:::: MENU ::::

AD DS a vztahy důvěry (AD DS Trusts)

Vztahy důvěry (AD DS Trusts) nám umožňují vzájemou důvěru (ověření) domén/lesů v AD světě. Uživatelé tak mohou být ověření ve své vlastní doméně a jejich (ticket zabezpečení) credentials bude použit pro přístup na sdílené zdroje v cizí doméně.

Všechny AD vztahy důvěry (trasty) mají následující charakteristiky

alt

  • Transitive – Trasty mohou být transitivní nebo netransitivní. Transitivní trast je vždy propagován na všechny domény stejného stromu. Transitivní trast je například ten, který je tvořen automaticky při přidávání dalších domén stávajícího stromu, takže je zajištěno, že všechny domény vašeho stromu si vzájemně věří a je možné obousměrně přistupovat na sdílené zdroje.
  • Trust direction -Trust direction definuje, kde jsou uloženy uživatelské účty a sdílené zdroje v důvěryhodné a důvěřujcí doméně (trusted domain and trusting domain). Ve Windows Server 2008 jsou tři trust direction: one-way incoming, one-way outgoing a two-way trust. Tedy je možné definovat, že trast je pouze jednosměrný, a to buď z jedné domény, nebo z druhé, nebo je obousměrný.
  • Authentication protocol – Trasty mohou pro navázání vztahu důvěry použít odlišné protokoly, a to buď Kerberos verze 5, nebo Windows NT Local Area Network (LAN) Manager (NTML). Ve většině případů Windows Server 2008 použije automaticky protokol Kerberos pro navázání trastu , a to hlavně z důvodu většího zabezpečení garantovaným tímto protokolem.

Windows Server 2008 podporujety tyto trasty (Trust Options)

alt

Typ trastu

Popis

Parent/child Transitivní trast existující mezi doménami stejného stromu. Jde o obousměrný trast, který je tvořen automaticky při vytváření další domény stejného stromu a nemůže být později odebrán. Pro tento trast je vždy použit protokol Kerberos.
Tree/root Transitivní trast existující mezi všemi doménami stromu v lese. Jde o obousměrný trast, který je tvořen automaticky při vytváření další domény jiného stromu a nemůže být později odebrán. Pro tento trast je vždy použit protokol Kerberos.
External Netransitivní trast může být vytvořen mezi doménami, které nejsou členy stejného lesa. Tento trast může být jak obousměrný, tak jednosměrný. Externí trast vždy používá protokol NTLM.
Realm Trast, který se používá pro jiné systémy než Windows Server, využívající protokolu Kerberos (Kerberos realm). Tento trast může být jak obousměrný, tak jednosměrný, nebo transitivní, či netransitivní. Realm trast vždy používá protokol Kerberos.
Forest Může být tvořen mezi lesy, jejichž „forest funcional level“ je miniálně Windows Server 2003. Tento trast může být jak obousměrný, tak jednosměrný, nebo transitivní, či netransitivní. Forest trast vždy používá protokol Kerberos.
Shortcut Umožnuje přímé spojení mezi dvěmi doménami, čímž urychluje přístup na požadované sdílené prostředky. Shortcut trast vždy používá protokol Kerberos.

Jak funguje trast uvnitř lesa.

alt

Při zakládání trastů mezi doménami či lesy ve stejné struktuře jsou informace o těchto trastech uloženy v AD, takže je můžeme pomocí global katalogu získat. Kdykoliv tedy vytvoříte nový trast, je vytvořen i nový TDO (Trast domain Object), který obsahuje informace, kde se důvěryhodná doména nachází, jaké sdílené služby nabízí apod. Pokud tedy uživatel z domény 1 potřebuje přístup na sdílené prostředky z domény 2, kontaktuje nejprve svůj DC, který pomocí globálního katalogu zjistí, kde se požadovaná doména nachází a na základě nastavených trastů pomocí protokolu Kerberos kontaktuje nadřazenou doménu A . Ta předá požadavek na doménu 1, ta na doménu 2, ta po ověření vystaví požadovaný ticket pro přístup na sdílené složky, který se stejnou cestou vrátí až k uživateli, který pak přímou cestou přistoupí na Doménu 2, kde se ověří již vystaveným ticketem.

Jak funguje trast mezi lesy.

alt

Trasty mezi cizími lesy fungují odlišně od trastů v úrovní stejného lesa. Pokud tedy uživatel z domény EMEA.WoodgroveBank.com požaduje sdílené služby z domény NA.Contonso.com, kontaktuje nejprve svůj doménový řadič v EMEA.WoodgroveBank.com s požadavkem na vystavení ticketu pro služby NA.Contonso.com. Doménový řadič  kontaktuje vlastní globální katalog s požadavkem, kde se nachází doména NA.Contonso.com.  Jelikož však globální katalog udržuje pouze informace o doménách ve stejném lese, nemůže požadovanou doménu najít. Pokusí se tedy podívat do databáze AD, zda neexistuje nějaký trast s požadovanou doménou. Po nalezení trastu je informace odeslána na počítač uživatele. Ten poté kontaktuje přímo root doménu contonso.com na základě trastu, která se podívá do vlastního globálního katalogu, aby nalezla umístění požadovaných zdrojů a zažádala o vystavení ticketu pro požadovaný počítač z domény EMEA.WoodgroveBank.com. Po vystavení ticketu je požadavek odeslán s ticketem zpět do počítače s informacemi, kde kontaktovat sdílené služby. Počítač poté přímo kontaktuje doménu NA.Contonso.com, kde se ověří vystaveným ticketem a může přistoupit na sdílené služby.


Komentáře