Luận văn Xây dựng hệ thống quản lý tài nguyên và truy cập internet cho các ký túc xá đại học quốc gia Hà Nội

h đào tạo thí điểm LUẬN VĂN THẠC SĨ CÔNG NGHỆ THÔNG TIN NGƯỜI HƯỚNG DẪN KHOA HỌC: TS. VŨ DUY LINH NHẬN XÉT CỦA NHẬN XÉT CỦA CÁN BỘ HƯỚNG DẪN CHỦ TICH HỘI ĐỒNG CHẤM LUẬN VĂN TS. VŨ DUY LINH PGS.TS. ĐỖ NĂNG TOÀN Hà Nội – 2016 Lời cảm ơn Để hoàn thành luận văn này, trước tiên, tôi xin gửi lời cảm ơn sâu sắc nhất đến thầy giáo TS. Vũ Duy Linh, người đã khơi nguồn, định hướng chuyên môn, cũng như trực tiếp hướng dẫn và tạo mọi điều kiện thuận lợi nhất cho tôi trong quá trình thực hiện luận văn. Tôi xin chân thành gửi lời cảm ơn đến các thầy cô trong Viện CNTT – ĐH Quốc Gia Hà Nội đã góp ý kiến, nhận xét và quan tâm chỉ bảo, giúp đỡ tận tình trong quá trình tôi thực hiện đề tài. Tôi xin chân thành gửi lời cám ơn đến các bạn đồng nghiệp cũng trong Trung tâm Ứng dụng Công nghệ Thông tin – Viện CNTT – ĐH Quốc Gia Hà Nội đã tạo điều kiện giúp đỡ tôi trong quá trình thực hiện đề tài. Cuối cùng, tôi xin bày tỏ lòng kính trọng và sự biết ơn sâu sắc đến gia đình đã tạo động lực và mọi điều kiện tốt nhất để tôi có thể hoàn thành tốt mọi công việc trong quá trình thực hiện luận văn. Mặc dù đã rất cố gắng trong quá trình thực hiện luận văn không thể tránh khỏi những thiếu sót. Tôi rất mong nhận được sự góp ý của các thầy cô và bạn bè để tiếp tục hoàn thiện thêm việc xây dựng hệ thống quản lý tài nguyên và truy cập internet cho các ký túc xá Đại học Quốc gia Hà Nội. Hà Nội, ngày tháng năm 2016 Tác giả luận văn Đồng Quang Việt Lời cam đoan Tôi xin cam đoan rằng đây là công trình nghiên cứu của tôi, có sự hỗ trợ từ Thầy hướng dẫn và những người tôi đã cảm ơn. Các nội dung nghiên cứu và kết quả trong đề tài này là trung thực và chưa từng được ai công bố trong bất cứ công trình nào. Hà Nội, ngày tháng năm 2016 Tác giả luận văn Đồng Quang Việt MỤC LỤC DANH MỤC THUẬT NGỮ VÀ TỪ VIẾT TẮT ............................................................i DANH MỤC HÌNH ....................................................................................................... ii DANH MỤC BẢNG ..................................................................................................... iii MỞ ĐẦU ......................................................................................................................... 1 Chương 1: Tổng quan về quản lý tài nguyên và truy cập internet và một số giải pháp .. 3 1.1. Các ứng dụng dịch vụ mạng.................................................................................. 3 1.1.1. DHCP .............................................................................................................. 3 1.1.2. LDAP .............................................................................................................. 4 1.1.3. RADIUS.......................................................................................................... 7 1.1.4. DNS Forwarder ............................................................................................... 8 1.1.5. Squid proxy ..................................................................................................... 8 1.1.6. Captive portal .................................................................................................. 9 1.1.7. Firewall ........................................................................................................... 9 1.1.8. Load Balancer ............................................................................................... 11 1.2. Một số giải pháp quản lý tài nguyên và truy cập internet ................................... 11 1.2.1. Giới thiệu các giải pháp ................................................................................ 11 1.2.2 So sánh các giải pháp: .................................................................................... 16 Chương 2: Thiết kế hệ thống quản lý tài nguyên và truy cập internet cho các ký túc xá trong ĐHQGHN ............................................................................................................ 19 2.1. Kiến trúc hệ thống: .............................................................................................. 19 2.2. Nguyên lý hoạt động: .......................................................................................... 24 2.2.1. DHCP cho hệ thống quản lý tài nguyên và truy cập internet của KTXNN .. 24 2.2.2. Chứng thực người sử dụng cho hệ thống quản lý tài nguyên và truy cập internet của KTXNN ............................................................................................... 25 2.2.3. FireWall cho hệ thống quản lý tài nguyên và truy cập internet của KTXNN ... 26 2.2.4. Routing và Load balancing cho hệ thống quản lý tài nguyên và truy cập internet của KTXNN ............................................................................................... 27 Kết luận Chương 2 ......................................................................................................... 28 Chương 3: Xây dựng hệ thống quản lý tài nguyên và truy cập internet cho ký túc xá ĐHNN trong ĐHQGHN ................................................................................................ 29 3.1 Thực nghiệm xây dựng hệ thống quản lý tài nguyên và truy cập internet cho KTXNN ...................................................................................................................... 29 3.2. Đánh giá hệ thống quản lý tài nguyên và truy cập internet KTXNN ................. 45 KẾT LUẬN VÀ HƯỚNG PHÁT TRIỂN .................................................................... 49 TÀI LIỆU THAM KHẢO ............................................................................................. 50 i DANH MỤC THUẬT NGỮ VÀ TỪ VIẾT TẮT DHCP Dynamic Host Configuration Protocol LDAP Lightweight Directory Access Protocol RADIUS Remote Authentication Dial-In User Service AAA Authentication, Authorization, Access Control NAC Network Admission Control NAP Network Access Protection TNC The Trusted Network Connect HA High Availability PVS Posture Validation Server ĐHQGHN Đại Học Quốc Gia Hà Nôi KTXNN Ký Túc Xá Đại học Ngoại Ngữ - Đại học Quốc gia Hà Nội ĐHNN Đại Học Ngoại Ngữ ii DANH MỤC HÌNH Hình 1.1: Mô hình kết nối giữa client/server .................................................................. 5 Hình 1.2: Thao tác tìm kiếm cơ bản ................................................................................ 6 Hình 1.3: Những thông điệp Client gửi cho server ......................................................... 6 Hình 1.4: Nhiều kết quả tìm kiếm được trả về ................................................................ 6 Hình 1.5: Tường lửa làm nhiệm vụ bảo vệ .................................................................... 10 Hình 1.6: Mô hình xác thực NAC của Cisco (nguồn [9]) ............................................. 12 Hình 1.7: Mô hình xác thực sử dụng Captive Portal ..................................................... 13 Hình 1.8: Mô hình sử dụng PFSense ............................................................................. 14 Hình 2.1: Mô hình hệ thống mạng KTXNN ................................................................. 20 Hình 2.2: Mô hình hệ thống mạng KTXNN – PFSense ................................................ 22 Hình 2.3: Thông tin hệ thống Server PFSense .............................................................. 23 Hình 2.4: Mô hình hệ thống mạng chia Vlan tại KTXNN ............................................ 24 Hình 2.5: Bật chức năng DHCP server cho VLAN...................................................... 25 Hình 2.6: Cấu hình cấp dải IP cho VLAN..................................................................... 25 Hình 2.7: Rules của VLAN21NHAA ............................................................................ 26 Hình 2.8: Bảng thiết lập NAT (1:1)............................................................................... 27 Hình 3.1: Cấu hình DHCP cho VLAN21NHAA .......................................................... 29 Hình 3.2: Cấu hình DHCP cho VLAN31NHAB .......................................................... 30 Hình 3.3: Cấu hình DHCP cho VLAN12 ...................................................................... 31 Hình 3.4: Cấu hình DHCP cho VLANWIFI16 ............................................................. 32 Hình 3.5: Kích hoạt DNS Forwarder ............................................................................. 33 Hình 3.6: kích hoạt captive portal cho các interface ..................................................... 33 Hình 3.7: Thiết lập Radius server trên Captive portal ................................................... 34 Hình 3.8: Thiết lập IP qua Captive Portal ..................................................................... 34 Hình 3.9: Bảng thiết lập những Ip được đi qua Captive Portal ..................................... 35 Hình 3.10: Thiết lập kết nối LDAP cho FreeRADIUS ................................................. 36 Hình 3.11: Bảng Rules của Interface WANVNU112 ................................................... 37 Hình 3.12: Giới hạn băng thông .................................................................................... 37 Hình 3.13: Thiết lập các hàng cho các interface ........................................................... 38 iii Hình 3.14: Thiết lập các hàng cho các interface ........................................................... 38 Hình 3.15: Bảng Vlan của hệ thống .............................................................................. 39 Hình 3.16: Chỉnh sửa 1 Vlan ......................................................................................... 39 Hình 3.17: Bảng các interface của hệ thống .................................................................. 40 Hình 3.18: Interface VLAN21NHAA ........................................................................... 41 Hình 3.19: Interface WANVNU112.............................................................................. 42 Hình 3.20: Interface WAN_SPT ................................................................................... 43 Hình 3.21: Bảng routing ................................................................................................ 44 Hình 3.22: Cấu hình WAN_SPT gateway ..................................................................... 44 Hình 3.23: Default Gateway của hệ thống .................................................................... 45 Hình 3.24: Băng thông đi qua interface WANVNU112 ............................................... 46 Hình 3.25: Thông tin hệ thống ...................................................................................... 47 Hình 3.26: Bảng trạng thái các queue đang áp dụng tại các interface .......................... 48 DANH MỤC BẢNG Bảng 1.1: So sánh 2 giải pháp quản lý tài nguyên và truy cập internet ........................ 17 1 MỞ ĐẦU Chúng ta đang sống trong thời đại mới, thời đại phát triển rực rỡ của công nghệ thông tin. Công nghệ thông tin đã ở một bước phát triển cao đó là số hóa tất cả các dữ liệu thông tin, luân chuyển mạnh mẽ và kết nối tất cả chúng ta lại với nhau. Mọi loại thông tin, số liệu âm thanh, hình ảnh có thể được đưa về dạng kỹ thuật số để bất kỳ máy tính nào cũng có thể lưu trữ và chuyển tiếp cho nhiều người. Từ dữ liệu được số hóa sẽ trở thành những tài nguyên được chia sẻ chung trong hệ thống mạng cũng như internet. Chính vì vậy quản lý tài nguyên và truy cập internet của người sử dụng là một bài toán tổng quan và phổ biến hiện nay. Quản lý tài nguyên và truy cập internet của người sử dụng cần đáp ứng được các nhu cầu quản lý khác nhau của các đơn vị, tổ chức hoặc các doanh nghiệp mà chọn các giải pháp khác nhau. Quản lý tài nguyên và truy cập internet của người sử dụng nhằm một mục đích là làm cho việc sử dụng tài nguyên và truy cập internet hiệu quả hơn và trong sáng hơn. Rõ ràng là như vậy khi bạn không muốn người sử dụng truy cập internet và tài nguyên không lành mạnh thì cần quản lý được nội dung truy cập của người sử dụng. Và như vậy sẽ tăng hiệu năng làm việc cũng như khả năng học tập của người sử dụng. Quản lý tài nguyên và truy cập internet cũng là phải quản lý được lưu lượng sử dụng cũng như dung lượng sử dụng của người sử dụng, tránh làm ảnh hưởng đến chất lượng của hệ thống cũng như việc sử dụng của các cá nhân khác. Quản lý tài nguyên và truy cập internet của người sử dụng cũng là việc làm sao phải bảo đảm an toàn và bảo mật thông tin của người sử dụng khi hoạt động trong hệ thống. Quản lý tài nguyên và truy cập internet của người sử dụng cũng là quản lý số người truy cập tài nguyên và internet. Muốn quản lý tài nguyên và truy cập internet của người sử dụng cần phải xây dựng một hệ thống quản lý tài nguyên và truy cập internet. Với nhiều kỹ thuật mới như hiện nay thì có rất nhiều giải pháp được đưa ra để quản lý tài nguyên và truy cập internet của người sử dụng. Khiến cho bài toán quản lý tài nguyên và truy cập internet càng trở nên thiết thực, phong phú hơn được áp dụng ở nhiều mô hình mạng khác nhau từ nhỏ đến lớn. Có thể kể đến các giải pháp như: Captive Portal [2], Firewall, DHCP tích hợp MAC filter hay các giải pháp của các hãng như: Cisco có gói giải pháp NAC (Network Admission Control) [10], Microsoft có gói giải pháp NAP (Network Access Protection) [11], hay tổ chức phi lợi nhuận The Trusted Computing Group đưa ra gói giải pháp TNC (the Trusted Network Connect) [12]. Nhưng để đáp ứng những nhu cầu mạnh mẽ và với chi phí thấp thì sử dụng hệ thống tích hợp mã nguồn mở PFSense [5][6], một hệ thống rất thiết thực với bài toán quản lý tài nguyên và truy cập internet vì nó cung cấp các dịch vụ độc lập, phong phú, cho phép triển khai trong một hệ thống mạng cỡ vừa và lớn, với tập người dùng đa dạng, tập trung đến yếu tố quản lý truy xuất tài nguyên trên mạng đối với người sử dụng đầu cuối và quan trọng là hệ thống phần mềm hoàn toàn miễn phí và phí triển khai thấp. 2 Từ đó ta có mục tiêu được đặt ra là Xây dựng hệ thống quản lý tài nguyên và truy cập internet cho các ký túc xá Đại học Quốc gia Hà Nội bằng hệ thống mã nguồn mở PFSense.  Nội dung và phương pháp nghiên cứu Để đạt được mục tiêu đã đề ra, trước tiên tôi tìm hiểu các ứng dụng dịch vụ cơ bản cần có trong quản lý tài nguyên và truy cập internet như DHCP, LDAP, RADIUS, SQUID PROXY, CAPTIVE PORTAL, FIREWALL, LOAD BALANCER. Tiếp theo tôi tiến hành nghiên cứu thêm về một số giải pháp quản lý tài nguyên và truy cập internet hiện nay. Trong đó tôi tìm hiểu kỹ hơn về giải pháp quản lý tài nguyên và truy cập internet bằng hệ thống mã nguồn mở PFSense. Sau khi nghiên cứu kỹ lý thuyết và tham khảo một vài giải pháp tôi tiến hành Xây dựng hệ thống quản lý tài nguyên và truy cập internet cho các ký túc xa của Đại học Quốc gia Hà Nội. Cuối cùng tôi đánh giá hiệu quả của hệ thống và đề xuất các hướng nghiên cứu tiếp theo.  Phạm vi nghiên cứu Luận văn chỉ nghiên cứu về các cơ chế kết hợp, liên thông của các giao thức, dịch vụ, ứng dụng để đưa ra được hệ thống triển khai hoàn chỉnh. Tác giả chỉ sử dụng các công cụ nghiên cứu có sẵn chứ không cải tiến các nghiên cứu, thuật toán trong các lĩnh vực, công cụ này.  Kết quả đạt được Với mục tiêu đề ra, tôi đã đạt được một số kết quả như sau: Trình bày một số lý thuyết về các dịch vụ, ứng dụng mạng cơ bản cũng như một số giải pháp về quản lý tài nguyên và truy cập internet. Tìm hiểu kỹ hơn về giải pháp quản lý tài nguyên và truy cập internet bằng hệ thống mã nguồn mở PFSense. Từ đó thấy được giải pháp quản lý tài nguyên và truy cập internet bằng hệ thống mã nguồn mở PFSense là phù hợp với yêu cầu xây dựng hệ thống quản lý tài nguyên và truy cập internet cho các ký túc xá của Đại học Quốc gia Hà Nội. Trình bày việc xây dựng hệ thống quản lý tài nguyên và truy cập internet cho các ký túc xá Đại học Quốc gia Hà Nội mà lấy điển hình là ký túc xá Đại học Ngoại Ngữ - Đại học Quốc gia Hà Nội. Cuối cùng trình bày được những cấu hình thực nghiệm của hệ thống quản lý tài nguyên và truy cập internet của ký túc xá Đại học Ngoại Ngữ, đưa ra được các đánh gia vá hướng đi tiếp theo. 3 Chương 1: Tổng quan về quản lý tài nguyên và truy cập internet và một số giải pháp Quản lý tài nguyên và truy cập internet là một bài toán tổng quát và phổ biến hiện nay. Tùy theo nhu cầu khác nhau của các tổ chức, doanh nghiệp mà họ lựa chọn các giải pháp khác nhau nhằm đáp ứng các yêu cầu quản lý gồm: Triển khai, thiết lập chính sách bảo mật và khắc phục sự cố. Lập kế hoạch và chọn giải pháp phù hợp cho việc hợp lý hóa băng thông. Phân đoạn mạng nhằm mục tiêu hợp lý hóa băng thông, giảm nguy cơ lây lan virus và kiểm soát truy cập tài nguyên mạng. Quản trị mạng trong một hệ thống tập trung, vân vân. Cùng với đó việc các công nghệ xác thực, bảo mật khác nhau ra đời khiến cho bài toán “Quản lý tài nguyên và truy cập internet” càng trở nên thiết thực, phong phú hơn được áp dụng ở nhiều mô hình mạng khác nhau từ nhỏ đến lớn. Có thể kể đến các giải pháp như: Captive Portal [2], Firewall, DHCP tích hợp MAC filter hay các giải pháp của các hãng như: Cisco có gói giải pháp NAC (Network Admission Control) [10], Microsoft có gói giải pháp NAP (Network Access Protection) [11], hay tổ chức phi lợi nhuận The Trusted Computing Group đưa ra gói giải pháp TNC (the Trusted Network Connect) [12], vân vân. Nội dung chương này đề cập đến một số giải pháp phổ biến hiện nay, các dịch vụ và ứng dụng mạng cơ bản cần có trong quản lý tài nguyên và truy cập internet. 1.1. Các ứng dụng dịch vụ mạng 1.1.1. DHCP DHCP (dynamic host configuration protocol): Giao thức cấu hình địa chỉ động được thiết kế làm giảm thời gian chỉnh cấu hình cho mạng TCP/IP bằng cách tự động gán các địa chỉ IP cho người sử dụng khi họ vào mạng. Dịch vụ DHCP là một thuận lợi rất lớn đối với người điều hành mạng. Nó làm yên tâm về các vấn đề cố hữu phát sinh khi phải khai báo cấu hình thủ công. Nói một cách tổng quan hơn DHCP là dịch vụ mang đến cho chúng ta nhiều lợi điểm trong công tác quản trị và duy trì một mạng TCP/IP như: + Tập trung quản trị thông tin về cấu hình IP. + Cấu hình động các máy. + Cấu hình IP cho các máy một cách liền mạch + Sự linh hoạt + Khả năng mở rộng Chức năng: – Mỗi thiết bị trên mạng cơ sở TCP/IP phải có một địa chỉ IP duy nhất để truy cập mạng và các tài nguyên của nó. Không có DHCP, cấu hình IP phải được thực hiện một cách thủ công cho các máy tính mới, các máy tính di chuyển từ mạng con này sang mạng con khác, và các máy tính được loại bỏ khỏi mạng. – Bằng việc phát triển DHCP trên mạng, toàn bộ tiến trình này được quản lý tự động và tập trung. DHCP server bảo quản vùng của các địa chỉ IP và giải phóng một địa chỉ với bất cứ DHCP client có thể khi nó có thể ghi lên mạng. Bởi vì các địa chỉ IP là động 4 hơn tĩnh, các địa chỉ không còn được trả lại một cách tự động trong sử dụng đối với các vùng cấp phát lại. Các thuật ngữ trong DHCP: – DHCP Server: máy quản lý việc cấu hình và cấp phát địa chỉ IP cho Client – DHCP Client: máy trạm nhận thông tin cấu hình IP từ DHCP Server – Scope: phạm vi liên tiếp của các địa chỉ IP có thể cho một mạng. – Exclusion Scope: là dải địa chỉ nằm trong Scope không được cấp phát động cho Clients. – Reservation: Địa chỉ đặt trước dành riêng cho máy tính hoặc thiết bị chạy các dịch vụ (tùy chọn này thường được thiết lập để cấp phát địa chỉ cho các Server, Printer,..) – Scope Options: các thông số được cấu hình thêm khi cấp phát IP động cho Client như DNS Server(006), Router(003). Phương thức hoạt động của dịch vụ DHCP Dịch vụ DHCP hoạt động theo mô hình Client / Server. Theo đó quá trình tương tác giữa DHCP client và server sẽ diễn ra theo các bước sau. Bước 1: Khi máy Client khởi động, máy sẽ gửi broadcast gói tin DHCP DISCOVER, yêu cầu một Server phục vụ mình. Gói tin này cũng chứa địa chỉ MAC của client. Nếu client không liên lạc được với DHCP Server thì sau 4 lần truy vấn không thành công nó sẽ tự động phát sinh ra 1 địa chỉ IP riêng cho chính mình nằm trong dãy 169.254.0.0 đến 169.254.255.255 dùng để liên lạc tạm thời. Và client vẫn duy trì việc phát tín hiệu Broadcast sau mỗi 5 phút để xin cấp IP từ DHCP Server. Bước 2: Các máy Server trên mạng khi nhận được yêu cầu đó. Nếu còn khả năng cung cấp địa chỉ IP, đều gửi lại cho máy Client một gói tin DHCP OFFER, đề nghị cho thuê một địa chỉ IP trong một khoảng thời gian nhất định, kèm theo là một Subnet Mask và địa chỉ của Server. Server sẽ không cấp phát địa chỉ IP vừa đề nghị cho client thuê trống suốt thời gian thương thuyết. Bước 3: Máy Client sẽ lựa chọn một trong những lời đề nghị (DHCP OFFER) và gửi broadcast lại gói tin DHCP REQUEST và chấp nhận lời đề nghị đó. Điều này cho phép các lời đề nghị không được chấp nhận sẽ được các Server rút lại và dùng để cấp phát cho các Client khác. Bước 4: Máy Server được Client chấp nhận sẽ gửi ngược lại một gói tin DHCP ACK như một lời xác nhận, cho biết địa chỉ IP đó, Subnet Mask đó và thời hạn cho sử dụng đó sẽ chính thức được áp dụng. Ngoài ra server còn gửi kèm những thông tin bổ sung như địa chỉ Gateway mặc định, địa chỉ DNS Server 1.1.2. LDAP LDAP (Lightweight Directory Access Protocol) – là giao thức truy cập nhanh các dịch vụ thư mục - là một chuẩn mở rộng cho nghi thức truy cập thư mục. LDAP là một giao thức tìm, truy nhập các thông tin dạng thư mục trên server. Nó dùng giao thức dạng Client/Server để truy cập dịch vụ thư mục. LDAP chạy trên TCP/IP hoặc các dịch vụ hướng kết nối khác. Ngoài ra, LDAP được tạo ra đặc biệt cho hành động "đọc". Bởi thế, xác thực người 5 dùng bằng phương tiện "lookup" LDAP nhanh, hiệu suất, ít tốn tài nguyên, đơn giản hơn là query 1 user account trên CSDL Có các LDAP Server như: OpenLDAP, OPENDS, Active Directory, Phương thức hoạt động của LDAP Ldap dùng giao thức giao tiếp client/server Giao thức giao tiếp client/server là một mô hình giao thức giữa một chương trình client chạy trên một máy tính gởi một yêu cầu qua mạng đến cho một máy tính khác đang chạy một chương trình server (phục vụ). Chương trình server này nhận lấy yêu cầu và thực hiện sau đó nó trả lại kết quả cho chương trình client. Ý tưởng cơ bản của giao thức client/server là công việc được gán cho những máy tính đã được tối ưu hóa để thực hiện công việc đó. Một máy server LDAP cần có rất nhiều RAM (bộ nhớ) dùng để lưu trữ nội dung các thư mục cho các thao tác thực thi nhanh và máy này cũng cần đĩa cứng và các bộ vi xử lý ở tốc độ cao. Đây là một tiến trình hoạt động trao đổi LDAP client/server: Hình 1.1: Mô hình kết nối giữa client/server Client mở một kết nối TCP đến LDAP server và thực hiện một thao tác bind. Thao tác bind bao gồm tên của một directory entry, và ủy nhiệm thư sẽ được sử dụng trong quá trình xác thực, ủy nhiệm thư thông thường là password nhưng cũng có thể là chứng chỉ điện tử dùng để xác thực client. Sau khi thư mục có được sự xác định của thao tác bind, kết quả của thao tác bind được trả về cho client. Client phát ra các yêu cầu tìm kiếm. Server thực hiện xử lý và trả về kết quả cho client. Server gởi thông điệp kết thúc việc tìm kiếm. Client phát ra yêu cầu unbind, với yêu cầu này server biết rằng client muốn hủy bỏ kết nối. Server đóng kết nối. LDAP là một giao thức hướng thông điệp 6 Do client và server giao tiếp thông qua các thông điệp, client tạo một thông điệp (LDAP message) chứa yêu cầu và gởi nó đến cho server. Server nhận được thông điệp và xử lý yêu cầu của client sau đó gởi trả cho client cũng bằng một thông điệp LDAP. Ví dụ: Khi LDAP client muốn tìm kiếm trên thư mục, client tạo LDAP tìm kiếm và gởi thông điệp cho server. Sever tìm trong cơ sở dữ liệu và gởi kết quả cho client trong một thông điệp LDAP Hình 1.2: Thao tác tìm kiếm cơ bản Nếu client tìm kiếm thư mục và nhiều kết quả được tìm thấy, thì các kết quả này được gởi đến client bằng nhiều thông điệp. Hình 1.3: Những thông điệp Client gửi cho server Do nghi thức LDAP là giao thức hướng thông điệp nên client được phép phát ra nhiều thông điệp yêu cầu đồng thời cùng một lúc. Trong LDAP, message ID dùng để phân biệt các yêu cầu của client và kết quả trả về của server. Hình 1.4: Nhiều kết quả tìm kiếm được trả về Việc cho phép nhiều thông điệp cùng xử lý đồng thời làm cho LDAP linh động hơn các nghi thức khác. 7 Ví dụ như HTTP, với mỗi yêu cầu từ client phải được trả lời trước khi một yêu cầu khác được gởi đi, một HTTP client program như là Web browser muốn tải xuống cùng lúc nhiều file thì Web browser phải thực hiện mở từng kết nối cho từng file, LDAP thực hiện theo cách hoàn toàn khác, quản lý tất cả thao tác trên một kết nối. 1.1.3. RADIUS RADIUS là giao thức Remote Authentication Dial-In User Service được định nghĩa trong RFC 2865. Với khả năng cung cấp xác thực tập trung, cấp phép và điều khiển truy cập (Authentication, Authorization, và Access Control – AAA) cho các phiên làm việc với SLIP và PPP Dial-up – như việc cung cấp xác thực của các nhà cung cấp dịch vụ Internet (ISP) đều dựa trên giao thức này để xác thực người dùng khi họ truy cập Internet. Nó cần thiết trong tất cả các Network Access Server (NAS) để làm việc với danh sách các username và password cho việc cấp phép, RADIUS Access-Request sẽ chuyển các thông tin tới một Authentication Serve, thông thường nó là một AAA Server (AAA - Authentication, Authorization, và Accounting). Trong kiến trúc của hệ thống nó tạo ra khả năng tập trung các dữ liệu thông tin của người dùng, các điều kiện truy cập trên một điểm duy nhất (single point), trong khi đó có khả năng cung cấp cho một hệ thống lớn, cung cấp giải pháp NAS. Khi một user kết nối, NAS sẽ gửi một message dạng RADIUS Access-Request tới máy chủ AAA Server, chuyển các thông tin như username và password, thông qua một port xác định, NAS identify, và một message Authenticator. Sau khi nhận được các thông tin máy chủ AAA sử dụng các gói tin được cung cấp như, NAS identify, và Authenticator thẩm định lại việc NAS đó có được phép gửi các yêu cầu đó không. Nếu có khả năng, máy chủ AAA sẽ tìm kiểm tra thông tin username và password mà người dùng yêu cầu truy cập trong cơ sở dữ liệu. Nếu quá trình kiểm tra là đúng thì nó sẽ mang một thông tin Access-Request quyết định quá trình truy cập của user đó được chấp nhận. Khi quá trình xác thực bắt đầu được sử dụng, máy chủ AAA có thể sẽ trả về một RADIUS Access – Challenge mang một số ngẫu nhiên. NAS sẽ chuyển thông tin đến người dùng từ xa (với ví dụ này sử dụng CHAP). Khi đó người dùng sẽ phải trả lời đúng các yêu cầu xác nhận (trong ví dụ này, đưa ra lời đề nghị mã hóa password), sau đó NAS sẽ chuyển tới máy chủ AAA một message RADIUS Access-Request. Nếu máy chủ AAA sau khi kiểm tra các thông tin của người dùng hoàn toàn thỏa mãn cho phép sử dụng dịch vụ, nó sẽ trả về một message dạng RADIUS Access-Accept. Nếu không thỏa mãn máy chủ AAA sẽ trả về một tin RADIUS Access-Reject và NAS sẽ ngắt kết nối vớ user. Khi một gói tin Access-Accept được nhận và RADIUS Accounting đã được thiết lập, NAS sẽ gửi một gói tin ReRADIUS Accounting-Request (Start) tới máy chủ AAA. Máy chủ sẽ thêm các thông tin và file Log của nó, với việc NAS sẽ cho phép làm việc với user bắt đầu khi nào, và kết thúc khi nào, RADIUS Accounting làm nhiệm vụ ghi 8 lại quá xác thực của user và hệ thống, khi kết thúc phiên làm việc NAS sẽ gửi một thông tin RADIUS Accounting-Request (Stop). RADIUS là một giao thức sử dụng rộng rãi cho phép xác thực tập trung, ủy quyền và kiểm soát truy cập cho mạng. Ban đầu được phát triển cho thiết lập kết nối từ xa. RADIUS bây giờ thì hỗ trợ cho máy chủ VPN, các điểm truy cập không dây, chứng thực chuyển mạch internet, truy cập DSL, và các loại truy cập mạng khác. RADIUS được mô ta trong RFC 2865, “Remote Authentication Dial-in User Service” (RADIUS), (IETF Draft Standard) and RFC 2866, “RADIUS Accounting” (Informational). 1.1.4. DNS Forwarder DNS Forwarder (Trình chuyển tiếp) là một máy chủ DNS thực hiện truy vấn DNS thay cho nhiều máy chủ DNS khác. DNS Forwarder được sử dụng để gỡ bỏ những tác vụ đang xử lý khỏi những máy chủ DNS đang thực hiện chuyển tiếp những truy vấn này sang Forwarder, và tăng lưu lượng bộ nhớ đệm DNS trên DNS Forwarder. Một chức năng khác của DNS Forwarder đó là ngăn cản máy chủ DNS chuyển tiếp yêu cầu trong khi tương tác với những máy chủ DNS trên Internet. Đây là chức năng đặc biệt quan trọng vì khi đó máy chủ DNS chứa tài nguyên bên trong miền DNS. Thay vì cho phép những máy chủ DNS nội bộ tự thực hiện gọi lại lệnh và liên lạc với những máy chủ DNS khác, nó cấu hình cho máy chủ DNS nội bộ sử dụng một Forwader cho tất cả các miền không được phân quyền. 1.1.5. Squid proxy Squid proxy là một là một giải pháp proxy phần mềm mã nguồn mở tự do được sử dụng nhiều nhất trong giải pháp Proxy của cộng đồng mạng. Squid proxy làm nhiệm vụ chuyển tiếp các yêu cầu từ phía client và đồng thời đóng vai trò kiểm soát tạo sự an toàn cho việc truy cập Internet của các client. Chức năng Squid proxy Squid xác định những yêu cầu từ client và quyết định đáp ứng hay không đáp ứng, nếu yêu cầu được đáp ứng, nó sẽ kết nối với server thật thay cho client và tiếp tục chuyển tiếp đến những yêu cầu từ client đến server, cũng như đáp ứng những yêu cầu của server đến client. Vì vậy squid proxy giống cầu nối trung gian giữa server và client. Bên cạnh việc chuyển tiếp các yêu cầu từ phía client, nó cũng sẽ đồng thời lưu lại trên đĩa những dữ liệu được trả về từ Internet Server – gọi là caching (thường là nội dung các tran