Sử dụng eBox như Windows Primary Domain Controller

Quản Trị Mạng - eBox Platform là 1 trong những hệ thống server mã nguồn mở dành cho các công ty, doanh nghiệp với quy mô vừa và nhỏ, cho phép người quản trị nắm bắt, điều khiển và quản lý các dịch vụ mạng như firewall, DHCP, DNS, VPN, proxy, IDS, mail, chia sẻ file và máy in, VoIP, IM… Bên cạnh đó, những tính năng này có tính liên kết chặt chẽ, tự động sao lưu, tránh rủi ro và tiết kiệm thời gian, chi phí của người quản trị.

Trong bài viết sau, Quản Trị Mạng sẽ giới thiệu với các bạn cách sử dụng eBox như Windows Primary Domain Controller. Và khi kết thúc, các bạn cũng có thể sử dụng eBox Platform 1.2 dành cho người dùng và quản lý các nguồn tài nguyên chia sẻ trên hệ thống Windows domain.

Cài đặt eBox server

Quá trình cài đặt có thể thực hiện theo 2 cách khác nhau:

Sử dụng eBox Platform Installer (khuyến cáo)
Dựa trên hệ thống Ubuntu LTS Server Edition có sẵn

Với trường hợp thứ 2 thì bạn cần phải thêm eBox Platform PPA repositories tới danh sách nguồn và qua đó tiến hành cài đặt các gói như bình thường.

Trình cài đặt eBox Platform dựa trên nền tảng Ubuntu installer, các bạn có thể tham khảo thêm tại bài viết này.

Khi quá trình cài đặt cơ bản kết thúc, hệ thống sẽ khởi động lại và bắt đầu cài đặt chính. Trước tiên là chế độ (cơ bản và nâng cao), ở bài viết này chúng ta chọn mức simple – đơn giản:

Sau đó, bạn sẽ nhận được danh sách các phần mềm phù hợp. Và trong trường hợp này chúng ta chọn Office có chứa tất cả các thành phần cần thiết đối với PDC. Tuy nhiên, người dùng vẫn có thể thay đổi, thêm hoặc bớt các lựa chọn này ở những bước sau:

Quá trình cài đặt bắt đầu:

Khi kết thúc, bạn sẽ phải nhập mật khẩu bất kỳ để truy cập eBox Platform qua giao diện web:

Xác nhận mật khẩu 1 lần nữa:

Trình cài đặt sẽ cố gắng thiết lập, tùy chỉnh 1 số thành phần với thông số cơ bản. Trước tiên, ứng dụng sẽ hỏi bạn nếu có bất kỳ kết nối nào thuộc dạng ngoại vi – external (không thuộc hệ thống mạng local). Các chính sách chặt chẽ dành cho luồng traffic đi vào hệ thống bằng mạng external sẽ được áp dụng, phụ thuộc vào vai trò của server:

Tiếp theo, chương trình sẽ hỏi về giá trị mail virtual domain name mặc định. Ở bài viết này, chúng ta không sử dụng email server nên điền bất cứ tên nào bạn thích:

Khi trả lời hết các câu hỏi tiếp theo, mỗi module bạn cài đặt sẽ được thiết lập sẵn:

Sau khi hoàn thành, chương trình sẽ đưa ra bảng thông báo về địa chỉ truy cập đến eBox Platform web interface:


Đăng nhập bằng giao diện web

Sau khi hoàn tất các bước trên, người sử dụng đã sẵn sàng đăng nhập vào hệ thống qua giao diện web. Nhập địa chỉ có được ở bước trên (ở đây là https://10.0.2.15):

Điền mật khẩu quản trị mà bạn khai báo trong bước cài đặt ở trên. Đây là trang tổng quát của eBox:

Kích hoạt hoặc tắt bỏ các module

Bước tiếp theo là tắt bỏ các module không thực sự cần thiết với PDC server. Để làm việc này, chọn Module Status ở thanh menu bên trái, tại đây sẽ liệt kê danh sách các module eBox đã cài đặt và ô checkbox để kích hoạt hoặc tắt bỏ các module tương ứng đó:

Ở chế độ cài đặt mặc định, tất cả các module này đều ở trạng thái kích hoạt. 1 số module thiết yếu đối với hệ thống PDC server:

Network
Logs
Users and Groups
File Sharing
Printers
Antivirus

Tạo nhóm

Để thuận tiện cho việc quản lý, các bạn nên tạo và phân chia nhóm người dùng trong domain. Để tạo nhóm, chọn Groups -> Add group. Điền tên nhóm và miêu tả vắn tắt:

Sau bước này, bạn sẽ được chuyển đến trang Edit group để thiết lập, thay đổi, thêm hoặc xóa các thuộc tính của nhóm. Trong bài này, chúng ta tạo 1 nhóm IT.

Tạo tài khoản người sử dụng

Tại thanh menu bên trái, chọn Users -> Add user. Sẽ xuất hiện form mẫu để thêm tài khoản người dùng, bao gồm các trường sau:

User name
First name
Last name
Comment
Password and Retype password
Group

Tại đây chúng ta sẽ tạo 1 tài khoản với tên là pdcadmin, các thông tin khác tùy ý. Sau khi tạo, bạn sẽ tự động được chuyển tới trang Edit user. Tại đây, người quản trị có thể kích hoạt, tắt bỏ tài khoản, có quyền truy cập vào hệ thống hay không, có quyền quản trị hay không:


Các thiết lập chung trong PDC

Để điều chỉnh các thiết lập chia sẻ file, tại menu bên trái chọn File sharing. Trong thẻ General settings, đánh dấu vào ô Enable PDC để kích hoạt tính năng PDC. Hoặc bạn cũng có thể thay đổi giá trị tên domain mặc định thành tên phù hợp với nhu cầu và ý tưởng của người quản lý. Tại đây, chúng ta sẽ dùng tên ebox là tên domain, hoặc thay đổi tên netbios – tham số này được dùng để nhận diện server khi sử dụng địa chỉ netbios. Và tất nhiên, tên này không được trùng với tên domain, tại đây chúng ta sẽ dùng tên ebox-server là giá trị tên netbios.

Thiết lập chính sách tùy chỉnh mật khẩu PDC

Những người quản trị domain thường xuyên áp dụng những chính sách chặt chẽ đối với mật khẩu vì người sử dụng không mấy lưu tâm đến vấn đề này, 1 là để password quá ngắn, 2 là quá dễ nhớ và đoán được, 3 là người dùng không thường xuyên thay đổi mật khẩu.

Trường đầu tiên là Password Length, số ký tự tối thiểu cho phép là 8.

Tiếp theo là Maximum Password Age, thiết lập giá trị này lên 180 ngày để chắc rằng người dùng phải thay đổi mật khẩu ít nhất 2 lần 1 năm.

Trường cuối cùng là Enforce password history, tính năng này để buộc người dùng không bao giờ dùng lại mật khẩu cũ lần thứ 2. Ở đây chúng ta lập giá trị 5, nghĩa là không thể sử dụng lại 5 mật khẩu gần đây nhất.

Lưu thay đổi

Nếu để ý kỹ, bạn sẽ thấy nút Save changes nhỏ nhỏ phía bên phải trên cùng cửa sổ làm việc, nếu chưa áp dụng các thay đổi thì nút sẽ có màu đỏ, ngược lại là màu xanh lá cây.

Thêm máy tính vào PDC

Giờ đây chúng ta đã có hệ thống PDC server hoạt động ổn định, tiếp theo sẽ tiến hành thêm máy tính vào hệ thống domain. Để làm được điều này, chúng ta cần biết tên domain đang sử dụng, tên đăng nhập và mật khẩu của tài khoản người dùng với quyền quản trị. Ở đây là tài khoản pdcadmin.

Những máy tính thành phần muốn thêm vào hệ domain phải cùng hệ thống mạng và có khả năng tương thích CIFS Windows (ví dụ Windows XP Professional). Bề mặt eBox kết nối tới hệ thống mạng này không được đánh dấu như mạng ngoại vi – external. Trong bài viết này, giả sử rằng bạn đang sử dụng hệ điều hành Windows XP Professional.

Đăng nhập vào hệ điều hành Windows, chọn My PC -> Properties, thay đổi thuộc tính cần thiết để gia nhập vào domain mới:

Trong cửa sổ tiếp theo, điền tên domain cần gia nhập (ở đây là ebox) và nhấn OK:

1 cửa sổ đăng nhập nhỏ xuất hiện, bạn phải đăng nhập với tài khoản có quyền quản trị:

Nếu thực hiện tất cả các bước trên chính xác, 1 màn hình chào mừng gia nhạp domain mới. Sau khi gia nhập, bạn phải khởi động lại máy tính, và sau đó đăng nhập bình thường như thành viên của domain đó:

Nếu cần thêm tài liệu tham khảo về quá trình thêm 1 máy tính bất kỳ vào domain có sẵn, bạn có thể tham khảo thêm tài liệu của Microsoft tại đây.


Thiết lập tính chia sẻ

Giờ đây, chúng ta đã có domain hoạt động với tài khoản người sử dụng, nhóm và máy tính riêng biệt. Tiếp theo, chúng ta sẽ tiến hành thêm dịch vụ chia sẻ file giữa các người dùng khác nhau. Và có 3 dịch vụ chia sẻ trong eBox:

Users home directory shares: được tự động tạo ra đối với mỗi người dùng, đồng thời cũng tự động kích hoạt với người dùng như 1 ổ map chia sẻ với ký tự được định nghĩa trong thẻ General Settings. Và chỉ có người dùng này mới có thể kết nối tới thư mục chia sẻ gốc.

Groups shares: không tự động được tạo ra, bạn cần thiết lập thuộc tính này trong mục Edit Group, và đặt tên cho thuộc tính này. Và tất cả trong nhóm đều được cấp quyền truy cập tới mục chia sẻ này, và tất nhiên không được thay đổi, thêm, xóa các dữ liệu chia sẻ trong mục này.

General shares: eBox cho phép chúng ta tự định nghĩa, tạo các mục chia sẻ với quyền truy cập access controls lists – ACL

Để minh họa cho tính năng này, chúng ta sẽ tạo thư mục chia sẻ tài liệu của nhóm IT, và tất cả các thành viên của nhóm IT đều có thể đọc tài liệu, tài khoản pdcadmin sẽ có toàn quyền phân cấp cho các tài khoản còn lại.

Để tạo dịch vụ chia sẻ, chọn thẻ Shares trong menu File sharing. Tại đây, chúng ta sẽ thấy danh sách chia sẻ, chọn Add new để bắt đầu. Tham số đầu tiên trong cửa sổ này cho phép hệ thống kích hoạt hoặc tắt bỏ chế độ chia sẻ, Share name để đặt tên (ở đây là IT documentation), comment để chú thích cho mục chia sẻ này (ví dụ Documentation and knowledge base for the IT department). Cuối cùng là đường dẫn chia sẻ dữ liệu trên server, có 2 lựa chọn Directory under eBox hoặc File path (trông ví dụ này chúng ta chọn Directory under eBox và đặt tên thư mục là itdoc)


Sau khi khởi tạo, chúng ta cần chọn đúng ACLs. Để làm việc này, di chuyển tới danh sách chia sẻ, tìm đúng dòng và nhấn vào trường Access Control.

Áp dụng phương pháp Antivirus trên dữ liệu chia sẻ

eBox có cơ chế quét các file dữ liệu chia sẻ để phát hiện virus. Quá trình rà soát được tiến hành khi dữ liệu được viết, truy cập và hãy chắc chắn rằng dữ liệu chia sẻ đã được kiểm tra bằng chương trình bảo mật. Nếu phát hiện file nào nghi ngờ bị lây nhiễm, ngay lập tức sẽ bị cách ly tại thư mục ebox-quarantine mà chỉ có người dùng với quyền quản trị mới có thể truy cập:

Truy cập thư mục chia sẻ

Phía trên chúng ta đã tạo thư mục chia sẻ, bây giờ chúng ta sẽ phải truy cập chúng từ nơi khác trong hệ thống. Khi đăng nhập vào máy tính trong domain, người sử dụng có thể truy cập đến các nguồn chia sẻ tài nguyê trong hệ thống thông qua cửa sổ Entire network, bằng đường dẫn My PC -> Network Place và chọn mục Other places bên tay trái:

Tiếp đó chọn eBox server:

Bên cạnh đó, thư mục chia sẻ gốc của người dùng cũng sẽ trỏ tới ổ ảo với ký tự được định nghĩa trong phần PDC. Trong hệ thống GNU/Linux bạn có thể dùng ứng dụng smbclient để truy cập tới những tài nguyên chia sẻ này.

Tạo mã đăng nhập

eBox có hỗ trợ tính năng sử dụng logon script của Windows. Những đoạn mã này sẽ được tải và thực thi mỗi khi người dùng đăng nhập vào hệ thống domain. Khi viết mã, cần phải hết sức cẩn thận, vì với hệ thống máy tính Windows với những câu lệnh được viết bàng ký tự DOS. Để đảm bảo người dùng có thể làm được việc này trong môi trường Windows, bạn nên sử dụng công cụ flip của Unix để chuyển đổi giữa các định dạng.

Khi hoàn thành xong đoạn mã này, bạn cần lưu dưới dạng logon.bat ở trong thư mục /home/samba/netlogon trên eBox server.

Đây là đoạn mã sử dụng trong bài viết, đoạn mã này có tác dụng tự động truy cập tới thư mục chia sẻ timetable trên ổ Y:

# contents of logon.bat search server
# map timetable share
echo "Mapping timetable share to drive Y: ..."
net use y: \\ebox-server\timetable

Chúc các bạn thành công!

Thứ Tư, 16/06/2010 07:45
42 👨 2.661
0 Bình luận
Sắp xếp theo