|
信任关系基础
在大型网络中,通常存在多个域,甚至多个林,在具体配置这些域和林之前,先要了解它们之间的默认和可配置的信任关系,以便恰当地配置各级域,以及各个林之间的信任关系。这也是域、林之间安全、有效访问的基础。
1.什么是信任
信任是域或林之间建立的关系,它可使一个域(或林)中的用户由处在另一个域(或林) 中的域控制器来进行验证。Windows NT中的信任关系与Windows 2000和Windows Server 2003操作系统中的信任关系不同。
(1)Windows NT中的信任
在Windows NT 4.0及其以前版本中,信任仅限于两个域之间,而且信任关系是单向和不可传递的。如图5—8所示,指向受信任域的直箭头显示了非传递的、单向信任。
(2)Windows Server 2003和Windows 2000 Server操作系统中的信任
Windows 2000 Server和Windows Server 2003林中的所有信任都是可传递的、双向信任。因此,信任关系中的两个域都是受信任的。如图5—9所示,如果域A信任域B,且域B信任域C,则域C中的用户(授予适当权限时)可以访问域A中的资源。只有Domain Admins 组的成员可以管理信任关系。
2.信任类型
域和域之间的通信是通过信任发生的。信任是为了使一个域中的用户访问另一个域中的资源而必须存在的身份验证管道。使用“Active Directory安装向导"时,天下网络,将会创建两个默认信任,而使用“新建信任向导"或Netdom命令行工具可创建另外4种类型的信任。
(1)默认信任
在默认情况下,当使用“Active Directory安装向导"在域树或林根域中添加新域时,系统会自动创建双向的可传递信任。表5-3中定义了两种默认信任类型。
表5—3 两种默认信任
信任类型 传递性 方向 描述 父子 可传递 双向 在默认情况下,当现有域树中添加新的子域时,将建立一个新的父子信
任。来自从属域的身份验证请求将通过其父项向上传递到信任域中,重温Doom时光,FPS教父造访纸客帝国。也就是
说父域与子域之间是双向信任的 树根 可传递 双向 在默认情况下,当现有林中创建新的域树时,将建立一个新的树根信任。
也就是说在新建域树与根域之间也是双向信任的
(2)其他信任
在使用“新建信任向导”或Netdom命令行工具时,可创建其他4种类型的信任:外部信任、领域信任、林信任和快捷信任。表5—4中定义了这些信任。
表5—4其他信任
信任类型 传递性 方向 描述 外部 不可传递 单向或双向 使用外部信任可访问Windows NT 4.O域中的资源,或单独(未经林信任
连接)的林内某个域中的资源 领域 可传递或不
可传递 单向或双向 使用领域信任可建立非Windows Kerberos领域(如UNIX领域)和
Windows Server 2003域之间的信任关系 林 可传递 单向或双向 使用林信任可在各个林之间共享资源。如果林信任是双向信任,则任一个
林中的身份验证请求都可以到达另一个林 快捷 可传递 单向或双向 使用快捷信任可改善Windows Server 2003林内的两个N2_间的用户登录
时间。当两个域被两个域树分隔开时,这是很有用的
在创建外部信任、快捷信任、领域信任或林信任时,可以选择单独创建信任的每一方或同时创建信任的双方。如果选择单独创建信任的每一方,则需要运行两次“新建信任向导”,为每个域运行一次。当使用此方法创建信任时,需要为每个域提供相同的信任密码。作为最佳的安全操作,所有信任密码都应是强密码。如果选择同时创建信任的双方,则需要运行一次“新建信任向导"。当选择该选项时,系统将自动为你生成强信任密码。但你需要对在其间创建信任的每个域拥有适当的管理凭据。
3.信任方向
信任类型及其指派方向将影响进行身份验证所用的信任路径。信任路径是身份验证请求在域之间必须遵循的一组信任关系。在用户可以访问另一个域中的资源之前,运行WindOWS Server 2003的域控制器上的安全系统必须确定信任域(含有用户试图访问的资源的域)和受信任域(用户的登录域)之间是否有信任关系。为此,安全系统将计算信任域中的域控制器和受信任域的域控制器之间的信任路径。信任方向是由箭头表示的,如域A_域B,表示域 A信任域B,但域B不信任域A,而如果是域A卜一域B,则域A与域B之间就是相互信任了。在如图5—8中,信任路径由显示信任方向的箭头标出。
信任方向有单向信任和双向信任之分。单向信任是两个域之间创建的单向身份验证路径。这意味着在域A和域B之间的单向信任中,域A中的用户可以访问域B中的资源。但是域B 中的用户不能访问域A中的资源。根据所创建的信任类型,某些单向信任可以是非传递信任或可传递信任。
WindOWS Server 2003树林中的所有域信任都是双向可传递信任。创建新的子域时,双向可传递信任在新的子域和父域之间自动建立。在双向信任中,域A信任域B,且域B信任域 A。这意味着身份验证请求可在两个目录中的两个域之间传递。根据所创建的信任类型,某些双向信任可以是非传递信任或可传递信任。
Windows Server 2003可以建立与下列各域之间的单向或双向信任,转载:儿童不宜多吃的20种食物---不能不看哟。 同一林中的Windows Server 2003域。 不同林中的Windows Server 2003域。 Windows NT 4.0域。 Kerberos V5领域。 4.信任协议
运行Windows Server 2003的域控制器使用以下两种协议之一来验证用户和应用程序: Kerberos V5或NTLM。Kerberos V5协议是运行Windows 2000、Windows XP Professional,或 Windows Server 2003的计算机的默认协议。如果事务中所涉及的任何计算机都不支持 Kerberos V5协议,则将使用NTLM协议。
通过Kerberos V5协议,客户端要求将票证从其账户域中的域控制传递到信任域中的服务器。此票证由客户端和服务器信任的中介发出,客户端将该受信任的票证提交给信任域中的服务器进行验证。当客户端试图访问使用NTLM身份验证的另一个域中服务器上的资源时,寒江雪,含有该资源的服务器必须与客户端账户域中的域控制器联系,以验证账户凭据。
5.受信域对象
受信域对象(TDO)是特定域内表示每个信任关系的对象。每次建立信任时,在其域中都会创建并存储(在“System"容器中)一个唯一的TDO。TDO中表示了诸如信任传递性、类型以及互换的域名等属性。
林信任TDO存储其他属性,以便从其伙伴林中识别所有受信任的命名空间。这些属性包括域树名称、用户主体名称(UPN)后缀、服务主体名称(SPN)后缀,以及安全ID(SID) 命名空间。
| 
转播
