Bài giảng Lý thuyết quản trị mạng - Chương 3: Active Directory - Lương Minh Huấn

ĐẠI HỌC SÀI GÒN CHƯƠNG 3: ACTIVE DIRECTORY GV: LƯƠNG MINH HUẤN NỘI DUNG Khái niệm Active Directory Cách đặt tên domain Cài đặt và quản lý AD trên Win server 2012 Quản lý domain trên win server 2012 Định nghĩa về tài khoản người dùng, tài khoản nhóm Backup DC và Child DC Cài đặt domain trên Centos 7 Giới thiệu về Active Directory  Active Directory là một dịch vụ thư mục (directory service) đã được đăng ký bản quyền bởi Microsoft, nó là một phần không thể thiếu trong kiến trúc Windows. Giống như các dịch vụ thư mục khác, chẳng hạn như Novell Directory Services (NDS)  Active Directory là một hệ thống chuẩn và tập trung, dùng để tự động hóa việc quản lý mạng dữ liệu người dùng, bảo mật và các nguồn nguyên được phân phối, cho phép tương tác với các thư mục khác. KHÁI NIỆM ACTIVE DIRECTORY KHÁI NIỆM ACTIVE DIRECTORY Thêm vào đó, Active Directory được thiết kế đặc biệt cho các trường kết nối mạng được phân bổ theo một kiểu nào đó. Với người dùng hoặc quản trị viên, Active Directory cung một khung nhìn mang tính cấu trúc để từ đó dễ dàng truy cập quản lý tất cả các tài nguyên trong mạng. Trên nền Linux, để có thể thực hiện Active Directory, người ta phải sử dụng gói Samba để thực hiện cấu hình. Chức năng của Active Directory Lưu giữ một danh sách tập trung các tên tài khoản người dùng, mật khẩu tương ứng và các tài khoản máy tính. Cung cấp một Server đóng vai trò chứng thực (authentication server) hoặc Server quản lý đăng nhập (logon Server), Server này còn gọi là domain controller (máy điều khiển vùng). Chức năng của Active Directory Duy trì một bảng hướng dẫn hoặc một bảng chỉ mục (index) giúp các máy tính trong mạng có thể dò tìm nhanh một tài nguyên nào đó trên các máy tính khác trong vùng. Cho phép chúng ta tạo ra những tài khoản người dùng với những mức độ quyền (rights) khácnhau như: toàn quyền trên hệ thống mạng, chỉ có quyền backup dữ liệu hay shutdown Server từ xa Cho phép chúng ta chia nhỏ miền của mình ra thành các miền con (subdomain) hay các đơn vị tổ chức OU (Organizational Unit). Sau đó chúng ta có thể ủy quyền cho các quản trị viên bộ phận quản từng bộ phận nhỏ. Kiến trúc của Active Directory Bao gồm 5 loại : Object OU Domain Domain Tree Forest Kiến trúc của Active Directory OBJECTS : gồm 2 loại Object Class : user, computer, và printer.  Attributes : tập các giá trị phù hợp và được kết hợp với một đối tượng cụ thể. Kiến trúc của Active Directory ORGANATIONAL UNITS (OU) : là đơn vị nhỏ nhất trong thống Active Directory, được xem là vật chứa các đối tượng (Objects), được dùng để sắp xếp các đối tượng khác nhau nhằm mục đích quản trị của người dùng. Kiến trúc của Active Directory DOMAIN : là đơn vị chức năng nòng cốt của cấu trúc logic Active Directory. Nó là phương tiện để qui định một tập hợp những người dùng, máy tính, tài nguyên chia sẻ có những qui tắc bảo mật giống nhau từ đó giúp cho việc quản lý các truy cập vào các Server dễ dàng hơn. omain đáp ứng hai chức năng chính sau: Đóng vai trò như một khu vực quản trị (administrative boundary) các đối tượng, là một tập hợp các định nghĩa quản trị cho các tượng chia sẻ như: có chung một cơ sở dữ liệu thư mục, các chính sách bảo mật, các quan hệ ủy quyền với các domain khác. Giúp chúng ta quản lý bảo mật các tài nguyên chia sẻ. Kiến trúc của Active Directory Kiến trúc của Active Directory DOMAIN TREE Domain Tree là cấu trúc bao gồm nhiều domain được sắp xếp có cấp bậc theo cấu trúc hình cây. Domain tạo ra đầu tiên được gọi là domain root và nằm ở gốc của cây thư mục. Tất cả các domain tạo ra sau sẽ nằm bên dưới domain root và được gọi là domain con (child domain). Tên của các domain con phải khác biệt nhau. Khi một domain root và ít nhất một domain con được tạo ra thì hình thành một cây domain Kiến trúc của Active Directory FOREST Forest (rừng) được xây dựng trên một hoặc nhiều Domain Tree, nói cách khác Forest là tập hợp các Domain Tree có thiết lập quan hệ và ủy quyền cho nhau. Cách đặt tên domain Tên miền được cấu tạo bởi nhiều thành phần ngăn cách nhau dấu chấm. Trong đó có tên miền cấp cao nhất và tên miền cấp 2,3,4, Tên miền cấp cao nhất bao gồm : Cách đặt tên domain Tên miền chung cấp cao nhất : .com, .net, .org, những tên miền chung cấp cao nhất khác theo quy định của các tổ chức quốc tế thẩm quyền về tài nguyên Internet. Tên miền quốc gia cấp cao nhất : bao gồm các tên miền được định theo chuẩn quốc tế về mã quốc gia. dụ : tên miền Việt Nam là : .vn, .com.vn, .net.vn, Cách đặt tên domain Tên miền cấp 2, cấp 3, cấp 4,là các tên miền đứng ngay bên trái tên miền cấp cao nhất. dụ : sgu.edu.vn : tên miền cấp 2 cntt.sgu.edu.vn : tên miền cấp 3 mang.cntt.sgu.edu.vn : tên miền cấp 4 Cách đặt tên domain Qui tắc đặt tên miền : Tên miền nên được đặt đơn giản và có tính chất gợi nhớ với đích và phạm vi hoạt động của tổ chức sỡ hữu tên miền. Mỗi tên miền được có tối đa 63 ký tự bao gồm cả dấu “.”. miền được đặt bằng các ký tự (a-z A-Z 0-9) và ký tự “-”. Một tên miền đầy đủ có chiều dài không vượt quá 255 ký tự. Cách đặt tên domain Một tên miền hoàn chỉnh phải luôn kết thúc bằng dấu chấm. dụ : sgu.edu.vn. Tên miền không nhất thiết phải luôn bắt đầu bằng www. CẤU HÌNH ACTIVE DIRECTORY TRÊN WIN SERVER B1: Cấu hình IP tĩnh. B2: Cấu hình DNS. B3: Cấu hình Active Directory B4: Tạo user, quản lý Active Directory QUẢN LÝ DOMAIN TRÊN WIN SERVER 2012 Thiết lập các chính sách về mật khẩu, khóa tài khoản người dung. Tạo và quản lý user, group, OU. Quản lý user profile Định nghĩa tài khoản người dùng Tài khoản người dùng (user account) là một đối tượng quan trọng đại diện cho người dùng trên mạng, chúng được phân biệt với nhau thông qua chuỗi nhận dạng username. Chuỗi nhận dạng này giúp hệ thống mạng phân biệt giữa người này và người khác trên mạng từ đó người dùng có thể đăng nhập vào mạng và truy cập các tài nguyên mạng mà mình được phép. Tài khoản người dùng cục bộ. Tài khoản người dùng cục bộ (local user account) là tài khoản người dùng được định nghĩa trên máy cục bộ và chỉ được phép logon, truy cập các tài nguyên trên máy tính cục bộ. Tài khoản người dùng miền Tài khoản người dùng miền (domain user account) là tài khoản người dùng được định nghĩa trên Active Directory và được phép đăng nhập (logon) vào mạng trên bất kỳ máy trạm nào thuộc vùng Đồng thời với tài khoản này người dùng có thể truy cập đến các nguyên trên mạng Tài khoản nhóm Tài khoản nhóm (group account) là một đối tượng đại diện một nhóm người nào đó, dùng cho việc quản lý chung các tượng người dùng. Việc phân bổ các người dùng vào nhóm giúp chúng ta dễ dàng quyền trên các tài nguyên mạng như thư mục chia sẻ, máy in Tài khoản nhóm Tài khoản người dùng có thể đăng nhập vào mạng nhưng tài khoản nhóm không được phép đăng nhập mà chỉ dùng để quản lý Tài khoản nhóm được chia làm hai loại: nhóm bảo mật (security group) và nhóm phân phối (distribution group). BACKUP DOMAIN CONTROLLER DC là máy quan trọng trong hệ thống mạng. Nếu DC không hoạt động sẽ ảnh hưởng rất lớn đến hệ thống. Do đó, người ta phải xây dựng một phương án dự phòng khi máy DC xảy ra sự cố. Đó chính là thực hiện backup DC. CHILD DOMAIN Một hệ thống cần được chia nhỏ ra thành nhiều miền con để dễ quản lý, nếu hệ thống đó đủ lớn. Để thực hiện chia nhỏ miền con này, ta cần phải thực hiện child domain. Để thực hiện child domain, ta phải xây dựng DNS cho hoàn chỉnh sau đó ta mới xây dựng child domain. XÂY DỰNG DOMAIN TRÊN CENTOS 7 Cấu hình IP tĩnh Cấu hình DNS Cài đặt gói samba Cấu hình gói samba