Tên đề tài: THIẾT KẾ HỆ THỐNG CISCO SECURE ACCESS CONTROL
SERVER TẠI HỆ THỐNG MẠNG HỘI SỞ NGÂN HÀNG VIB
Sinh viên: Đào Trọng Tiến
Lớp: TT&MMT K10B
GVHD: ThS. Vũ Văn Diện
Mạng máy tính và truyền thông

1


T

LỜI CẢM ƠN

Qua một thời gian nỗ lực phấn đấu, cuối cùng với sự giúp đỡ tận
tình của các thầy cô, và bạn bè em đã hoàn tất đề tài này. Qua đây em xin
bày tỏ lòng biết ơn sâu sắc đến ThS. Vũ Văn Diện người đã tận tình truyền
đạt những kiến thức trong quá trình thực hiện đề tài, chỉ bảo những kinh
nghiệm quý báu để em có thể hoàn thành tốt đề tài.
Em cũng xin chân thành cảm ơn các thầy giáo, cô giáo trong Khoa
Công Nghệ Thông Tin - Đại Học Công Nghệ Thông Tin và Truyền
Thông đã dạy bảo, truyền đạt lại kiến thức cho em trong suốt thời gian học,
để em có được những kiến và từ những kiến thức nền tảng đó, em hoàn
thiện đề tài được tốt hơn.
Xin cảm ơn các bạn đã nhiệt tình giúp đỡ rất nhiều về tài liệu cũng
như những kiến thức để em hoàn thành tốt đề tài này.

Thái Nguyên, ngày 10 tháng 06 năm 2016
Sinh viên
Đào Trọng Tiến

2


LỜI CAM ĐOAN

Em xin cam đoan nội dung của đồ án hoàn toàn là do em nghiên cứu,
tìm hiểu và tổng hợp từ các tài liệu liên quan, cũng như các kiến thức từ thực
tế khi em học tập, rèn luyện trên ghế giảng đường, không sao chép nội dung
của các đồ án khác.

Thái Nguyên, ngày 10 tháng 06 năm 2016
Sinh viên

Đào Trọng Tiến

3


MỤC LỤC
LỜI CẢM ƠN 1
LỜI CAM ĐOAN
MỤC LỤC

2

3

DANH MỤC HÌNH

5


LỜI NÓI ĐẦU 7
CHƯƠNG 1: CƠ SỞ LÝ THUYẾT

8

1.1. Giới thiệu về Cisco Secure ACS 8
1.2. Quy trình kết nối xác thực

8

1.3. Quản lý thiết bị mạng trong ACS8
1.3.1. Quản lý nhóm thiết bị mạng (NDGs) 9
1.3.2. Thiết bị mạng (AAA clients)
1.4. Quản lý lưu trữ người dùng
1.4.1. Internal stores

10

1.4.2. External stores

11

9
9

1.5. Quản lý các chính sách truy cập 16
1.6. Giao thức AAA 18
1.6.1. Tổng quan về TACACS+


18

1.6.2. Tổng quan về RADIUS

19

CHƯƠNG 2: KHẢO SÁT, ĐÁNH GIÁ HIỆN TRẠNG VÀ PHÂN TÍCH THIẾT KẾ HỆ
THỐNG MẠNG TẠI NGÂN HÀNG QUỐC TẾ VIB 20
2.1. Khảo sát và phân tích hệ thống mạng

20

2.1.1. Giới thiệu về ngân hàng quốc tế VIB20
2.1.2. Khảo sát cơ cấu tổ chức

20

2.1.3. Khảo sát hiện trạng hệ thống mạng 21
2.2. Đặt vấn đề, đánh giá hiện trạng 24
2.3. Đề xuất giải pháp

25

2.3.1. Sử dụng Cisco ACS để xác thực tài khoản

25

2.3.2. Sử dụng Cisco ACS để phân quyền tài khoản 25
2.3.3. Sử dụng Cisco ACS để thống kê, giám sát tài khoản 26
4



2.4. Phân tích và thiết kế giải pháp Cisco Secure ACS cho hệ thống mạng
2.4.1. Sơ đồ thiết kế

26

26

2.4.2. Các luật triển khai trên Cisco ACS

30

2.4.3. Xử lý sự cố 35
CHƯƠNG 3: TRIỂN KHAI GIẢI PHÁP VÀ XÂY DỰNG CHƯƠNG TRÌNH DEMO
3.1. Cấu hình trên Cisco ACS
3.1.1. Khai báo Device

36

36

3.1.2. Thêm dữ liệu user và group user
3.1.3. Access Services

39

41

3.1.4. Phân quyền 47

3.1.5. Cấu hình Backup/Recovery 64
3.2. Cấu hình trên một số loại thiết bị67
3.2.1. Thiết bị Cisco

67

3.2.2. Thiết bị Citrix

70

KẾT LUẬN VÀ HƯỚNG PHÁT TRIỂN
TÀI LIỆU THAM KHẢO

74

75

NHẬN XÉT CỦA GIÁO VIÊN HƯỚNG DẪN 76
NHẬN XÉT CỦA GIÁO VIÊN

PHẢN BIỆN 77

5

36


DANH MỤC HÌNH
Hình 1.1: Quy trình kết nối xác thực 8
Hình 1.2: Quá trình kết nối LDAP client đến LDAP server


12

Hình 1.3: Sơ đồ dạng cây của LDAP 12
Hình 1.4: Mô hình kết nối giữa client/server 13
Hình 1.5: Sơ đồ dạng case của AD

14

Hình 1.6: Quy trình kết nối sử dụng giao thức TACACS+18
Hình 1.7: Quy trình kết nối sử dụng giao thức RADIUS 19
Hình 2.1: Sơ đồ mô hình mạng ngân hàng VIB

22

Hình 2.2: Sơ đồ vị trí Cisco ACS trong hệ thống

26

Hình 3.1: Thêm Location trên ACS

35

Hình 3.2: Thêm các thuộc tính bên của Location trên ACS
Hình 3.3: Thêm Device Type trên ACS
Hình 3.5: Thêm Device trên ACS

36

37


Hình 3.6: Thêm các thuộc tính của Device trên ACS
Hình 3.7: Tạo user Local trên ACS

38

Hình 3.8: Khai báo nhóm của user local trên ACS 38
Hình 3.9: Khai báo thuộc tính của User Local

39

Hình 3.10: Khai báo thông tin để liên kết tới AD

39

Hình 3.11: Lựa chọn các group lấy về từ AD

40

Hình 3.12: Tạo Access Services cho Network

41

Hình 3.13: Lựa chọn cơ sở dữ liệu người dùng

42

Hình 3.14: Tạo các thuộc tính cho Network 43
Hình 3.15: Tạo Access Services cho Citrix 44
Hình 3.16: Khai báo các thuộc tính của Citrix


45

Hình 3.19: Tạo Shell Profiles cho Cisco Router

46

Hình 3.20: Tạo chi tiết một nhóm

47
6

37

35


Hình 3.21: Tạo Command Set 47
Hình 3.22: Tạo chi tiết một nhóm user

49

Hình 3.23: Tạo Authorization cho Cisco Router

50

Hình 3.24: Tạo Shell Profiles cho Cisco Switch

52


Hình 3.25: Tạo Command Sets cho Cisco Switch 55
Hình 3.26: Tạo Authorization cho Cisco Switch

56

Hình 3.27: Tạo Shell Profile cho WLC57
Hình 3.28: Khai báo thuộc tính Shell Profile cho WLC
Hình 3.29: Tạo Authorization cho WLC

60

Hình 3.30: Tạo Command Set cho Citrix

61

Hình 3.31: Tạo Authorization cho Citrix

63

Hình 3.32: Cấu hình Backup

65

Hình 3.33: Cấu hình Restore

65

Hình 3.34: Khai báo Authorization trong WLC

69


Hình 3.35: Cấu hình thứ tự ưu tiên trong WLC

69

Hình 3.36: Khai báo TACACS server trong Citrix 70
Hình 3.37: Khai báo Rule trong Citrix 71

7

59


LỜI NÓI ĐẦU

Hệ thống mạng của các tổ chức, doanh nghiệp lớn đặc biệt là hệ
thống mạng của ngân hàng gồm có rất nhiều thiết bị mạng. Việc quản lý,
giám sát thiết bị là một bài toán lớn đối với người quản trị hệ thống mạng.
Khi đó nhân lực về quản lý các thiết bị trong hệ thống cũng cần rất nhiều. Vì
vậy nếu không có sự phân quyền chặt chẽ và việc sử dụng chung account
mặc định hoặc việc phân quyền riêng lẻ trên từng loại thiết bị như hiện nay
sẽ dẫn đến việc không đảm bảo an toàn cho các thiết bị, cũng như việc
không giám sát được nhưng thay đổi về cấu hình để có hướng khắc phục.
Nắm bắt được thực trạng trên, em đã nghiên cứu tài liệu và thực
hiện đề tài “THIẾT KẾ HỆ THỐNG CISCO SECURE ACCESS CONTROL
SERVER TẠI HỆ THỐNG MẠNG HỘI SỞ NGÂN HÀNG VIB”. Mục đích
của việc thực hiện đề tài là thông qua lý luận và thực tiễn, em muốn thiết
kế, quy hoạch chung lại việc xác thực, phân quyền và giám sát được hoạt
động của người quản trị trên thiết bị. Qua đó sẽ làm rõ, phân cấp được
quyền, phạm vi ảnh hưởng của quản trị viên đối với các thiết bị trong hệ

thống.
Em xin gửi lời cảm ơn đến các thầy cô bạn bè đã tận tình giúp đỡ em
trong suốt quá trình thực hiện luận văn. Em xin đặc biệt chân thành cảm ơn
thầy giáo ThS. Vũ Văn Diện đã nhiệt tình hướng dẫn và chỉ bảo để em hoàn
thành đề tài này.
Do thời gian tìm hiểu và nghiên cứu có hạn nên đề tài của em còn
nhiều thiếu sót, em rất mong nhận được sự chỉ bảo, hướng dẫn của các
thầy cô để đề tài của em hoàn thiện hơn.

8


Em xin chân thành cảm ơn.

9


CHƯƠNG 1: CƠ SỞ LÝ THUYẾT
1.1. Giới thiệu về Cisco Secure ACS
Cisco Secure ACS là một thiết bị giúp xác thực người dùng khi truy
cập vào thiết bị mạng (NAS) như là Router, Switch, Wireless controler,
Server, Cisco PIX firewall. Cisco Secure ACS là một dịch vụ để điều khiển
việc xác thực (authentication), cấp quyền (authorization), thống kê
(accounting). Cisco Secure ACS giúp tập trung việc điều khiển truy cập và
thống kê cho các access server cũng như firewall trong việc quản lý việc
truy cập vào router hay switch. Với Cisco Secure ACS, người quản trị có
thể nhanh chóng quản trị account, thay đổi quyền cho toàn bộ các nhóm
người dùng khi truy cập vào thiết bị. Cisco Secure ACS hỗ trợ các Cisco
NAS như Cisco router series 2509, 2511, 3620, 3640, AS 5200, AS 5300,
AS 5800, Cisco PIX firewall và các thiết bị thế hệ thứ ba có thể cấu hình với

TACACS+, RADIUS.
1.2. Quy trình kết nối xác thực
 Bước 1: Khi user remote vào Network Device sử dụng giao thức
TACACS+, RADIUS thì NAS sẽ chuyển tiếp các yêu cầu từ user đến Cisco
Secure ACS.
 Bước 2: Cisco Secure ACS sẽ kiểm tra username và password của
user đó qua quyền Administrator của External Store Server.
 Bước 3: Nếu user/password đúng, Cisco ACS kiểm tra Rule đã khai
báo rồi trả lời là user đó có được phép truy cập vào hay bị từ chối truy cập,
và sau đó chức năng Accounting (ghi lại thời gian bắt đầu, thời gian kết
thúc một session, ...) sẽ bắt đầu thực hiện.

10


Hình 1.1: Quy trình kết nối xác thực
1.3. Quản lý thiết bị mạng trong ACS
Quản lý thiết bị mạng định nghĩa là các thành phần bên trong hệ
thống mạng với các yêu cầu tới ACS. Điều này bao gồm các thiết bị mạng
sẽ cấp yêu cầu tới các máy chủ bên ngoài, chẳng hạn như một máy chủ
RADIUS được sử dụng như một RADIUS proxy.
1.3.1. Quản lý nhóm thiết bị mạng (NDGs)
NDG là nhóm chứa các thiết bị. Khi ACS nhận được yêu cầu cho
một thiết bị, các NDG sẽ liên kết với thiết bị đó và so sánh với những thiết
bị trong bảng policy. Với phương pháp này, bạn có thể nhóm nhiều thiết bị
và gán cho chúng những chính sách tương tự. Ví dụ, bạn có thể nhóm tất cả
các thiết bị tại một địa điểm cụ thểvới nhau và gán cho nó những chính sách
tương tự.
1.3.2. Thiết bị mạng (AAA clients)
AAA Clients định nghĩa tất cả các thiết bị truy cập mạng trong cơ sở

dữ liệu của ACS. Các thiết bị mạng được định nghĩa có thể được liên kết
bằng một địa chỉ IP cụ thể hoặc một subnet mask (tất cả các IP trong mạng
con có thể truy cập mạng). Định nghĩa thiết bị bao gồm sự kết hợp của các
thiết bị mạng với các nhóm thiết bị (NDGs).
ACS có thể nhập các thiết bị với cấu hình của nó vào cơ sở dữ liệu.
Khi ACS nhận được yêu cầu, nó sẽ tìm kiếm thiết bị mạng trong cơ sở dữ
liệu với địa chỉ IP tương ứng. Sau đó, ACS so sánh share secret key đã
định nghĩa khi thêm thiết bị. Nếu các thông tin đúng, các NDGs kết hợp với
các thiết bị được lấy ra và sử dụng các Policy đã định nghĩa.
1.4. Quản lý lưu trữ người dùng
11


ACS quản lý các thiết bị mạng bằng cách sử dụng các tài nguyên
mạng ACS và các lưu trữ . Khi một user kết nối vào mạng thông qua ACS
yêu cầu truy cập một nguồn tài nguyên mạng cụ thể, ACS xác thực user và
quyết định xem user có thể giao tiếp với các tài nguyên mạng. Để xác thực
và cấp phép cho một user, ACS sử dụng user đã được lưu trữ trong cơ sở
dữ liệu.
Có hai loại lưu trữ:
 Internal stores: Lưu trữ nội bộ, sử dụng cơ sở dữ liệu người dùng
của ACS
 External stores: Cơ sở dữ liệu người dùng được lưu trữ bên
ngoài. ACS yêu cầu thông tin cấu hình để kết nối với cơ sở dữ liệu bên
ngoài để thực hiện xác thực và có được thông tin người dùng.
1.4.1. Internal stores
1.4.1.1. Thông tin về xác thực
Có thể cấu hình một mật khẩu khác là một phần của bản ghi người
dùng nội bộ mà được định nghĩa cho người dùng. TACACS + cho phép mật
khẩu đó thiết lập mức độ truy cập vào thiết bị. Nếu không chọn tùy chọn

này, mật khẩu người dùng mặc định cũng được sử dụng để xác thực
TACACS + . Có thể bao gồm các lưu trữ xác thực giống nhau và cùng một
thuộc tính danh sách. Tuy nhiên, nếu một danh tính được sử dụng để xác
thực, nó không được truy cập để biết thêm thuộc tính. Để xác thực dựa trên
chứng thực, tên người dùng thuộc các thuộc tính chứng chỉ và được sử
dụng để thu hồi thuộc tính.
Trong quá trình xác thực, xác thực thất bại nếu có nhiều hơn một
trường hợp của một user hoặc host đã tồn tại trong lưu trữ nội bộ. Các
thuộc tính được lấy ra (nhưng xác thực bị từ chối) cho những người dùng có
tài khoản bị vô hiệu hóa hoặc mật khẩu phải được thay đổi. Những loại xác
thực thất bại có thể xảy ra trong khi thi hành các chính sách nhận dạng:
12


 Lỗi xác thực: nguyên nhân có thể bao gồm các thông tin sai,
người dùng vô hiệu hóa..
 Người sử dụng hoặc máy chủ không tồn tại trong bất kỳ cơ sở dữ liệu
xác thực.
 Không xảy ra khi truy cập các cơ sở dữ liệu xác định.
Có thể định nghĩa không mở tùy chọn để xác định hành động khi gặp
lỗi nhiều lần:
 Từ chối: Gửi trả lời từ chối
 Drop: Không gửi bài trả lời.
 Tiếp tục: Tiếp tục xử lý để các chính sách
Hệ thống thuộc tính, trạng thái xác thực, giữ lại kết quả của việc xử
lý chính sách nhận dạng. nếu bạn chọn để tiếp tục xử lý chính sách khi có
sự cố xảy ra, bạn có thể sử dụng thuộc tính này trong một điều kiện chính
sách tiếp theo để phân biệt trường hợp xử lý chính sách đã không thành
công.Bạn có thể tiếp tục xử lý khi thẩm định thất bại cho PAP / ASCII, EAPTLS, hoặc EAP-MD5. Cho tất cảcác giao thức xác thực khác, yêu cầu bị từ
chối và một tin nhắn khi đăng nhập.

1.4.1.2. Định nghĩa Groups
Identity Groups có thể chỉ định cho mỗi user nội bộ vào một nhóm
khác nhau. Nhóm được định nghĩa trong một thứ bậc cấu trúc. Nó là những
thực thể hợp lý có liên quan đến người sử dụng, nhưng không chứa dữ liệu
hoặc các thuộc tính khác với tên mà bạn cung cấp cho họ. Sử dụng các
nhóm nhận dạng trong điều kiện chính sách để tạo ra các nhóm hợp lý của
người sử dụng mà cùng kết quả chính sách được áp dụng. Khi ACS xử lý
một yêu cầu cho một người sử dụng, danh tính của nhóm cho người sử
dụng là truy xuất và sau đó có thể được sử dụng trong điều kiện trong rule.
13


1.4.1.3. Quản lý các thuộc tính
Người quản trị có thể định nghĩa các thuộc tính trở thành một thành
phần trong điều kiện của policy. Trong khi xác thực, các thuộc tính được lấy
từ cở sở dữ liệu nội bộ khi nó là một phần của một điều kiện chính sách.ACS
tương tác với các thành phần để xác thực người dùng và có được thuộc tính
cho đầu vào cho một ACS chính sách định nghĩa thuộc tính bao gồm các
kiểu dữ liệu có liên quan và các giá trị hợp lệ. Tập hợp các giá trị phụ thuộc
vào kiểu. Ví dụ, nếu loại là số nguyên, định nghĩa bao gồm các phạm vi hợp
lệ. ACS cung cấp mộtđịnh nghĩa giá trị mặc định mà có thể được sử dụng
trong trường hợp không có một giá trị thuộc tính. Giá trị này đảm bảo giá trị
mặc định rằng tất cả các thuộc tính có ít nhất một giá trị.
1.4.2. External stores
1.4.2.1. Tổng quan về LDAP
LDAP là chữ viết tắt của Lightweight Directory Access Protocol.
LDAP phát triển dựa trên chuẩn X500. Đây là chuẩn cho dịch vụ thư mục
(Directory Service - DS) chạy trên nền tảng OSI. LDAP được coi là
lightweight vì LDAP sử dụng gói tin overhead thấp, được xác định chính xác
trên lớp TCP của danh sách giao thức TCP/IP (các dịch vụ hướng kết nối)

còn X500 là heavyweight vì là lớp giao thức ứng dụng, chứa nhiều header
hơn (các header của các layer tầng thấp hơn)
LDAP chỉ là giao thức, không hỗ trợ xử lý như cơ sở dữ liệu. Mà nó
cần một nơi lưu trữ backend và xử lý dữ liệu tại đó. Vì vậy mà LDAP client
kết nối tới LDAP server theo mô hình sau:

14


Hình 1.2: Quá trình kết nối LDAP client đến LDAP server
LDAP là giao thức truy cập vì vậy nó theo mô hình dạng cây
(Directory Information Tree). LDAP là giao thức truy cập dạng client/server.

Hình 1.3: Sơ đồ dạng cây của LDAP
LDAP hoạt động theo mô hình client-server. Một hoặc nhiều LDAP
server chứa thông tin về cây thư mục (Directory Information Tree – DIT).
Client kết nối đến server và gửi yêu cầu. Server phản hồi bằng chính nó

15


hoặc trỏ tới LDAP server khác để client lấy thông tin. Trình tự khi có kết nối
với LDAP:
 Connect (kết nối với LDAP): client mở kết nối tới LDAP server
 Bind (kiểu kết nối: nặc danh hoặc đăng nhập xác thực): client gửi
thông tin xác thực
 Search (tìm kiếm): client gửi yêu cầu tìm kiếm
 Interpret search (xử lý tìm kiếm): server thực hiện xử lý tìm kiếm
 Result (kết quả): server trả lại kết quả cho client
 Unbind: client gửi yêu cầu đóng kết nối tới server

 Close connection (đóng kết nối): đóng kết nối từ server

Hình 1.4: Mô hình kết nối giữa client/server
1.4.2.2. Microsoft Acctive Directory
Active Directory là một dịch vụ thư mục (directory service) đã được
đăng ký bản quyền bởi Microsoft, nó là một phần không thể thiếu trong kiến
trúc Windows. Giống như các dịch vụ thư mục khác, chẳng hạn như Novell
Directory Services (NDS), Active Directory là một hệ thống chuẩn và tập
trung, dùng để tự động hóa việc quản lý mạng dữ liệu người dùng, bảo mật
và các nguồn tài nguyên được phân phối, cho phép tương tác với các thư
mục khác. Thêm vào đó, Active Directory được thiết kế đặc biệt cho các môi
trường kết nối mạng được phân bổ theo một kiểu nào đó.
16


Active Directory có thể được coi là một điểm phát triển mới so
với Windows 2000 Server và được nâng cao và hoàn thiện tốt hơn
trong Windows Server 2003, trở thành một phần quan trọng của hệ điều
hành. Windows Server 2003 Active Directory cung cấp một tham chiếu,
được gọi là directory service, đến tất cả các đối tượng trong một mạng, gồm
có user, groups, computer, printer, policy và permission. Nói ngắn gọn và
tổng quát, Active Directory là 1 dạng cơ sở dữ liệu với mục đích rõ ràng và
riêng biệt, tuy nhiên nó hoàn toàn không phải là 1 sự thay thế cho Registry
của Windows. Các bạn hãy hình dung thế này nhé, 1 mạng lưới client rộng
lớn có hàng trăm, hàng ngàn nhân viên, và mỗi nhân viên lại có tên (họ và
tên) khác nhau, công việc khác nhau, phòng ban khác nhau... và mỗi server
quản lý "đống" client đó phải có Active Directory để phân loại và xử lý công
việc một cách tối ưu nhất. Các phần dữ liệu trong Active Directory đều có
tính kế thừa, nhân rộng, cấp bậc... rõ ràng và linh hoạt.
Các mạng Active Directory được tổ chức bằng cách sử dụng 4 kiểu

đơn vị hay cấu trúc mục. Bốn đơn vị này được chia thành forest, domain,
organizational unit và site.

17


Hình 1.5: Sơ đồ dạng case của AD
 Forests: Nhóm các đối tượng, các thuộc tính và cú pháp thuộc
tính trong Active Directory.
 Domain: Nhóm các máy tính chia sẻ một tập chính sách chung,
tên và một cơ sở dữ liệu của các thành viên của chúng.
18


 Organizational unit (OU): Nhóm các mục trong miền nào đó.
Chúng tạo nên một kiến trúc thứ bậc cho miền và tạo cấu trúc công ty của
Active Directory theo các điều kiện tổ chức và địa lý.
 Sites: Nhóm vật lý những thành phần độc lập của miền và cấu
trúc OU. Các Site phân biệt giữa các location được kết nối bởi các kết nối
tốc độ cao và các kết nối tốc độ thấp, và được định nghĩa bởi một hoặc
nhiều IP subnet.
Các Forest không bị hạn chế theo địa lý hoặc topo mạng. Một forest
có thể gồm nhiều miền, mỗi miền lại chia sẻ một lược đồ chung. Các thành
viên miền của cùng một forest thậm chí không cần có kết nối LAN hoặc
WAN giữa chúng. Mỗi một mạng riêng cũng có thể là một gia đình của
nhiều forest độc lập. Nói chung, một forest nên được sử dụng cho mỗi một
thực thể. Mặc dù vậy, vẫn cần đến các forest bổ sung cho việc thực hiện
test và nghiên cứu các mục đích bên ngoài forest tham gia sản xuất.
Các miền - Domain phục vụ như các mục trong chính sách bảo mật
và các nhiệm vụ quản trị. Tất cả các đối tượng bên trong một miền đều là

chủ đề cho Group Policies miền rộng. Tương tự như vậy, bất cứ quản trị
viên miền nào cũng có thể quản lý tất cả các đối tượng bên trong một miền.
Thêm vào đó, mỗi miền cũng đều có cơ sở dữ liệu các tài khoản duy nhất
của nó. Chính vì vậy tính xác thực là một trong những vấn đề cơ bản của
miền. Khi một tài khoản người dùng hoàn toàn xác thực đối với một miền
nào đó thì tài khoản người dùng này có thể truy cập vào các tài nguyên bên
trong miền.
Active Directory yêu cầu một hoặc nhiều domain để hoạt động. Như
đề cập từ trước, một miền Active Directory là một bộ các máy tính chia sẻ
chung một tập các chính sách, tên và cơ sở dữ liệu các thành viên của
19


chúng. Một miền phải có một hoặc nhiều máy domain controller (DC) và lưu
cơ sở dữ liệu, duy trì các chính sách và cung cấp sự thẩm định cho các
đăng nhập vào miền.
Trước kia trong Windows NT, bộ điều khiển miền chính - primary
domain controller (PDC) và bộ điều khiển miền backup - backup domain
controller (BDC) là các role có thể được gán cho một máy chủ trong một
mạng các máy tính sử dụng hệ điều hành Windows. Windows đã sử dụng ý
tưởng miền để quản lý sự truy cập đối với các tài nguyên mạng (ứng dụng,
máy in và,…) cho một nhóm người dùng. Người dùng chỉ cần đăng nhập vào
miền là có thể truy cập vào các tài nguyên, những tài nguyên này có thể nằm
trên một số các máy chủ khác nhau trong mạng.
Máy chủ được biết đến như PDC, quản lý cơ sở dữ liệu người dùng
Master cho miền. Một hoặc một số máy chủ khác được thiết kế như BDC.
PDC gửi một cách định kỳ các bản copy cơ sở dữ liệu đến các BDC. Một
BDC có thể có thể đóng vai trò như một PDC nếu máy chủ PDC bị lỗi và
cũng có thể trợ giúp cân bằng luồng công việc nếu quá bận.
Với Windows 2000 Server, khi domain controller vẫn được duy trì,

các role máy chủ PDC và BDC cơ bản được thay thế bởi Active Directory.
Người dùng cũng không tạo các miền phân biệt để phân chia các đặc quyền
quản trị. Bên trong Active Directory, người dùng hoàn toàn có thể ủy nhiệm
các đặc quyền quản trị dựa trên các OU. Các miền không bị hạn chế bởi một
số lượng 40.000 người dùng. Các miền Active Directory có thể quản lý hàng
triệu các đối tượng. Vì không còn tồn tại PDC và BDC nên Active Directory
sử dụng bản sao multi-master replication và tất cả các domain controller
đều ngang hàng nhau.
Organizational units tỏ ra linh hoạt hơn và cho phép quản lý dễ dàng
20


hơn so với các miền. OU cho phép bạn có được khả năng linh hoạt gần như
vô hạn, bạn có thể chuyển, xóa và tạo các OU mới nếu cần. Mặc dù các
miền cũng có tính chất mềm dẻo. Chúng có thể bị xòa tạo mới, tuy nhiên
quá trình này dễ dẫn đến phá vỡ môi trường so với các OU và cũng nên
tránh nếu có thể.
Theo định nghĩa, sites là chứa các IP subnet có các liên kết truyền
thông tin cậy và nhanh giữa các host. Bằng cách sử dụng site, bạn có thể
kiểm soát và giảm số lượng lưu lượng truyền tải trên các liên kết WAN
chậm.
ACS sử dụng Microsoft Active Directory (AD) là một nơi lưu trữ cơ sở
dữ liệu người dùng bên ngoài để lưu trữ user, groups. ACS xác thực các đối
tượng này với AD. ACS hỗ trợ các giao thức sau để tương tác với AD:
 EAP-FAST và PEAP-ACS hỗ trợ người dùng và máy tính xác thực
và thay đổi mật khẩu đối với AD sử dụng EAP-FAST và PEAP với phương
thức của MSCHAPv2 và EAP-GTC.
 PAP-ACS hỗ trợ xác thực đối với AD sử dụng TACACS PAP hoặc
phương thức ASCII và cũng cho phép bạn thay đổi mật khẩu người dùng
trong AD.

 MSCHAPv1-ACS hỗ trợ người dùng và máy tính xác thực đối với
AD sử dụng MSCHAPv1. Bạn có thể thay đổi mật khẩu người dùng AD sử
dụng MSCHAPv1 phiên bản 2. ACS không hỗ trợ MS-CHAP MPPE-Keys
của một người sử dụng, nhưng hỗ trợ MPPE-Sent-Key và MPPE-Recv-Key.
 EAP-GTC—ACS hỗ trợ xác thực người dùng đối với AD sử dụng
EAP-GTC.
1.5. Quản lý các chính sách truy cập
Chính sách truy cập mạng định nghĩa cho việc xác thức, cấp phép

21


khi clients truy cập vào các thiết bị mạng. Một clients có thể là user, thiết bị
mạng, hoặc user liên kết với các thiết bị mạng.
Bạn có thể cấu hình các mục sau đây là điều kiện trong một rules:
 Request/Protocol Attributes: ACS lấy các thuộc tính từ các yêu
cầu xác thực vấn đề của người sử dụng
 Identity Attributes: Các thuộc tính này liên quan đến user khi
thực hiện một yêu cầu. Những thuộc tính này có thể được lấy từ các định
nghĩa sử dụng trong các lưu trữ nội bộ hoặc từ người dùng định nghĩa được
lưu trữ cơ sở dữ liệu người dùng bên ngoài, chẳng hạn như LDAP và AD
 Identity Groups: ACS duy trì một hệ thống phân cấp nhóm duy
nhất được sử dụng cho tất cả các loại user. Mỗi user có thể bao gồm một
liên kết đến một nhóm trong hệ thống nhóm đã được phân cấp.
 Network Device Groups (NDGs): bao gồm một hoặc nhiều hơn
các nhóm đã được chia ra theo loại thiết bị.
 Date and Time Conditions: Bạn có thể tạo một điều kiện xác
định các khoảng thời gian cụ thể qua ngày cụ thể trong tuần. Bạn cũng có
thể kết hợp ngày hết hạn với ngày tháng và thời gian điều kiện. quy định về
thời gian là một điều kiện mà lấy ngày hiện tại và thời gian và hiệu quả lợi

nhuận đúng hoặc sai để cho biết hay không điều kiện được đáp ứng. Có hai
thành phần bên trong ngày và thời gian điều kiện:
 Enable Duration: Bạn có thể tùy chọn để giới hạn thời gian trong đó
điều kiện bằng cách xác định một thời gian bắt đầu, tùy chọn thời gian, kết thúc.
Thành phần này cho phép bạn tạo quy định với thời gian giới hạn. Nếu điều
kiện này không được kích hoạt, sau đó thành phần này của ngày và thời gian
điều kiện trả về false.
 Time Intervals:Trên giao diện web ACS, bạn sẽ thấy một bảng
22


các mốc thời gian cho thấy những ngày của tuần và các giờ trong mỗi
ngày. Mỗi ô trong bảng đại diện cho một giờ. Có thể bạn cũng thế thiết lập
hoặc xóa các ô.
 Network Conditions: bạn có thể tạo ra các bộ lọc của các loại
sau đây để hạn chế truy cập vào mạng:
 End Station Filters: Có thể được xác định bởi địa chỉ IP, địa chỉ
MAC, CLI, hoặc DNIS.
 Network Device Filters: dựa trên việc xử lý yêu cầu AAA Client
. Một thiết bị mạng có thể được xác định bởi địa chỉ IP của nó, bởi tên thiết
bị được xác định, hoặc bởi các NDG.
 Device Port Filters: Lọc các thiết bị dựa theo port
1.6. Giao thức AAA
1.6.1. Tổng quan về TACACS+
Giao thức TACACS+ được sử dụng nếu các thiết bị mạng là thiết bị
Cisco-quản lý các ứng dung, server, router, hoặc firewall. ACS hỗ trợ địa
chỉ IPv6 cho giao thức TACACS+. ACS hỗ trợ thiết bị Cisco-quản lý ứng
dụng thông qua cấp phép câu lệnh cho user. ACS cung cấp hỗ trợ việc cấp
phép câu lệnh cho người quản lý thiết bị bằng cách đặt những câu lệnh riêng
cho mỗi nhóm người quản lý. ACS sử dụng TACACS+ để giao tiếp với các

thiết bị.
Bạn cũng phải cung cấp cho các thiết bị quản lý một tên quản trị hợp lệ
và mật khẩu. Khi một thiết bị được quản lý giao tiếp với ACS, các yêu cầu phải
đảm bảo tính hợp lệ của các thông tin liên lạc. Ngoại trừ các gói header, tất cả
các thông tin mà client và TACACS + server giao tiếp sẽ được mã hóa và
thông qua share secret.
Giao thức TACACS+ dùng để quản lý các thiết bị với quy trình như

23


sau:

Hình 1.6: Quy trình kết nối sử dụng giao thức TACACS+
 B1: Một user đăng nhập vào thiết bị mạng
 B2: Thiết bị mạng gửi một TACACS+ yêu cầu truy cập tới ACS
 B3: ACS sử dụng cơ sở dữ liệu nội bộ hoặc lưu trữ bên ngoài để xác
minh user
 B4: ACS gửi một phản hổi TACACS+ tới thiết bị mạng và áp
dụng các quy định. Phản hồi sẽ bao gồm Privilege Level của người quản trị
trong một phiên
1.6.2. Tổng quan về RADIUS
RADIUS là một giao thức client / server thông qua đó các máy chủ
truy cập từ xa liên lạc với một máy chủ trung tâm để xác thực người dùng,
và cho phép họ truy cập các hệ thống hoặc dịch vụ yêu cầu. Mộtmcông ty
có thể sử dụng RADIUS để duy trì hồ sơ người dùng trong một cơ sở dữ
liệu trung tâm mà tất cả các máy chủ từ xa có thể chia sẻ. Giao thức này
24



cung cấp bảo mật tốt hơn, và công ty có thể sử dụng nó để thiết lập một
chính sách được áp dụng quản lý điểm mạng. Để hỗ trợ các RFC cũ và mới
hơn, ACS chấp nhận yêu cầu chứng thực trên cổng 1645 và cổng1812. Đối
với việc thống kê, ACS chấp nhận các gói tin kế toán trên cổng 1646 và
1813.
Giao thức RADIUS dùng để quản lý các truy cập mạng. Khi một host
kết nối tới thiết bị mạng và yêu cầu sử dụng tài nguyên mạng. Thiết bị
mạng sử dụng giao thức RADIUS gửi yêu cầu ACS để xác thực và cấp
phép cho user. Quy trình kết nối, xác thực:

Hình 1.7: Quy trình kết nối sử dụng giao thức RADIUS
 B1: Một host kết nối tới thiết bị mạng
 B2: Thiết bị mạng gửi một RADIUS yêu cầu truy cập tới ACS
 B3: ACS sử dụng cơ sở dữ liệu nội bộ hoặc lưu trữ bên ngoài để
xác minh tính hợp lệ của user
 B4: ACS sẽ phản hồi chấp nhận truy cập hoặc từ chối truy cập
dựa theo quy tắc đã định nghĩa cho user

25