ĐỒ ÁN TỐT NGHIỆP TÌM HIỂU VÀ CẤU HÌNH DOMAIN TRUST SVTH NGUYỄN HOÀNG ANH - 1 - GVHD:TS NGUYỄN TRUNG HÒA ĐỒ ÁN TỐT NGHIỆP TÌM HIỂU VÀ CẤU HÌNH DOMAIN TRUST SVTH NGUYỄN HOÀNG ANH - 2 - GVHD:TS NGUYỄN TRUNG HÒA ĐỒ ÁN TỐT NGHIỆP TÌM HIỂU VÀ CẤU HÌNH DOMAIN TRUST LỜI MỞ ĐẦU Domain bây giờ không còn lạ lẫm gì với chúng ta. Microsoft đưa ra khái niệm domain đầu tiên trong Windows NT Server. Vào thời kỳ đó, mỗi domain là một vùng riêng biệt, thường sở hữu tất cả tài khoản người dùng của toàn bộ công ty. Một quản trị viên phải hoàn toàn điều khiển domain và dữ liệu bên trong nó. Nhưng đôi khi domain đơn riêng rẽ không mang tính thiết thực. Chẳng hạn, nếu một công ty có chi nhánh ở một vài thành phố khác nhau. Khi đó mỗi chi nhánh cần sẽ cần phải có một domain riêng, gây lãng phí và rất tốn kém. Trường hợp phổ biến khác là khi một công ty mua lại công ty khác. Tất nhiên hai công ty thường có hai domain khác nhau. Khi sát nhập lại thành một, chẳng nhẽ lại phải tiếp tục duy trì hai domain riêng như vậy. Nhiều khi người dùng ở miền này cần truy cập tài nguyên trên miền khác. Trường hợp này không phải hiếm gặp. Đưa ra giải pháp cho vấn đề này, Microsoft đã tạo các trusts hỗ trợ cho việc truy cập dễ dàng hơn Domain trust giúp chúng ta liên thông thông tin, tài nguyên giữa hai miền, giúp các nhân viên có thể khai thác thông tin , truy cập dữ liệu dễ dàng, kèm theo là quản lý dễ dàng hơn cho các nhà quản trị để cho hay không cho nhân viên cần hay không cần, cấm hay không cấm nhân viên truy cập hay khai thác những tài nguyên nào Em xin chân thành cảm ơn thầy giáo TS NGUYỄN TRUNG HÒA đã tận tình giúp đỡ em hoàn thành đồ án tốt nghiệp này ! Vinh tháng 5 năm 2010 SVTH NGUYỄN HOÀNG ANH - 3 - GVHD:TS NGUYỄN TRUNG HÒA ĐỒ ÁN TỐT NGHIỆP TÌM HIỂU VÀ CẤU HÌNH DOMAIN TRUST CHƯƠNG I: GIỚI THIỆU VỀ DOMAIN TRUST. I.Giới thiệu : Khi quản trị một hệ thống lớn gồm nhiều domain, chúng ta có nhu cầu cho các user có thể logon làm việc tại nhiều domain khác nhau hay truy cập dịch vụ trên một domain bất kì mà không cần phải trực tiếp logon làm việc trên domain đó. Một doanh nghiệp có 2 domain là A và domain B nằm trong 2 miền riêng biệt. Domain A có user là kt1 và file server chứa dữ liệu trong toàn công ty. Domain B có user nv1. Khi ti logon trên domain A, kt1 có thể truy cập tài nguyên trên file server trực tiếp. Còn nv1 do thuộc domain B nên không thể truy cập file server bên domain A. Để giải quyết vấn đề ta có thể lên domain A tạo cho nv1 một account nữa để nv1 cung cấp cho domain A chứng thực mỗi khi truy cập vào file server. Vậy là mỗi user bên domain B sẽ có 2 account, dẫn đến số lượng account phải quản lí tăng lên đáng kể. Để duy trì số lượng account cho mỗi user ở domain B như ban đầu (không cần tạo thêm bên domain A) mà các user bên domain B vẫn có thể truy cập trực tiếp file server bên domain A thì ta phải tạo ra mối liên kết giữa 2 domain, chính là trust relationship. Tạo ra trust relationship giữa 2 domain A và domain B sẽ giúp các domain có thể thừa hưởng quá trình chứng thực của nhau, user nv1 có thể logon trên cả 2 domain, truy cập trực tiếp file server trên domain A cho dù đang logon làm việc trên domain B. Trust relationship là một liên kết luận lý được thiết lập giữa các hệ thống domain, giúp cho cơ chế chứng thực giữa các hệ thống domain có thể được thừa hưởng lẫn nhau. Trust relationship giải quyết bài toán “single sign-on” - logon chứng thực một lần duy nhất cho tất cả mọi hoạt động trên các domain, dịch vụ triển khai trên 1 domain có thể được truy cập từ user thuộc domain khác. Trong một trust relationship cần phải có 2 domain. Domain được tin tưởng gọi là trusted domain, còn domain tin tưởng domain kia gọi là trusting domain. Cơ chế SVTH NGUYỄN HOÀNG ANH - 4 - GVHD:TS NGUYỄN TRUNG HÒA ĐỒ ÁN TỐT NGHIỆP TÌM HIỂU VÀ CẤU HÌNH DOMAIN TRUST trust relationship giúp đảm bảo các đối tượng (user, ứng dụng hay chương trình) được tạo ra trên một trusted domain có thể được chứng thực đăng nhập hay truy cập tài nguyên, dịch vụ trên trusting domain. Tuy nhiên, trên hệ thống Windows hỗ trợ đến 6 loại trust relationship với các đặc tính và ứng dụng khác nhau. Bài này sẽ giúp các bạn hiểu hơn về đặc tính cũng như ứng dụng từng loại để triển khai trên hệ thống cho hợp lí. II. Phân loại Một trust relationship trên Windows Server 2003 bao gồm 3 đặc tính sau: 1.Tree/root trust hệ thống tự thiết lập khi ta đưa thêm một tree root domain vào trong một forest có sẵn. Như hình 1, khi ta đưa tree của domain D vào forest 1. Ba đặc tính: implicitly, transitive và two-way. 2. Parent/child trust hệ thống tự thiết lập khi ta đưa thêm một child domain vào trong một tree có sẵn. Như hình 1, khi ta dựng lên domain E là con của domain D, hoặc dựng domain F là con của domain E. Ba đặc tính: implicitly, transitive và two-way. 3. Shortcut trust được người quản trị thiết lập giữa hai domain trong cùng 1 forest để giảm bớt các bước chứng thực cho đối tượng. Ví dụ trong hình 1, khi chưa thiết lập shortcut trust giữa domain A và domain E thì các đối tượng bên domain A vẫn có thể được chứng thực trên E nhưng quá trình chứng thực phải đi qua các domain E – domain D – forest (root) – domain A. Để rút ngắn quá trình chứng thực, ta thiết lập shortcut trust giữa domain A và domain E để quá trình có thể diễn ra trực tiếp. Ba đặc tính: explicitly, transitive và có thể là one-way hay two- way. SVTH NGUYỄN HOÀNG ANH - 5 - GVHD:TS NGUYỄN TRUNG HÒA ĐỒ ÁN TỐT NGHIỆP TÌM HIỂU VÀ CẤU HÌNH DOMAIN TRUST Tính chất transitive của shortcut trust chỉ ảnh hưởng lên những domain con của 2 domain tham gia vào liên kết. Nghĩa là với shortcut trust giữa domain E và domain A, các đối tượng thuộc domain F và domain C cũng được rút ngắn giai đoạn chứng thực thông qua liên kết đó. Tuy nhiên, các đối tượng thuộc domain D và forest (root) là các domain cha của domain tham gia vào liên kết sẽ không được chứng thực thông qua liên kết.Shortcut trust còn được gọi là cross-link trust. 4. Realm trust được người quản trị thiết lập giữa một hệ thống không sử dụng hệ điều hành Windows và hệ thống domain Windows 2003. Điều kiện là hệ thống không sử dụng hệ điều hành Windows phải có giao thức chứng thực được hỗ trợ tương thích với giao thức Kerberos v5 của Windows 2003. Loại liên kết này giúp mở rộng khả năng liên kết của Windows tới các hệ thống khác. Ba đặc tính: explicitly, có thể là transitive hay non-transitive, one-way hay two-hay. 5. External trust được người quản trị thiết lập để liên kết hai domain thuộc hai forest khác nhau để giảm bớt các bước chứng thực. Như trên hình 1, nếu ta lập forest trust giữa 2 forest thì domain B và domain Q vẫn có thể chứng thực các đối tượng cho nhau nhưng phải đi vòng lên forest root rồi mới qua bên đối phương. Còn nếu như đã thiết lập external trust giữa domain B và domain Q thì quá trình chứng thực sẽ diễn ra trực tiếp giữa 2 domain. Ngoài công dụng trên, external trust còn hỗ trợ chức năng tương thích ngược giữa domain Windows 2003 và domain Windows NT để domain Windows 2003 có thể chứng thực cho các đối tượng thuộc domain Windows NT. Ba đặc tính: explicitly, non-transistive và có thể là one-way hay two-way. SVTH NGUYỄN HOÀNG ANH - 6 - GVHD:TS NGUYỄN TRUNG HÒA ĐỒ ÁN TỐT NGHIỆP TÌM HIỂU VÀ CẤU HÌNH DOMAIN TRUST 6. Forest trust được người quản trị thiết lập giữa 2 forest. Bắt đầu hỗ trợ từ Windows 2003. Đây là phương pháp hữu hiệu và ngắn gọn để chứng thực cho các đối tượng thuộc domain của cả 2 forest. Trên hình 1. khi forest trust được thiết lập ở 2 forest thì các đối tượng thuộc bất kì domain ở 1 trong 2 forest đều có khả năng được chứng thực trên domain của forest đối phương. Ba đặc tính: explicitly, transitive và có thể là one-way hay two-way. SVTH NGUYỄN HOÀNG ANH - 7 - GVHD:TS NGUYỄN TRUNG HÒA ĐỒ ÁN TỐT NGHIỆP TÌM HIỂU VÀ CẤU HÌNH DOMAIN TRUST CHƯƠNG II: GIỚI THIỆU WINDOWS SERVER 2003 VÀ CÀI ĐẶTCÁC DỊCH VỤ I.WINDOWS SERVER 2003 1. Giới thiệu: Hệ Điều Hành Windows 2000 Server có 3 phiên bản chính là: Windows 2000 Server, Windows 2000 Advanced Server, Windows 2000 Datacenter Server. Với mỗi phiên bản Microsoft bổ sung các tính năng mở rộng cho từng loại dịch vụ. Đến khi họ Server 2003 ra đời thì Mircosoft cũng dựa trên tính năng của từng phiên bản để phân loại do đó có rất nhiều phiên bản của họ Server 2003 được tung ra thị trường. Nhưng 4 phiên bản được sử dụng rộng rãi nhất là: Windows Server 2003 Standard Edition, Enterprise Edition, Datacenter Edition, Web Edition . So với các phiên bản 2000 thì họ hệ điều hành Server phiên bản 2003 có những đặc tính mới sau: - Khả năng kết chùm các Server để san sẻ tải (Network Load Balancing Clusters) và cài đặt nóng RAM (hot swap ). - Windows Server 2003 hỗ trợ hệ điều hành WinXP tốt hơn như: hiểu được chính sách nhóm (group policy) được thiết lập trong WinXP, có bộ công cụ quản trị mạng đầy đủ các tính năng chạy trên WinXP. - Tính năng cơ bản của Mail Server được tính hợp sẵn - Phiên bản Active Directory 1.1 ra đời cho phép chúng ta ủy quyền giữa các gốc rừng với nhau, đồng thời việc backup dữ liệu của Active Directory cũng dễ dàng hơn. - Hỗ trợ tốt hơn công tác quản trị từ xa do Windows 2003 cải tiến RDP (Remote Desktop Protocol) có thể truyền trên đường truyền 40Kbps. SVTH NGUYỄN HOÀNG ANH - 8 - GVHD:TS NGUYỄN TRUNG HÒA ĐỒ ÁN TỐT NGHIỆP TÌM HIỂU VÀ CẤU HÌNH DOMAIN TRUST Web Admin cũng ra đời giúp người dùng quản trị Server từ xa thông qua một dịch vụ Web một cách trực quan và dễ dàng - Hỗ trợ môi trường quản trị Server thông qua dòng lệnh phong phú hơn 2. Cài đặt Có nhiều cách cài đặt Windows Server 2003 như: 2.1 Cài đặt từ hệ điều hành khác. Tuỳ theo hệ điều hành đang sử dụng là gì, bạn có thể sử dụng hai lệnh sau trong thư mục I386: - WINNT32.EXE nếu là Windows 9x hoặc Windows NT. - WINNT.EXE nếu là hệ điều hành khác. 2.2 Cài đặt trực tiếp từ đĩa CD Windows 2003. Bạn chỉ cần đặt đĩa CD vào ổ đĩa và khởi động lại máy tính. Lưu ý là bạn phải cấu hình CMOS Setup, chỉ định thiết bị khởi động đầu tiên là ổ đĩa CDROM. Khi máy tính khởi động lên thì quá trình cài đặt tự động thi hành, sau đó làm theo những hướng dẫn trên màn hình để cài đặt Windows 2003. 2.3 Cài đặt Windows 2003 Server từ mạng. Để có thể cài đặt theo kiểu này, bạn phải có một Server phân phối tập tin, chứa bộ nguồn cài đặt Windows 2003 Server và đã chia sẻ thư mục này. Sau đó tiến hành theo các bước sau: - Khởi động máy tính định cài đặt. - Kết nối vào máy Server và truy cập vào thư mục chia sẻ chứa bộ nguồn cài đặt. - Thi hành lệnh WINNT.EXE hoặc WINNT32.EXE tuỳ theo hệ điều hành đang sử dụng trên máy. - Thực hiện theo hướng dẫn của chương trình cài đặt. Sau đây là một số hình ảnh về quá trình cài đặt SVTH NGUYỄN HOÀNG ANH - 9 - GVHD:TS NGUYỄN TRUNG HÒA ĐỒ ÁN TỐT NGHIỆP TÌM HIỂU VÀ CẤU HÌNH DOMAIN TRUST SVTH NGUYỄN HOÀNG ANH - 10 - GVHD:TS NGUYỄN TRUNG HÒA . TỐT NGHIỆP TÌM HIỂU VÀ CẤU HÌNH DOMAIN TRUST SVTH NGUYỄN HOÀNG ANH - 1 - GVHD:TS NGUYỄN TRUNG HÒA ĐỒ ÁN TỐT NGHIỆP TÌM HIỂU VÀ CẤU HÌNH DOMAIN TRUST SVTH. TỐT NGHIỆP TÌM HIỂU VÀ CẤU HÌNH DOMAIN TRUST SVTH NGUYỄN HOÀNG ANH - 11 - GVHD:TS NGUYỄN TRUNG HÒA ĐỒ ÁN TỐT NGHIỆP TÌM HIỂU VÀ CẤU HÌNH DOMAIN TRUST ll