Embed Size (px)
DESCRIPTION
sơ lược trust relationship
Citation preview
TRUST RELATIONSHIP
Các thông số cần lưu ý khi thiết lập một trust realtionship
Các bạn xét tình huống sau:
Hình 4
Chúng ta có 2 forest nhatnghe.com và microsoft.com và nhu cầu đặt ra là những user thuộc domain của forest bên này có thể dùng account của họ chứng thực khi truy cập tài nguyên hay dịch vụ ở các domain bên kia. Cách đơn giản và ngắn gọn nhất là ta sẽ tạo một forest trust giữa domain nhatnghe.com và miccrosft.com. Lý do:
1. Domain nhatnghe.com là domain đầu tiên trong một forest mới, nên được đóng vai trò forest root domain. Các domain được tạo ra sau trong forest nhatnghe.com mặc định sẽ tạo tree/root trust trực tiếp với domain này.
2. Ngoài ra nhatnghe.com còn là domain đầu tiên của tree nên sẽ là tree root domain. Các child domain thuộc tree nhatnghe.com sẽ mặc định tạo parent/child trust với domain.
Tóm lại do nhatnghe.com vừa là forest root domain, vừa là tree root domain nên hệ thống đã thiết lập sẵn các trust relationship mang tính transitive (bắc cầu) và implicitly (ngầm định) tới
domain giúp các user thuộc các domain trong cùng forest có thể chứng thực qua lại lẫn nhau. Và trong forest microsoft.com cũng tương tự như vậy. Do đó để các user thuộc các domain trong 2 forest khác nhau có thể chứng thực qua lại ta chỉ cần tạo ra một forest trust có tính transitive giữa 2 forest root domain.
Để tạo forest trust thì forest chúng ta phải ở functional level Windows Server 2003. Thông thường khi nâng cấp lên domain thì functional level mặc định là Windows 2000 mix, ta phải raise domain functional level của các domain trong forest lên Windows Server 2003 rồi cuối cùng mới raise domain functional level của forest lên Windows Server 2003. Thao tác raise domain functional level và tạo relationship chúng ta thực hiện bằng công cụ Active Directory Domains and Trusts.
Tạo forest trust:
Để tạo forest trust ta có thể dứng trên forest nhatnghe.com hay microsoft.com đều được. Ở đây tôi chọn nhatnghe.com, click phải lên forest root domain nhatnghe.com chọn properties
Chúng ta thấy hệ thống đã tạo sẵn parent/child trust giữa nhatnghe.com và hcm.nhatnghe.com. Để tạo thêm trust relationship các bạn click vào nút New Trust
Nhập tên forest bên kia vào
Trước khi tạo trust bạn phải đảm bảo domain nhatnghe.com có thể phân giải domain name của microsoft.com để nhận dạng domain bên kia sử dụng hệ điều hành gì và có vai trò như thế nào ở hệ thống bên kia rồi gợi ý cho ta loại trust relationship phù hợp
Trong trường hợp này hệ thống nhận dạng được domain bên kia là forest root domain nên gợi
ý cho ta 2 loại trust là forest trust và external trust. Trong trường hợp hệ thống nhận biết bên kia không sử dụng hệ điều hành windows thì sẽ gợi ý về realm trust. Ở đây ta chọn forest trust
Tiếp theo là chọn direction:
1. Two-way: user thuộc 2 domain có thể được chứng thực qua lại lẫn nhau. Trong trường hợp này mỗi domain sẽ đóng 2 vai trò vừa là trusting domain mà vừa là trusted domain.
2. One-way incoming: chỉ có user ở nhatnghe.com được chứng thực ở microsoft.com. Trong trường hợp này nhatnghe.com là trusted domain còn microsoft.com là trusting domain.
3. One-way outgoing: chỉ có user ở microsoft.com được chứng thực ở nhatnghe.com. Trong trường hợp này microsoft.com là trusted domain còn nhatnghe.com là trusting domain.
Để đơn giản hóa công việc ta chọn two-way direction. Các bạn đừng lo như thế sẽ không bảo mật, khó kiểm soát vì 2 forest trust lẫn nhau chỉ là bước đầu trong quá trình chứng thực. Việc user bên forest này có truy cập được tài nguyên bên forest kia hay không còn phụ thuộc vào cách các bạn phân quyền và thiết lập chính sách policy.
Tiếp theo là lựa chọn chỉ tạo trust relationship trên domain thuộc forest mình đang đứng hay cả 2 domain. Nếu chọn “This domain only” bạn phải qua doamin bên kia tạo mối liên kết ngược về. Còn nếu chọn “Both ...” thì ta sẽ tạo trust relationship trên cả 2 domain, tuy nhiên ta phải có account có quyền tạo trust relationship của forest bên kia là enterprise administrator.
Nhập username/ password của enterprise adminstrator bên kia
Chọn số lượng user của forest bên kia (microsoft.com) được chứng thực ở forest của ta (nhatnghe.com).
1. Forest-wide authentication: mọi user của forest bên kia.
2. Selective authentication: chỉ một nhóm user thuộc forest bên kia. Nếu chọn lựa chọn này bạn phải chỉ định ra những user nào trên forest microsoft.com được phép chứng thực ở forest nhatnghe.com.
Ở đây tôi chọn Forest-wide authentication.
Chọn số lượng user của ở forest của ta (nhatnghe.com) được chứng thực ở forest bên kia (microsoft.com). Vẫn chọn Forest-wide authentication.
Hoàn tất việc chọn lựa thông số.
Hoàn tất việc tạo trust relationship. Chú ý trust type là forest trust
Do ta tạo trust Two-way nên hệ thống yêu cầu ta xác nhận lại cho hệ thống bên kia. Do đến cuối quá trình này thì trust relationship mới hoạt động nên không xác nhận, chúng ta sẽ xác nhận lại sau.
Kết quả
Bây giờ ta qua forest root domain bên kia kiểm tra
Đây là kết quả trên forest root domain microsoft.com
Đây là cách đơn giản và ngắn gọn nhất để các user thuộc các domain của 2 forest có thể đươc chứng thực qua lại trên domain thuộc 2 forest. Tuy nhiên nếu 1 user thuộc domain hcm.nhatnghe.com muốn được chứng thực trên domain asia.microsoft.com thì domain controller của hcm.nhatnghe.com phải truy vấn qua nhatnghe.com rồi microsoft.com cuối cùng mới đến asia.microsoft.com. Các giai đoạn sẽ tăng thêm phụ thuộc vào mối quan hệ của domain con so với tree root domain và forest root domain. Để rút ngắn tiến trình chứng thực ta tạo ra 1 external trust liên kết 2 domain cần chứng thực trực tiếp.
Tạo external trust:
Lần này chúng ta đứng từ forest root domain microsoft.com tạo external trust giữa asia.microsoft.com với hcm.nhatnghe.com. Cũng vào trong Active Directory Domains and Trusts, chọn vào domain asia.microsoft.com click phải chọn properties
New trust
Nhập tên domain hcm.nhatnghe.com
Hệ thống tự dò được hcm.nhantnghe.com chỉ là 1 child domain nên đưa ta vào quá trình tạo external trust luôn mà không lựa chọn như quá trình tạo forest trust bên trên. Các bước còn lại tương tự như trên
Chú ý trust type là external
Hệ thống cảnh báo về việc sẽ trùng SID nếu ta sử dụng chức năng migrate user và yêu cầu tắt chức năng SID filter
Hoàn thành
Cách kiểm tra và update namespace qua 1 trust relationship
Quay trở về forest trust giữa nhatnghe.com và microsoft.com, chọn vào forest trust, nhấn properties
Tab General nhấn vào Validate
Nhập username/ password bên kia
Quá trình kiểm tra hoàn tất. quá trình này còn giúp ta update các namespace của hệ thống domain bên kia nếu có dựng thêm domain mới.
