Giáo trình Thực hành tích hợp và an toàn hệ thống (Phần 2)
Đơn vị tổ chức (Organizational Unit)
Organizational Unit hay OU là đơn vị nhỏ nhất trong hệ thống AD, nó được xem
là một vật chứa các đối tượng (Object) được dùng để sắp xếp các đối tượng khác nhau
phục vụ cho mục đích quản trị của. OU cũng được thiết lập dựa trên subnet IP và được
định nghĩa là “một hoặc nhiều subnet kết nối tốt với nhau”. Việc sử dụng OU có hai công
dụng chính sau:
- Trao quyền kiếm soát một tập hợp các tài khoản người dùng, máy tính hay các
thiết bị mạng cho một nhóm người hay một phụ tá quản trị viên nào đó (subadministrator), từ đó giảm bớt công tác quản trị cho người quản trị toàn bộ hệ thống.
- Kiểm soát và khóa bớt một số chức năng trên các máy trạm của người dùng trong
OU thông qua việc sử dụng các đối tượng chính sách nhóm (GPO).
Các mạng (sites)
Site: một site là một vị trí. Site được dùng để phân biệt giữa các vị trí cục bộ và
các vị trí xa xôi. Ví dụ, công ty XYZ có tổng hành dinh đặt ở San Fransisco, một chi
nhánh đặt ở Denver và một văn phòng đại diện đặt ở Portland kết nối về tổng hành dinh
bằng Dialup Networking. Như vậy hệ thống mạng này có ba site.
Trang 1
Trang 2
Trang 3
Trang 4
Trang 5
Trang 6
Trang 7
Trang 8
Trang 9
Trang 10
Tải về để xem bản đầy đủ
Tóm tắt nội dung tài liệu: Giáo trình Thực hành tích hợp và an toàn hệ thống (Phần 2)
. Nếu không có DHCP Server trên mạng, sẽ có thông báo lỗi, không cho phép kết nối. - Remote Access Policies Bước cuối cùng là cho phép truy cập qua Remote Access Policy Hình 17.46 Remote Access Policies Chọn Remote Access Policies. Remote Access Policies có 2 lựa chọn là Connections to Microsoft Routing and Remote Access Server và Connections to other access server. Chuột phải vào Connections to Microsoft Routing and Remote Access Server, trên menu chuột phải chọn Properties. Hình 17.47 Connections to Microsoft Routing and Remote Access Server Properties 327 Lựa chọn Grant remote access permission, sau đó nhắp OK để xác nhận.Thực hiện công việc tương tự đối với lựa chọn Connections to other access server. Sau bước này là việc tạo account trên Windows cho phép sử dụng kết nối VPN. 4. Tạo User trên Windows cho phép sử dụng VPN - Start\Programs\Administrative Tools\Computer Manager. Hình 17.48 Computer Manager – Local User and Groups - Chọn System Tools->Local Users and Groups->Users. Sau đó chuột phải vào user muốn cho phép dùng VPN, ví dụ user centos4. Trên menu chuột phải, nhắp Properties. Hình 17.49 User Properties 328 - Chọn Tab Dial-in. Trong tab này, chọn Allow access. Nếu muốn chỉ chính xác địa chỉ IP cấp cho VPN Client đối với user trên, chọn Assign a Static IP Address. Sau đó gõ địa chỉ IP vào ô tương ứng. - Sau bước này, user centos4 có thể kết nối VPN đến VPN Server. 5. VPN Client trên Windows XP Trên Windows 2000, Windows XP, có thể tạo kết nối VPN đến VPN Server mà ta đã cài đặt và cấu hình ở các bước trên. - Chuột phải vào biểu tượng My Network Places trên desktop, trên menu chuột phải click Properties. Xuất hiện hộp thoại Network Connections Hình 17.50 Network Connections (VPN Client) - Chọn Create a new connection. Xuất hiện hộp thoại New Connection Wizard với 6 bước cấu hình. Hình 17.51 New Connection Wizard – Step 1 (VPN Client) 329 - Chọn Next để tiếp tục Hình 17.52 New Connection Wizard – Step 2 (VPN Client) - Lựa chọn các kiểu connect. Bước này chọn Connect to the network at my workplace, sau đó nhắp Next để tiếp tục. Hình 17.53 New Connection Wizard – Step 3(VPN Client) - Lựa chọn Virtual Private Network connection, sau đó click Next để tiếp tục. Hình 17.54 New Connection Wizard – Step 4(VPN Client) 330 - Tạo tên cho kết nối vpn, trong ví dụ này, gõ free4vn.org, click Next để tiếp tục. Hình 17.55 New Connection Wizard – Step 5 (VPN Client) - Gõ địa chỉ IP của Server được cài đặt dịch vụ VPN Server. Có thể dùng địa chỉ IP tĩnh được gán cho Modem ADSL hoặc domain name tương ứng. Hình 17.56 New Connection Wizard – Finish (VPN Client) - Kết thúc New Connection Wizard, click Finish để kết thúc. - Sau bước này, trong Nework Connection có thêm một connect có tên là free4vn.org. Để kết nối đến VPN Server, nhắp đúp vào kết nối đó. Hộp thoại Connect Hình 17.57 Connect to free4vn.org (VPN Client) 331 - Để kết nối đến VPN Server cần gõ User name, Password. Tạo User trên Windows cho phép sử dụng VPN. Sau đó nhắp Connect để kết nối đến VPN Server. Có thể click Properties để thêm các lựa chọn cho kết nối đó. Hình 17.58 free4vn.org Properties – tab Options (VPN Client) - Tab Options, có thể sử dụng tính năng Redial if line dropped để VPN Client tự động kết nối lại VPN Server sau khi kết nối VPN bị ngắt đoạn (có thể do kết nối Internet lỗi). Lựa chọn này cũng cho phép người quản trị VPN Server có thể reset kết nối giữa VPN Client và VPN Server. - Khi kết nối đến VPN Server, theo cấu hình ngầm định thì máy client sẽ dùng Gateway là VPN Server. Như vậy có thể không dùng Internet trên máy client được. Để thay đổi điều này, lựa chọn tab Networking. Hình 17.59 free4vn.org Properties – tab Networking (VPN Client) 332 - Click vào Internet Protocol (TCP/IP), sau đó nhắp nút Properties. Hình 17.60 Internet Protocol (TCP/IP)Properties (VPN Client) - Nhấn vào Advanced Hình 17.61 Advanced TCP/IP Settings – tab Genera (VPN Client) - Bỏ chọn Use default gateway on remote network. - Sau khi Connect đến VPN Server, trên VPN Client sẽ xuất hiện thông báo xác nhận kết nối thành công Hình 17.62 Kết nối VPN thành công (VPN Client) - Một kết nối VPN cũng như một kết nối mạng thông thường. Để xem trạng thái của kết nối đó, chuột phải vào kết nối, trên menu chuột phải chọn Status 333 Hình 17.62 Menu chuột phải của Kết nối VPN (VPN Client) Hình 17.63 Status của kết nối VPN (VPN Client) - Trong hộp thoại Status của kết nối VPN, chọn tab Details, chú ý địa chỉ IP mà Client được cấp đối với kết nối VPN đó. Địa chỉ này cũng có thể được cấp cố định với từng user và cũng có thể theo dõi trên VPN Server. 6. Quản lý kết nối VPN trên Server Trên VPN Server cũng có thể theo dõi các kết nối VPN. Khi VPN Client cung cấp địa chỉ theo dải địa chỉ mà ta đã thiết lập hoặc đối với user. Để theo dõi các kết nối VPN trên Server, có thể chạy Manage Your Server, sau đó click vào Manage this remote access/VPN server. Hoặc có thể click Start->Programs->Administrative Tools->Routing and Remote Access. Hình 17.64 Remote Access Client 334 Click vào Remote Access Client, trong cửa sổ bên phải sẽ hiển thị các user đang kết nối vào VPN Server. Chuột phải vào user, trên menu chuột phải, click Status. Hình 17.65 Status của kết nối VPN trên Server Status của kết nối VPN trên user centos4. Chú ý đến phần địa chỉ IP cấp cho kết nối đó. Và chú ý đến nút Disconnect để ngắt kết nối VPN đó. 17.3.4 Bài tập luyện tập Cài đặt và cấu hình RAS để máy tính có thể truy nhập từ xa. 1. Thiết lập dialup networking để tạo ra kết nối Internet 2. Cài đặt và cấu hình dịch vụ truy cập từ xa cho phép người dùng từ xa truy cập vào mạng - Cài đặt máy chủ dịch vụ truy cập từ xa - Thiết đặt tài khoản cho người dùng từ xa. Thiết lập một tài khoản có tên RemoteUser - Kiểm tra cấu hình đã thiết lập ở bước trên bằng việc thực hiện một kết nối quay số tới máy chủ truy cập từ xa với tài khoản có tên là RemoteUser - Cấu hình cho phép tài khoản RemoteUser truy cập vào mạng được điều khiển truy cập bởi các chính sách truy cập từ xa (Remote access policy) - Kiểm tra cấu hình đã thiết lập ở bước trên bằng việc thực hiện một kết nối quay số tới máy chủ truy cập từ xa với tài khoản có tên là RemoteUser. - Sử dụng RAS để thiết lập một chính sách mới đối với người dùng từ xa, tên chính sách này là Allow RemoteGroup Access cho phép người dùng trong nhóm RemoteGroup truy cập. - Kiểm tra cấu hình đã thiết lập ở bước trên bằng việc thực hiện một kết nối quay số tới máy chủ truy cập từ xa với tài khoản có tên là RemoteUser 335 - Cấu hình để default policy được thi hành trước: - Kiểm tra cấu hình đã thiết lập ở bước trên bằng việc thực hiện một kết nối quay số tới máy chủ truy cập từ xa với tài khoản có tên là RemoteUser. - Cấu hình cho phép truy cập sử dụng Properties của RemoteUser - Kiểm tra cấu hình đã thiết lập ở bước trên bằng việc thực hiện một kết nối quay số tới máy chủ truy cập từ xa với tài khoản có tên là RemoteUser 3. Cấu hình VPN server và thiết lập VPN Client, kiểm tra kết nối từ VPN Client tới VPN server - Cấu hình cho kết nối VPN gọi vào - Cấu hình cho kết nối VPN gọi ra. Để kiểm tra dịch vụ truy cập từ xa đã làm việc phục vụ cho những người dùng từ xa, ta thiết lập một nối kết tới VPN server. 336 Bài thực hành số 18: Bài tập tổng hợp 18.1. Mục tiêu Sinh viên có khả năng - Triển khai và khai thác các dịch vụ FTP, WWW, RAS - Cấu hình hệ thống mạng nội bộ client/server sử các dịch vụ FTP, WWW và áp dụng vào thực tế 18.2. Chuẩn bị - Hệ thống máy tính nối mạng LAN đã cài đặt hệ điều hành windows server, windows xp hoạt động tốt - Modem và đường dây điện thoại và tài khoản truy nhập Internet 18.3. Nội dung thực hành 18.3.1. Bài thực hành tổng hợp Bài 1: Mô hình kết nối mạng của Trung Tâm Tin Học có tên miền cscXX.edu.vn như sau (trong đó XX là số thứ tự của máy tính đang ngồi) Hình 18.1 Mô hình kết nối mạng Tên máy Địa chỉ IP Hệ điều hành sử dụng Chức năng Dns1 192.168.100.200+XX/24 Windows 2003 Server Primary name server. server1 192.168.100.200+XX/24 Windows 2003 Server FTP Server. Yêu cầu: 1. Cài đặt và cấu hình DNS trên dns1 là Primary name server của miền cscXX.edu.vn, và ftp.cscXX.edu.vn là alias của server1.cscXX.edu.vn. 2. Cài đặt FTP Service trên máy chủ Server1, sau đó thực hiện các yêu cầu sau: 337 - Tạo một Public FTP site(sử dụng chế độ “do not isolation user”) với FTP home directory C:\inetpub\ftproot. - Dùng trình tiện ích computer management , tạo user “ftpuser”. Cấu hình cho phép kết nối vô danh (anonymous connection) và bỏ tùy chọn “Allow only anonymous connection”. Kiểm tra việc truy cập dùng user anonymous và user “ftpuser”. - Chọn tuỳ chọn chỉ cho phép kết nối vô danh “Allow only anonymous connection”, thử truy cập bằng user vô danh anonymous, và dùng ftpuser. - Tạo các thông điệp Welcome:” xin chào các đã đến FTP server của chúng tôi “ và thông điệp Exit: “Hẹn gặp lại lần sau” . - Cấm máy bên cạnh có địa chỉ IP 192.168.100.200+XX/24 truy cập vào FTP server của mình. Kiểm tra kết quả bằng cách truy cập từ máy bên cạnh. - Tạo thư mục c:\SOFT, ánh xạ thành thư mục ảo trên FTP server với alias là “download”, cho phép mọi người dùng bên ngoài truy xuất FTP Server qua anonymous user. - Tạo thư mục c:\pub, ánh xạ thành thư mục ảo trên FTP server với alias là “upload”, cho phép mọi người dùng có thể upload tài nguyên thông qua anonymous user. - Dùng các tập lệnh của FTP client để, sau đó dùng lệnh get, mget, prompt, lcdđể thực hiện quá trình download một vài file từ thư mục download của FTP server về máy cục bộ. - Dùng Winword tạo một file *.doc sau đó dùng lệnh put, mput, lcd, để upload tập tin này lên thư mục upload của FTP Server. - Sử dụng các phần mềm làm FTP Client như: IE, Windows Commander, cutftp để truy xuất vào FTP server. - Tạo thư mục ảo /data trong FTP site trỏ đến D:\Webdata. Gán quyền sao cho nhóm Webmasters có quyền đọc ghi trong thư mục FTP, mọi user còn lại chỉ có quyền đọc. Thử lại bằng FTP client bằng user anonymous và user thuộc nhóm Webmasters (tạo một số user thuộc nhóm Webmasters trước khi kiểm tra). - Kiểm tra xem kết nối giữa FTP Server và FTP Client theo cơ chế gì? Bài 2: Với mô hình giống bài 1 1. Trên Server1 tạo thêm địa chỉ IP: 172.16.XX.1 2. Cài đặt và cấu hình DNS trên dns1 là Primary name server của miền cscXX.edu.vn với: - ftp.cscXX.edu.vn. Alias (CNAME) server1.cscXX.edu.vn. - vftp.cscXX.edu.vn Host (A) 172.16.XX.1 3. Cài đặt FTP Service trên máy chủ Server1, sau đó thực hiện các yêu cầu sau: 338 a) Tạo một Public FTP site có tên ftp.cscXX.edu.vn với FTP home directory C:\inetpub\ftproot. (sử dụng chế độ “do not isolation user”). b) Tạo FTP Site mới có tên vftp.cscXX.edu.vn sử dụng chế độ “Isolation User” - Home directory: d:\ftpnet. - FTP Permission : Read + Write. - Tạo FTP home directory cho từng người dùng trong hệ thống, sau đó cấp quyền sao cho mỗi người dùng chỉ được phép truy xuất FTP home directory của mình. 4. Dùng Windows Commander để kiểm tra. Bài 3: Cho mô hình kết nối mạng như hình sau: Hình 18.2 Mô hình kết nối mạng là người quản trị cho một mạng máy tính của công ty XX kết nối lên Internet như hình vẽ. Máy chủ cài Win2k3 server và máy làm phục vụ dịch vụ DNS, Mail, Web, FTP cho công ty. Công ty thuê một tên miền “ctyXX.com.vn”. 1. Tổ chức Web server. - Tạo Web site cho công ty ctyXX theo cấu trúc sau: Hình 18.3 Cấu trúc thư mục website Trong đó gốc là thư mục C:\web, Products là thư mục ảo (Virtual Directory) chỉ đến thư mục C:\PRO. - Cấp một số quyền hạn truy xuất Web site theo yêu cầu: 339 + Các user có quyền browsing trên thư mục Products. + Cấu hình sử dụng tập tin default cho 2 thư mục / và /News. (/ là home.htm; /News là index.htm) + Trang Web home.htm có liên kết đến 2 trang plist.htm và index.htm + Trong trang plist.htm có link có nội dung “ Contact : nvlinh@ctxx.com “ và dùng để gởi mail liên hệ với công ty. + Các trang Plist.htm và Index.htm có liên kết nội dung “Về Trang Chủ“ chỉ đến trang chủ. - Cấp quyền truy xuất cho Website cho người dùng + Giả sử có các tổ chức người dùng: Nhóm QL(admin, manager, gd, webmaster), nhóm NV có các Users(nv1, nv2), + Các tập tin trong thư mục Cty chỉ cho các user của công ty truy xuất (không cho user Anonymous truy xuất), tập tin /Cty/Slist.htm chỉ cho user administrator và gd xem. + Tạo một thư mục ảo có tên tailieu ánh xạ về thư mục thật d:\soft, cho phép mọi người trong công ty có quyền truy xuất tài nguyên này nhưng chỉ có user - Webmaster mới có quyền Upload tài nguyên. - Không cho phép tất cả các máy trong đường mạng 192.168.12.0 truy xuất webserver. Bài 4: Với sơ đồ cho trong bài 3 - Tìm hiểu cấu hình cơ chế quản trị Web site, FTP site(Administration Web Site) thông qua trình duyệt web. - Download tập tin sf2k_v34_051.zip từ \\192.168.11.1\soft (hoặc download từ Web site: cấu hình cho phép người dùng có thể sử dụng Forum thông qua địa chỉ - Giả sử Web server này hosting cho một Web site của các công ty con có tên truy xuất www.cna.ctyXX.com.vn. Cấu hình Web site này cùng hoạt động với Web site www.Ctyxx.com.vn. Giả sử trang web chủ cho Web site www.cna.ctyXX.com.vn có tên index.htm, Dữ liệu Web được lưu trữ tại thư mục C:\WebDH. - Cấp quyền cho Webmaster có quyền cập nhật Web site cho trang www.cna.ctyXX.com.vn thông qua dịch vụ FTP. Bài 5: Triển khai mô hình kết nối từ xa của máy tính nhân viên vào mạng nội bộ như sau - Máy 1 (Domain Controller): sử dụng hệ điều hành Windows Server 2003, với domain tên là abc.com. Cấu hình TCP/IP 340 - Máy 2 (VPN server): sử dụng hệ điều hành Window server 2003, đã gia nhập domain abc.com. Cấu hình TCP/IP với 2 net 1 net nối với Máy 1 net còn lại đại diện cho vùng internet nối với Máy 3 - Máy 3 (Client): sử dụng hệ điều hành Windows XP. Cấu hình TCP/IP - Tạo user trên DC cho phép Dial in Cấu hình trên VPN Server + Cài đặt cấu hình Remote Access Services + Cấu hình VPN Client-To-Site Cấu hình trên máy client + Tạo Remote Connection với VPN + Kiểm tra kết nối VPN 18.3.2. Kiểm tra đánh giá 341 TÀI LIỆU THAM KHẢO [1] Scott Mueller. "Cẩm nang sửa chữa, nâng cấp và bảo trì máy tính cá nhân". NXB Đà Nẵng. 2002 [2] Nguyễn Thu Hiền. "Lắp ráp cài đặt nâng cấp và bảo trì máy vi tính đời mới”. NXB thống kê. 2004 [3] Phạm Hoàng Dũng. "Làm chủ Windows Server 2003 ". NXB Thống kê. 2005. [4] Nguyễn Hồng Sơn. "Giáo trình hệ thống mạng máy tính CCNA". NXB Lao động. 2004 [5] Phạm Hoàng Dũng. “Làm chủ Microsoft Windows XP Professional”. BXB Lao động – Xã hội. 2006 342
File đính kèm:
- giao_trinh_thuc_hanh_tich_hop_va_an_toan_he_thong_phan_2.pdf