Embedded Files
Trong mô-đun thứ tư của khóa học này, chúng ta sẽ tìm hiểu về dịch vụ thư mục. Cụ thể, chúng ta sẽ xem cách hai dịch vụ thư mục phổ biến nhất, Active Directory và OpenLDAP, hoạt động trong thực tế. Chúng ta sẽ khám phá khái niệm quản lý tập trung và cách điều này có thể giúp các SysAdmin duy trì và hỗ trợ tất cả các phần khác nhau của hạ tầng CNTT. Đến cuối mô-đun này, bạn sẽ biết cách thêm người dùng, mật khẩu và sử dụng chính sách nhóm trong Active Directory và OpenLDAP.
Mục tiêu học tập:
Hiểu được các dịch vụ mà máy chủ thư mục cung cấp.
Hiểu được LDAP và Active Directory là gì.
Bạn đã gần hoàn thành việc tìm hiểu về các dịch vụ hạ tầng CNTT chính trong một tổ chức. Ở module trước, chúng ta đã học về các dịch vụ phần mềm được sử dụng trong tổ chức như phần mềm giao tiếp, bảo mật, và dịch vụ lưu trữ tệp tin. Sau đó, chúng ta đã nói về các dịch vụ nền tảng liên quan đến các tổ chức xây dựng sản phẩm phần mềm. Cuối cùng, chúng ta đã tìm hiểu về một số máy chủ hỗ trợ những tổ chức đó như máy chủ web và máy chủ cơ sở dữ liệu. Trong module này, chúng ta sẽ học về dịch vụ hạ tầng CNTT chính cuối cùng, dịch vụ thư mục.
Để tìm hiểu thêm về định dạng LDAP, vui lòng truy cập liên kết sau đây
Xác thực LDAP là gì?
Nếu bạn đã từng sống trong thời kỳ mà sổ điện thoại còn được sử dụng, bạn có thể nhớ rằng những cuốn sách cũ kỹ này chứa tên, địa chỉ và số điện thoại của những người trong khu phố hoặc cộng đồng của bạn, những người muốn thông tin của họ được liệt kê công khai. Điều này rất khác so với danh bạ điện thoại hoặc danh sách liên lạc mà bạn có trong điện thoại di động của mình. Những người có trong danh bạ của bạn đã cung cấp cho bạn số điện thoại của họ chỉ để bạn sử dụng mà thôi.
Khi sử dụng LDAP, có các mức xác thực khác nhau có thể được sử dụng để hạn chế quyền truy cập vào các thư mục nhất định, tương tự như những cuốn danh bạ điện thoại công cộng lớn hoặc những danh bạ điện thoại di động riêng tư đó. Có thể bạn có một thư mục mà bạn muốn công khai để bất kỳ ai cũng có thể đọc các mục nhập trong thư mục đó, hoặc có thể bạn chỉ muốn giữ dữ liệu đó ở chế độ riêng tư cho những người cần đến nó. Chúng ta sẽ thảo luận về cách LDAP thực hiện xác thực này và những phương thức mà nó sử dụng.
Chúng ta đã nói về các thao tác khác nhau mà bạn có thể thực hiện với LDAP, chẳng hạn như thêm, xóa hoặc sửa đổi các mục nhập trong thư mục. Một thao tác khác mà bạn có thể thực hiện là thao tác liên kết (bind operation), thao tác này xác thực máy khách với máy chủ thư mục.
Giả sử bạn muốn đăng nhập vào một trang web sử dụng dịch vụ thư mục. Bạn nhập thông tin đăng nhập tài khoản và mật khẩu của mình. Thông tin của bạn sau đó được gửi trở lại trang web. Trang web sẽ sử dụng LDAP để kiểm tra xem tài khoản người dùng đó có phải là người dùng thư mục hay không và mật khẩu có hợp lệ hay không. Nếu hợp lệ, bạn sẽ được cấp quyền truy cập vào tài khoản đó. Bạn muốn dữ liệu của mình được bảo vệ, được mã hóa khi hoàn thành quá trình này.
Có ba cách phổ biến để xác thực. Đầu tiên là ẩn danh (anonymous), sau đó là đơn giản (simple), và cuối cùng là SASL hoặc lớp bảo mật và xác thực đơn giản (simple authentication and security layer).
Khi sử dụng liên kết ẩn danh, bạn thực sự không cần xác thực gì cả. Tùy thuộc vào cách cấu hình, bất kỳ ai cũng có thể truy cập vào thư mục đó, giống như ví dụ về danh bạ điện thoại công cộng của chúng ta. Khi bạn sử dụng xác thực đơn giản, bạn chỉ cần tên mục nhập thư mục và mật khẩu. Thông tin này thường được gửi dưới dạng văn bản thuần túy, nghĩa là nó hoàn toàn không an toàn.
Một phương thức xác thực khác thường được sử dụng là xác thực SASL. Phương thức này có thể sử dụng sự trợ giúp của các giao thức bảo mật như TLS, mà bạn đã được học, và Kerberos, mà chúng ta sẽ thảo luận trong giây lát. Xác thực SASL yêu cầu máy khách và máy chủ thư mục xác thực bằng một số phương thức nào đó. Một trong những phương thức phổ biến nhất cho xác thực này là sử dụng Kerberos.
Kerberos là một giao thức xác thực mạng được sử dụng để xác thực danh tính người dùng, bảo mật việc truyền thông tin đăng nhập của người dùng và hơn thế nữa. Bản thân Kerberos có thể là một chủ đề phức tạp mà chúng ta sẽ xem xét lại trong khóa học An ninh CNTT.
Khi máy khách đã xác thực thành công với máy chủ LDAP hoặc dịch vụ thư mục, người dùng sẽ được ủy quyền để sử dụng bất kỳ mức truy cập nào mà họ có.
Để biết thêm thông tin về cách đọc Kerberos hãy xem liên kết này
Page updated
Google Sites
Report abuse