Доверительные отношения

Доверительные отношения (trusts) представляют собой связь, устанавливаемую

между доменами, позволяющую пользователям одного домена аутентифициро-

ваться контроллером другого домена. Наличие механизма доверительных отно-

шений позволяет организовывать совокупность доменов в некоторую структуру.

В этой структуре домены связываются между собой определенным образом от-

ношениями доверия.

Доверительные отношения реализуются в рамках механизма аутентификации.

Суть доверительных отношений между двумя доменами сводится к тому, что

доверяющий домен (trusting domain) доверяет процесс аутентификации доверенно-

му домену (trusted domain). Пользователь, аутентифицированный доверенным

доменом, может получить доступ к ресурсам в доверяющем домене.

Механизм аутентификации NTLM, реализованный в рамках архитектуры Windows

NT, допускает создание только односторонних доверительных отношений.

Если администратору было необходимо установить между доменами отношения

взаимного доверия, он должен был создать доверительные отношения в обе сто-

роны.

Служба каталога Active Directory допускает создание как односторонних, так и

двусторонних доверительных отношений. Так же тсак и в случае Windows NT,

односторонние доверительные отношения реализуются посредством механизма

аутентификации NTLM. Двусторонние доверительные отношения строятся на

Глава 18. Основные концепции Active Directory 809

основе протокола аутентификации Kerberos v5 и обладают свойством транзитив-

ности.

Транзитивность доверительных отношений предполагает сквозную аутентифи-

кацию пользователей в цепочке доменов, связанных между собой подобными

отношениями. Например, если домен А доверяет домену В, а домен В доверяет

домену С, то между доменами А и С автоматически устанавливаются довери-

тельные отношения (эти отношения неявные). Односторонние доверительные

отношения NTLM не обладают свойствами транзитивности. Для создания от-

ношений полного доверия между пятью доменами необходимо будет установить

двадцать односторонних доверительных отношений. Аналогичного результата

можно добиться при помощи всего лишь четырех двусторонних транзитивных

доверительных отношений.

Примечание

Для использования доверительных отношений не имеет значения, какой механизм

аутентификации используется клиентом. Даже есликлиент не поддерживает прото-

кол Kerberos, он может быть аутентифицирован через двусторонние доверительные

отношения.

Архитектура Windows Server 2003 позволяет использовать доверительные транзи-

тивные отношения как для соединения доменов в пределах одного леса, так и

для соединения разных лесов доменов. Кроме того, могут быть установлены до-

верительные отношения между различными областями Kerberos (Kerberos realms).

Все поддерживаемые типы доверительных отношений перечислены в табл. 18.1.

Таблица 18.1. Доверительные отношения, поддерживаемые доменами

на базе Windows Server 2003

Доверительные отношения	Характеристика	Описание
Доверительные отношения внутри дерева	Двусторонние, транзитивные	Устанавливаются автоматически при созда- нии в дереве нового домена. В рамках дере- ва доменов отношения описываются схемой "родите ль- потомок"
Доверительные отношения внутри леса	Двусторонние, транзитивные	Устанавливаются автоматически при созда- нии в существующем лесе нового дерева доменов. Фактически доверительные отно- шения устанавливаются между корневым доменом леса и создаваемым доменом, который будет являться корневым для нового дерева
Доверительные отношения между лесами доменов	Двусторонние или односторонние, транзитивные	доменов вручную. При этом администраторы сами решают — будут отношения двусторон- ними или односторонними
Перекрестные (shortcut) довери- тельные отношения	Односторонние или двусторонние, транзитивные	Устанавливаются между доменами различ- ных деревьев, принадлежащих к одному лесу. Необходимость доверительных отно- шений данного типа не всегда очевидна, поскольку между доменами, принадлежа- щими одному лесу, через корневые домены автоматически устанавливаются неявные доверительные отношения. Перекрестные отношения доверия позволяют повысить эффективность взаимодействия между дву- мя доменами, уменьшая путь доверия (trust path). Путь доверия — последовательность переходов между доверяющими друг другу доменами, требуемых для аутентификации запроса. В случае неявных доверительных отношений этот путь может включать в себя несколько переходов, которые перекрестные отношения доверия позволяют избежать
Доверительные отношения с внеш- ними доменами	Односторонние или двусторонние, нетранзитивные	Устанавливаются между доменами, принад- лежащими к разным лесам, либо между доменом Windows Server 2003 и доменом Windows NT, Этот тип доверительных отно- шений может использоваться для соедине- ния лесов, когда невозможно установить отношения доверия между лесами в целом (вследствие того, что один или оба леса не находятся на функциональном уровне Windows Server 2003

Примечание

Обратите внимание, что доверительные отношения внутри леса и внутри дерева

доменов устанавливаются системой автоматически, в процессе создания домена

или дерева доменов. Администратор не может как-либо отозвать их или удалить

Все остальные типы доверительных отношений создаются администратором вруч-

ную.

Доверительные отношения между лесами доменов

Процесс создания отношений между лесами доменов заслуживает особого вни-

мания. Организация взаимодействия двух лесов доменов, соединенных между

собой отношениями доверия, имеет свои специфические моменты.

Рассмотрим процесс аутентификации пользователей. Когда пользователь запра-

шивает доступ к ресурсам домена, расположенного в доверенном лесе доменов,

активизируется механизм, получивший название маршрутизации суффиксов

(name suffix routing). Этот механизм работает только с доменными именами вто-

рого уровня (такими, например, как khsu.ru, ayan.ru). Домены третьего уровня

(например, kit.khsu.ru) и ниже механизмом маршрутизации суффиксов не под-

держиваются. Механизм маршрутизации суффиксов гарантирует, что все запро-

сы аутентификации, адресуемые домену второго уровня, будут маршрутизиро-

ваться соответствующему домену.

Дочерние домены, подключаемые к доменам второго уровня, наследуют от них

информацию, необходимую для маршрутизации суффиксов. Поэтому они также

смогут выполнить маршрутизацию запроса на аутентификацию пользователя.

Доверительные отношения

ОС семейства Windows Server 2003 поддерживают доверитель-

ные отношения между доменами и между лесами. Доверитель-

ные отношения между доменами дают пользователю возмож-

ность аутентификации для доступа к ресурсам в другом доме-

не. При установке доверительного отношения между домена-

ми надо принимать во внимание направление доверия (trust

direction).

Направление доверия

Тип и направление доверительного отношения существенно вли-

яют на путь доверия (trust path) — последовательность дове-

рительных отношений, по которой должен проследовать меж-

доменный запрос на аутентификацию.

Направление доступа

Доверяющий домен Доверяемый домен

(владелец ресурса} (с учетной записью пользователя)

Рис. 5-5. Пути доверия и направления доверительных отношений

Прежде чем пользователь получит доступ к ресурсу в дру-

гом домене, система безопасности на контроллерах домена с

Windows Server 2003 должна определить, имеет ли доверяющий

домен (домен, содержащий ресурс, к которому пользователь

пытается получить доступ) отношения доверия с доверяемым

доменом (домен входа пользователя в сеть). Для этого систе-