Đề tài Active directory “tìm hiểu về trust relationship”

BỘ CÔNG THƯƠNG TRƯỜNG ĐẠI HỌC CÔNG NGHIỆP TP.HCM KHOA KHOA HỌC và KỸ THUẬT MÁY TÍNH ĐỒ ÁN ACTIVE DIRECTORY “TÌM HIỂU VỀ TRUST RELATIONSHIP” Giảng viên hướng dẫn : Sinh viên thực hiện: Lớp : Khóa: TP.Hồ Chí Minh ,tháng ... năm … BỘ CÔNG THƯƠNG TRƯỜNG ĐẠI HỌC CÔNG NGHIỆP TP.HCM KHOA KHOA HỌC và KỸ THUẬT MÁY TÍNH ĐỒ ÁN ACTIVE DIRECTORY “TÌM HIỂU VỀ TRUST RELATIONSHIP” Giảng viên hướng dẫn : Sinh viên thực hiện: Lớp : Khóa: TP.Hồ Chí Minh ,tháng ... năm … MỞ ĐẦU Trust relationship là một liên kết luận lý được thiết lập giữa các hệ thống domain, giúp cho cơ chế chứng thực giữa các hệ thống domain có thể được thừa hưởng lẫn nhau. Trust relationship giải quyết bài toán “single sign-on” - logon chứng thực một lần duy nhất cho tất cả mọi hoạt động trên các domain, dịch vụ triển khai trên 1 domain có thể được truy cập từ user thuộc domain khác. Trong đồ án này nhóm chúng em sẽ nghiên cứu về các loại trust và chức năng hoạt động của từng loại cũng như ý nghĩa của chúng được áp dụng trong thực tế như thế nào. Nội dung của đồ án này như sau : Chương I : Tổng Quan về Active Directory . Chương II : Trust Relationship Chương III : Lab Demo LỜI CẢM ƠN Trước tiên nhóm chúng em xin cảm ơn thầy Hoàng Đình Hạnh đã giúp chúng em hoàn thành đồ án học phần 1 .Trong quá trình thực hiện đồ án thầy đã nhiệt tình hướng dẫn và chỉ bảo những điểm còn thiếu và sai sót trong quá trình thực hiện đồ án này. Ngoài ra nhóm chúng em cũng xin cảm ơn Khoa Khoa Học và Kỹ Thuật Máy Tính đã hỗ trợ rất nhiều cho sinh viên chúng em trong quá trình thực hiện đồ án học phần. NHẬN XÉT (Của giảng viên hướng dẫn) …................................................................................................. …................................................................................................. …................................................................................................. …................................................................................................. …................................................................................................. …................................................................................................. …................................................................................................. …................................................................................................. …................................................................................................. …................................................................................................. …................................................................................................. …................................................................................................. …................................................................................................. …................................................................................................. NHẬN XÉT (Của giảng viên phản biện) …................................................................................................. …................................................................................................. …................................................................................................. …................................................................................................. …................................................................................................. …................................................................................................. …................................................................................................. …................................................................................................. …................................................................................................. …................................................................................................. …................................................................................................. …................................................................................................. …................................................................................................. …................................................................................................. MỤC LỤC Mở đầu : Trang Chương I : Tổng Quan Về Active Directory 1. Sơ lượt về Active Directory 1 2. Các thành phần trong Active Directory 3 Chương II : Trust Relationship Khái niệm về trust relationship 1. Tìm hiểu về Trust Relationship 4 2. Mối quan hệ tin cậy trong hệ điều hành Windows 2000 Server,Windows Server 2003 và Windows Server 2008 6 3. Tin tưởng giao thức (Trust protocols) 7 4. Trusted miền đối tượng (Trusted domain objects) 7 Các đặc tính của trust relationship 1. Explicitly or Implicitly 8 2. Transitive or Non-transitive 8 3. Trust direction 8 Các loại Trust Relationship 1.Tree/root Trust. 10 2.Parent/child Trust. 10 3.Shortcut Trust. 11 4.Reaml Trust. 12 5.External Trust. 13 6.Forest Trust. 13 Các họat đông của Trust Relationship 1.Hoạt động của Trust Relationship trong một forest. 15 2.Hoạt động của Trust Relationship giữa các forest. 16 Chương III: Lab Demo 1.Mô hình lab demo 18 2.Thực hiện lab demo 19 DANH MỤC CÁC BẢNG, SƠ ĐỒ, HÌNH
Chương I : Tổng Quan Active Directory Sơ lượt về Active directory -Active Directory có thể được cài đặt trên máy chủ chạy Microsoft ® Windows Server ® 2003, Standard Edition, Windows Server 2003, Enterprise Edition; và Windows Server 2003, Datacenter Edition. Và Windows Server 2008 mới được phát hành sau này. -Active Directory lưu trữ thông tin về các đối tượng trên mạng và làm cho thông tin này dễ dàng cho người quản trị viên và người sử dụng để tìm và sử dụng. Active Directory sử dụng lưu trữ dữ liệu theo cấp bậc, thông tin thư mục. - Việc lưu trữ dữ liệu này, được biết đến như là thư mục, chứa thông tin về đối tượng Active Directory. Những đối tượng này thường bao gồm các nguồn tài nguyên được chia sẻ như là các máy chủ, ổ đĩa, máy in, và người sử dụng mạng và các tài khoản máy tính. -Bảo mật được tích hợp trên Active Directory là xác thực thông qua đăng nhập và kiểm soát truy cập vào các đối tượng trong thư mục. Với một mạng đơn lẻ, quản trị viên có thể quản lý dữ liệu thư mục và tổ chức trên toàn mạng của họ, và người sử dụng mạng có thẩm quyền có thể truy cập tài nguyên bất cứ nơi nào trên mạng. Dựa trên các chính sách thi hành giúp giảm bớt cho việc quản lý của mạng thậm chí là phức tạp nhất. Tóm lại : -Active Directory có thể được coi là một điểm phát triển mới so với Windows 2000 Server và được nâng cao và hoàn thiện tốt hơn trong Windows Server 2003 và Windows Server 2008 sau này, trở thành một phần quan trọng của hệ điều hành. Windows Server 2003 và Windows Server 2008 Active Directory cung cấp một tham chiếu, được gọi là directory service, đến tất cả các đối tượng trong một mạng, gồm có user, groups, computer, printer, policy và permission. -Với người dùng hoặc quản trị viên, Active Directory cung cấp một khung nhìn mang tính cấu trúc để từ đó dễ dàng truy cập và quản lý tất cả các tài nguyên trong mạng. ** Active Directory bao gồm : Một tập hợp các quy tắc, lược đồ , định nghĩa cho lớp của các đối tượng và thuộc tính chứa trong thư mục, các rằng buộc và giới hạn về trường hợp của các đối tượng, và định dạng tên của họ. Một global catalog,chứa thông tin về mỗi đối tượng trong thư mục.Điều này cho phép người sử dụng và quản trị để tìm thông tin thư mục bất kể trong đó có tên miền trong thư mục thực sự chứa các dữ liệu. Một truy vấn và các chỉ số cơ chế, do đó, đối tượng và thuộc tính của họ có thể được xuất và tìm bởi người sử dụng mạng hoặc ứng dụng . Dịch vụ Replication là 1 dịch vụ phân phối thư mục dữ liệu qua mạng.Tất cả các Domain Controller trong một domain tham gia vào việc nhân rộng và có chứa một bản sao đầy đủ của tất cả các thông tin thư mục cho tên miền của mình. Bất kỳ sự thay đổi nào vào thư mục dữ liệu được nhân rộng đến tất cả các bộ điều khiển miền trong miền. Về việc hổ trợ cho phần mềm Active Directory cũa khách hàng ,mà làm cho nhiều tính năng trên Microsoft ® Windows ® 2000 Professional hoặc Windows XP Professional có thể chạy Windows 95, Windows 98, và Windows NT ® Server 4.0. Các thư mục sẽ xuất hiện như một thư mục Windows NT  **Những đơn vị cơ bản của Active Directory : -Các mạng Active Directory được tổ chức bằng cách sử dụng 4 kiểu đơn vị hay cấu trúc mục. Bốn đơn vị này được chia thành forest, domain, organizational unit và site. Forests: Nhóm các đối tượng, các thuộc tính và cú pháp thuộc tính trong Active Directory. Domain: Nhóm các máy tính chia sẻ một tập chính sách chung, tên và một cơ sở dữ liệu của các thành viên của chúng. Organizational unit (OU): Nhóm các mục trong miền nào đó. Chúng tạo nên một kiến trúc thứ bậc cho miền và tạo cấu trúc công ty của Active Directory theo các điều kiện tổ chức và địa lý. Sites: Nhóm vật lý những thành phần độc lập của miền và cấu trúc OU. Các Site phân biệt giữa các location được kết nối bởi các kết nối tốc độ cao và các kết nối tốc độ thấp, và được định nghĩa bởi một hoặc nhiều IP subnet. 1.2.Các thành phần trong Active Directory : -Các dịch vụ miền của Active Directory (Active Directory Domain Services) - trước đây vẫn được biết đến là Active Directory - và Identity Management trong Windows Server 2008 hiện có một số dịch vụ khác: Active Directory Domain Services (AD DS) Active Directory Federation Services (AD FS) Active Directory Lightweight Directory Services (AD LDS) Active Directory Rights Management Services (AD RMS). Active Directory Certificate Services (AD CS) -Mỗi dịch vụ trên lại có một Server Role, một khái niệm mới trong Windows Server 2008. -Chúng ta sẽ bắt đầu tim hiểu 1 phần trong Active Directory Domain Services (AD DS) đó là Trust Relationship. Chương II :Trust Relationship I.Khái niệm về trust relationship : 1.Tìm hiểu về trust relationship : -Khi quản trị một hệ thống lớn gồm nhiều domain, chúng ta có nhu cầu cho các user có thể logon làm việc tại nhiều domain khác nhau hay truy cập dịch vụ trên một domain bất kì mà không cần phải trực tiếp logon làm việc trên domain đó. Hình 1:Mô hình giữa 2 forest -Một công ty có 2 domain pcd.com và domain hvd.com nằm trong 2 forest riêng biệt. Domain pcd.com có user phanchidung và file server chứa dữ liệu trong toàn công ty. Domain hvd.com có user huynhvandung. Khi phanchidung logon trên domain pcd.com, phanchidung có thể truy cập tài nguyên trên file server trực tiếp. Còn huynhvandung do thuộc domain hvd.com nên không thể truy cập file server bên domain pcd.com. Để giải quyết vấn đề trên ta có thể lên domain pcd.com tạo cho huynhvandung 1 account nữa để huynhvandung cung cấp cho domain pcd.com chứng thực mỗi khi truy cập vào file server. Vậy là mỗi user bên domain hvd.com sẽ có 2 account, dẫn đến số lượng account phải quản lí tăng lên đáng kể. Để duy trì số lượng account cho mỗi user ở domain hvd.com như ban đầu (không cần tạo thêm bên domain pcd.com) mà các user bên domain hvd.com vẫn có thể truy cập trực tiếp file server bên domain pcd.com thì ta phải tạo ra mối liên kết giữa 2 domain, chính là Trust Relationship. Tạo ra trust relationship giữa 2 domain pcd.comvà domain hvd.com sẽ giúp các domain có thể thừa hưởng quá trình chứng thực của nhau, user huynhvandung có thể logon trên cả 2 domain, truy cập trực tiếp file server trên domain pcd.com cho dù đang logon làm việc trên domain hvd.com. Trust relationship là một liên kết luận lý được thiết lập giữa các hệ thống domain, giúp cho cơ chế chứng thực giữa các hệ thống domain có thể được thừa hưởng lẫn nhau. Trust relationship giải quyết bài toán “single sign-on” - logon chứng thực một lần duy nhất cho tất cả mọi hoạt động trên các domain, dịch vụ triển khai trên 1 domain có thể được truy cập từ user thuộc domain khác. -Trong một trust relationship cần phải có 2 domain. Domain được tin tưởng gọi là trusted domain, còn domain tin tưởng domain kia gọi là trusting domain. Hình 2: Trusting và Trusted -Cơ chế trust relationship giúp đảm bảo các đối tượng (user, ứng dụng hay chương trình) được tạo ra trên một trusted domain có thể được chứng thực đăng nhập hay truy cập tài nguyên, dịch vụ trên trusting domain. Tuy nhiên, trên hệ thống Windows hỗ trợ đến 6 loại trust relationship với các đặc tính và ứng dụng khác nhau. Bao gồm các loại trust sau đây : 1.Tree/Root Trust 2.Parent/Child Trust 3.Shortcut Trust 4.Realm Trust 5.External Trust 6.Forest Trust Hình 3: Mối quan hệ về các loại trust 2.Mối quan hệ tin cậy trong hệ điều hành Windows 2000 Server,Windows Server 2003 và Windows Server 2008 : Mọi sự tin cậy trong Windows 2000 Server , Windows Server 2003 và Windows Server 2008 trong cùng forest là có tính bắc cầu ( hay còn gọi là transistive), tin cậy 2 chiều..Do đó cả 2 lĩnh vực trong một mối quan hệ tin cậy được tin cậy.Như hình minh họa ở dưới đây : có nghĩa là nếu domain A trust domain B và domain B trust domain C thì người dùng trên domain C có thể truy cập tài nguyên trong miền A (khi n các người dùng này được cấp quyền thích hợp).Chỉ duy nhất các thành viên của nhóm Domains Admin mới được phép quản lý Trust Relationship. Hình 4:Mối quan hệ 3.Tin tưởng giao thức (Trust protocols) : Một domain controller chạy Windows Server 2008 xác thực người dùng và các ứng dụng sử dụng một trong 2 giao thức là Kerberos 5(V5) hoặc giao thức NTLM.Giao thức Kerberos 5(V5) là một giao thức mặc định cho máy tính chạy Windows 2000 ,Windows XP Professional ,Windows Server 2003 hoặc Windows Server 2008.Nếu bất kỳ một máy tính trong một giao dịch không hỗ trợ giao thức Kerberos 5 (V5) thì giao thức NTLM sẽ được sử dụng. Với giao thức kerberos thì người dùng sẽ yêu cầu một tấm vé thông hành từ domain controller trong miền tài khoản của mình đến các máy chủ trusting domain.Vé này đựoc phát hành bời 1 trung gian đó là trusted về phía người dùng và máy chủ. Người dùng hiện diện có tấm vé tin cậy này sẽ dùng nó để chứng thực trên domain được tin tưởng (Trusting Domain). Khi 1 người dùng cố gắn truy cập tài nguyên trên một máy chủ trong tên miền khác bằng cách sử dụng việc xác thực bằng giao thức NTLM ,máy chủ chứa tài nguyên phải liên hệ với bộ điều khiển miền trong miền tài khoản ngừoi dùng để xác minh các tài khoản này. 4.Trusted miền đối tượng (Trusted domain objects) : Trusted domain objects(TDOs) là đối tượng mà đại diện cho mỗi mối quan hệ tin tưởng trong một tên miền cụ thể .Mỗi một sự tin tưởng đó được thiết lập .Một TDO duy nhất đuợc tạo ra và được lưu trữ trong domain của mình (trong container hệ thống) .Thuộc tính như là trust transistivity (mối quan hệ có tính bắc cầu ) ,loại,và các tên miền qua lại được đại diện trong TDO. Forest trust TDOs lưu trữ các thuộc tính bổ sung để xác định tất cả các không gian tên đáng tin cậy từ đối tác của mình trong forest.Các cây thuộc tính này bao gồm tên miền,tên chính của người sử dụng (UPN),dịch vụ tên chính (SPN) và nhận diện bảo mật (SID). II.Các đặc tính của Trust Relationship : 1. Explicitly or Implicitly (tường minh hay ngầm định) -Explicitly trust là loại liên kết tường minh, do người quản trị thiết lập bằng tay. **Ví dụ như shortcut trust, external trust.  -Implicitly trust là loại liên kết ngầm định, do hệ thống thiết lập tự động. **Ví dụ như parent/child trust, tree/root trust. 2. Transitive or Non-transitive (có tính bắc cầu hay không có tính bắc cầu) -Transitive trust là loại liên kết mà mối liên kết không chỉ giới hạn giữa hai domain tham gia trực tiếp mà còn mở rộng ra những domain liên quan. Quan sát hình 3, domain D trust trực tiếp domain E, còn domain E lại trust trực tiếp domain F và cả hai đều là transitive trust thì domain D cũng trust gián tiếp domain F và ngược lại. Transitive trust được hệ thống thiết lập tự động, một trong những ví dụ về loại trust này là parent/child trust (liên kết giữa domain cha và domain con).  -Non-transitive trust có tính chất ngược với transitive trust, loại liên kết này chỉ giới hạn trong hai domain tham gia trực tiếp vào liên kết chứ không mở rộng ra các domain liên quan với hai domain đó. Non-transitive trust không được hệ thống thiết lập tự động. Ví dụ điển hình về non-transitive trust là external trust, liên kết giữa 2 domain thuộc 2 forest khác nhau. 3. Trust direction (chiều của liên kết) : -Các loại trust và hướng chỉ định của nó ảnh hưởng đến con đường tin cậy cho việc chứng thực.Một dường dẫn tin cậy là một loạt các mối quan hệ tin tưởng rằng yêu cầu chứng thực phải tuân theo sự cho phép giữa các tên miền.Trước khi một người dùng có thể truy cập vào tài nguyên của một miền khác ,hệ thống bảo mật trên bộ điều khiển miền đang chạy Windows Server 2008 phải xác định xem liệu các tên miền tin tưởng (Tên miền mà chứa các tài nguyên mà người dùng đang cố gắn truy cập) có một mối quan hệ tin cậy (trust relationship) với các tên miền tin cậy không (Trusted domain) .Để xác định này, hệ thống bảo mật máy tính có đường dẫn tin cậy giữa 1 domain controller trong miền tin tưởng và 1 domain controller trong miền tin cậy.Như hình minh họa dưới đây : Hình 5 : Mối quan hệ trusting domain và trusted domain  -Tất cả các domain có mối quan hệ tin tưởng (Trust relationship) chỉ có 2 lĩnh vực trong mối quan hệ là Trusting Domain( Tin tưởng Domain) và Trusted Domain (Domain được tin tưởng) -Trong Windows Server 2003 và Windows Server 2008, có 3 loại trust direction: one-way incoming, one-way outgoing, two-way. **Ví dụ như trên hình 3, ta thấy trust relationship giữa domain B và domain Q là một chiều (one-way). Đứng trên domain B, nếu ta thiết lập one-way incoming trust thì các đối tượng trên domain B sẽ được chứng thực trên domain Q; còn nếu ta thiết lập one-way outgoing trust thì các đối tượng trên domain Q sẽ được chứng thực trên domain B. Cuối cùng, nếu ta thiết lập two-way trust thì các đối tược trên cả hai domain sẽ được chứng thực trên domain đối phương. -Trên Windows 2000 thì liên kết trust chỉ có one-way và non-transitive. Do vậy, để tạo ra liên kết cho một hệ thống lớn, người quản trị cần thiết lập và quản lý nhiều trust relationship. Bắt đầu từ Windows Server 2003 và Windows Server 2008 thì trust relationship có 3 đặc tính trên đã đơn giản hóa công việc và giảm thiểu nhiều công sức quản lý cho người quản trị. **Một domain Windows Server 2008 có thề thiết lập một chiều hoặc 2 chiều với các domain và realms như sau : Windows Server 2008 domains trong cùng 1 forest . Windows Server 2008 domains ở 1 forest khác. Windows Server 2003 domains trong cùng 1 forest . Windows Server 2003 domains trong 1 forest khác. Windows NT 4.0 domains Kerberos version 5 (V5) realms III.Các loại Trust Relationship : 1. Tree/root trust: hệ thống tự thiết lập khi ta đưa thêm một tree root domain vào trong một forest có sẵn. Như hình 6, khi ta đưa tree của domain D vào forest 1. Ba đặc tính: implicitly, transitive và two-way. Hình 6:Mô hình Tree/Root Trust 2. Parent/child trust: hệ thống tự thiết lập khi ta đưa thêm một child domain vào trong một tree có sẵn. Như hình 7, khi ta dựng lên domain E là con của domain D, hoặc dựng domain F là con của domain E. Ba đặc tính: implicitly, transitive và two-way. Hình 7: Mô hình Parent/Child Trust 3. Shortcut trust: được người quản trị thiết lập giữa hai domain trong cùng 1 forest để giảm bớt các bước chứng thực cho đối tượng. Ví dụ trong hình 8, khi chưa thiết lập shortcut trust giữa domain A và domain E thì các đối tượng bên domain A vẫn có thể được chứng thực trên E nhưng quá trình chứng thực phải