Là một CSDL lưu các tài nguyên (đối tượng) trên mạng và các thông tin
liên quan đến chúng.
Tại sao dùng AD trong Domain ?
Đối với mạng nhỏ nên dùng mạng Workgroup
Đối với mạng như xí nghiệp, công ty, … nên chia thành nhiều Domain để dễ dàng
trong việc quản lý. Vì thế ta nên sử dụng Active Directory.
 Được lưu trữ trong Domain Controller (DC)
 Hỗ trợ phân nhiều domain và ủy quyền để quản lý cho dễ dàng
 Quản lý 10 triệu người dùng cho mỗi Domain

×