4.1.4 信任关系(1)
http://book.51cto.com 2009-04-22 20:38 刘晓辉 电子工业出版社 我要评论(
0)
- 摘要:《网络安全管理实践》第4章活动目录安全。本章介绍Active Directory使用结构化的数据存储作为目录信息的逻辑化、分层结构的基础,可以帮助管理员进行对象信息的查询、组织和管理。本节为大家介绍信任关系。
- 标签:信任关系 网络安全 Windows服务器 网络安全管理实践
-
Oracle帮您准确洞察各个物流环节
4.1.4 信任关系(1)
域是安全边界,若无信任关系,域用户账户只能在本域内使用。信任关系在两个域之间架起了一座桥梁,使得域用户账号可以跨域使用。确切地说就是:信任关系使一个域的域控制器可以验证其他域的用户,这种身份验证需要信任路径。例如A域与B域没有信任关系,A域上的员工使用自己在A域的用户账号,将不能访问B域上的资源。信任关系是用于确保一个域的用户可以访问和使用另一个域中资源的安全机制。信任是域之间建立的关系,它可使一个域中的用户由处在另一个域中的域控制器来进行验证。
1. 信任类型
父子信任
在森林中,父子域之间存在信任关系,称之为父子信任,在默认情况下,当在现有域树中添加新的子域时,将建立一个新的父子信任。来自从属域的身份验证请求将通过其父项向上传递到信任域中。信任为双向的可传递的信任关系。
域间信任关系
在森林的两棵树之间存在信任关系,称之为域间信任关系,在建立第2棵域树的时候将自动创建一个新的双向的可传递的树根信任关系。信任为双向的可传递的信任关系。
快捷方式信任关系
在同一个森林的两棵域树中的两个子域,默认的信任关系是通过信任关系的传递完成的信任。例如:hs.coolpen.com信任coolpen.com,coolpen.com信任heb.coolpen.com,则hs.coolpen.com信任heb.coolpen.com,但是hs.coolpen.com信任heb.coolpen.com的路径很长,在访问的时候,会造成网络流量的增加和访问速度变慢,访问效率低下。在hs.coolpen.com和heb.coolpen.com之间可以建立一个快捷方式的信任关系。
使用快捷信任可改善Windows Server 2008林内的两个域之间的用户登录时间,提高访问效率。信任是单向或双向,可传递的信任关系。
外部信任关系
外部信任关系是构建在两个不同的森林或者两个不同的域之间的。例如,一个是Windows 2000 Server域,另一个是Windows Server 2003域;或者是两个Windows Server 2003的功能级别为Windows 2000纯模式的域。外部信任关系都是通过手动方式创建的。外部信任关系创建完成后,是一个单向或者双向的信任关系,并且是属于不可传递的信任关系。
森林信任
如果在Windows Server 2003功能级别,可以在两个森林之间创建一个森林信任关系,是可以传递的信任关系;注意,一定要在根域上创建。如果两个森林之间建立的是双向的信任关系,两个森林的个域之间是相互信任的。使用林信任可在各个林之间共享资源。如果林信任是双向信任,则任一个林中的身份验证请求都可以到达另一个林。
信任是单向或双向,可传递的信任关系。
领域信任
使用领域信任可建立非 Windows Kerberos 领域和 Windows Server 2003或Windows Server 2008域之间的信任关系。信任是单向或双向,可传递的信任关系。
2. 信任类型
信任关系的传递性决定信任关系是否可扩展到建立信任的两个域之外,按照是否具有可传递性,信任关系分为可传递信任和非传递信任。可传递信任用于将信任关系扩展到其他域,而非传递信任用于拒绝与其他域之间的信任关系。
可传递信任
任何一个Windows Server 2008或Windows Server 2003域被加入到域目录树后,这个域会自动信任其父域,同时父域也会自动信任这个新域,并且这些信任关系是可以传递到以后加入到目录树中的其他域的。可传递信任关系将以域树形成时的方向沿域树向上流动,最终在域树中的所有域之间创建可传递信任。如图4-12所示是可传递信任关系及访问示意图。
|
(点击查看大图)图4-12 可传递信任关系 |
由于这种信任关系都是建立在父域和子域之间的,所以也被称为父子信任关系。除以这种方式默认创建的可传递信任关系外,还可以通过手动方式创建如下3种类型的可传递信任关系。
快捷信任:在相同域目录树或域目录林中的域之间的可传递信任,用于缩短大型复杂的域树或林中的信任路径。
林信任:在林根域和第2个林根域之间的可传递信任。
领域信任:在Active Directory 域和Kerberos V5领域之间创建可传递信任。
非传递信任
非传递信任受信任关系中的两个域的约束,并不流向林中的任何其他域。此时用户也将无法访问到没有直接建立信任关系的域,如图4-13所示。
|
(点击查看大图)图4-13 非传递信任关系 |
非传递域信任是以下各项之间唯一的信任关系形式:
Windows Server 2008域、Windows Server 2003域、Windows NT域彼此之间。
一个林中的Windows Server 2008域和其他林中的某个域(当没有被林信任连结时)。
管理员可以使用手动方式创建下列非传递信任。
外部信任:在单个Windows域之间,或不同林的Windows域之间创建的非传递信任关系。
领域信任:在Windows Active Directory域和Kerberos V5领域之间的非传递信任。
4.1.4 信任关系(2)
3. 信任方向
"信任域"和"受信任域"是信任关系中的两个主体,信任方向就是决定彼此之间的信任方式,通常以箭头表示。信任方向的分配将直接影响到用于身份验证的路径,信任路径则是身份验证请求必须符合域之间的一系列信任关系。信任方向可以分为单向信任和双向信任。
单向信任
单向信任是两个域之间创建的单向身份验证路径,即受信任域中的用户账户可以使用信任域上的身份验证方式,并访问域中的资源,但反之则无法实现。如图4-14所示是单向信任关系示意图。
双向信任
默认情况下,Windows Server 2008和Windows Server 2003林中的所有域信任关系都是双向、可传递的。创建新的子域时,双向可传递信任在新的子域和父域之间自动建立,这意味着身份验证求可按两种方向在两个域之间传递。如图4-15所示为双向信任关系示意图。
|
(点击查看大图)图4-14 单向信任 |
|
(点击查看大图)图4-15 双向信任关系 |
Windows Server 2008可以建立与下列各域之间的单向或双向信任:
同一林中的Windows Server 2003或Windows Server 2008域。
不同林中的Windows Server 2003或Windows Server 2008域。
Windows NT 4.0域。
Kerberos V5领域。
4. 信任安全规划
在默认状态下,在使用"Active Directory安装向导"时,系统会自动创建默认的信任关系,父子信任和域间信任。其他方式的信任需要根据实际需求详细规划。
何时创建快捷信任
快捷信任是当系统管理员需要优化身份验证过程时,可以使用单向或双向可传递信任。身份验证请求必须首先通过域树之间的信任路径,在复杂的林中,验证的时间会很长,执行的效率会很低。快捷信任可以缩短该信任验证的时间。信任路径是为了传递任何两个域之间的身份验证请求而必须遍历的一系列的域信任关系。
当某个域中经常有许多用户登录林中的其他域时,有必要使用快捷信任。
快捷信任可有效地缩短在两个不同树中的域之间进行身份验证所要经过的路径。
使用单向信任:建立在不同域树中的两个域之间的单向快捷信任可以减少完成身份验证请求所需的时间,但只能在一个方向上。例如,当在域A和域B之间建立单向快捷信任时,域A到域B的身份验证请求可以利用新的单向信任路径。但是,域B到域A的身份验证请求仍然需要经过很长的信任路径。
使用双向信任:建立在不同域树中的两个域之间的双向快捷信任可以减少完成源自其中任一域的身份验证请求所需的时间。例如,当在域A和域B之间建立双向快捷信任时,从其中一个域到另一个域的身份验证请求都可以利用新的双向信任路径。
何时创建林信任
只能在一个林中的林根域和另一个林中的林根域之间创建林信任。在两个林之间创建林信任可为任一林内的各个域之间提供一种单向或双向的可传递信任关系。
林信任适用于企业合并、合作、收购的状况。
使用单向林信任:两个林之间的单向林信任允许受信任林的成员使用信任林中的资源。但是,此信任只是单向的。例如,当在A林(受信任林)和B林(信任林)之间创建单向林信任时,A林的成员可以访问B林中的资源,但B林的成员不能使用同一个信任访问A林中的资源。
使用双向林信任:两个林之间的双向林信任允许任一个林的成员使用另一个林中的资源;每个林中的域隐式信任另一个林中的域。例如,当A林和B林之间建立双向林信任时,A林的成员可以访问B林中的资源,B林的成员也可以使用同一个信任访问A林中的资源。
5. 创建信任关系
创建信任关系可以帮助用户扩展网络应用范围,实现更广资源的集中管理和应用。当网络中有多个不同的域时,想要让每个用户可以自由地访问网络中的每台服务器(不管是否属于这个用户属于的域)时,这些域之间就需要创建信任关系。本案例的实验环境中包括两台彼此独立的主域控制器:coolpen.net和hsnc.cn,IP地址分别为192.168.1.21和192.168.1.25。在其中一台域控制器(本例为coolpen.net)上执行如下操作。
(1) 依次选择"开始"→"管理工具"→"Active Directory域和信任关系"选项,显示如图4-16所示的"Active Directory域和信任关系"窗口。
(2) 右击域名coolpen.net,在弹出的快捷菜单中选择"属性"选项,打开"coolpen.net 属性"对话框,切换至如图4-17所示的"信任"选项卡。目前,该域中包含一个子域hengshui.coolpen.net,自动创建了信任关系,所以显示在列表中。
|
(点击查看大图)图4-16 "Active Directory域和信任关系"窗口 |
|
(点击查看大图)图4-17 "信任"选项卡 |
4.1.4 信任关系(3)
(3) 单击"新建信任"按钮,启动"新建信任关系向导",如图4-18所示。
(4) 单击"下一步"按钮,显示如图4-19所示的"信任名称"对话框。在"名称"文本框中,键入想要与之建立信任关系的域控制器名称hsnc.cn,也可以使用对方的NetBIOS名称hsnc。
|
(点击查看大图)图4-18 "欢迎使用新建信任向导"对话框 |
|
(点击查看大图)图4-19 "信任名称"对话框 |
(5) 单击"下一步"按钮,显示如图4-20所示的"信任方向"对话框,可根据需要选择信任关系的方向,系统默认选择"双向"单选按钮。如果两台域控制器的功能和安全级别有所不同,建议选择单向信任。单向信任可以划分为"单向:内传"和"单向:外传",分别表示该域中的用户可以在指定的域、领域、域林中得到身份验证和指定域、领域或域林的用户可以在该域中得到身份验证,这两种情况均是单向信任。
(6) 单击"下一步"按钮,显示如图4-21所示的"信任方"对话框。如果管理员具有每个域的相应管理权限,则可以通过选择"此域和指定的域"单选按钮,同时创建双方外部信任,否则选择"只是这个域"单选按钮,有对方域控制器的管理员完成相应操作即可。
|
(点击查看大图)图4-20 "信任方向"对话框 |
|
(点击查看大图)图4-21 "信任方"对话框 |
(7) 单击"下一步"按钮,显示如图4-22所示的"用户名和密码"对话框,在"用户名"和"密码"文本框中,分别输入域控制器hsnc.cn上的管理员账户及密码。
(8) 单击"下一步"按钮,显示如图4-23所示的"选择信任完毕"对话框,提示当前所作的信任关系设置。单击"上一步"按钮,可以返回重新修改设置。
|
(点击查看大图)图4-22 "用户名和密码"对话框 |
|
(点击查看大图)图4-23 "选择信任完毕"对话框 |
4.1.4 信任关系(4)
(9) 单击"下一步"按钮,开始创建信任关系,完毕后显示如图4-24所示的"信任创建完毕"对话框。创建完毕后,还可继续对该信任关系的某些选项进行配置,根据创建过程中选择选项的不同,配置选项也会有所不同。
(10) 单击"下一步"按钮,显示如图4-25所示的"确认传出信任"对话框,由于当前只是在其中一台域控制器上进行创建信任关系操作,只有在另一台域控制器上进行同样操作后方可完成信任关系的创建,所以此时无法进行信任传出验证,选择"否,不要确认传出信任"单选按钮即可。
(11) 单击"下一步"按钮,显示如图4-26所示的"确认传入信任"对话框,同样选择"否,不确认传入信任"单选按钮即可。
|
(点击查看大图)图4-24 "信任创建完毕"对话框 |
|
(点击查看大图)图4-25 "确认传出信任"对话框 |
(12)单击"下一步"按钮,显示如图4-27所示的"正在完成新建信任向导"对话框,提示创建信任关系成功。
|
(点击查看大图)图4-26 "确认传入信任"对话框 |
|
(点击查看大图)图4-27 "正在完成新建信任向导"对话框 |
(13) 单击"完成"按钮关闭新建信任向导,打开如图4-28所示的"Active Directory域服务"对话框,提示已经启用SID(安全识别符)筛选功能。该功能可以阻止入侵者的"提升权限"攻击,即提升所使用用户账户权限,或者授予其他用户账户权限。强制SID筛选不会阻止同一林中的域迁移使用SID历史记录,而且也不会影响全局组的访问控制策略。对外部信任关系而言,SID筛选功能会影响以下两个区域中的现有Active Directory基础结构。
将会从受信域发出的身份验证请求中删除SID历史数据,这些SID历史数据包含除该受信域外的所有域中的SID。这会导致拒绝访问具有用户旧SID的资源。
林间通用组访问控制的策略将需要更改。
(14) 单击"确定"按钮,返回"coolpen.net 属性"对话框,新创建的信任关系已经显示在列表中,如图4-29所示。
|
图4-28 "Active Directory域服务"对话框 |
|
图4-29 创建成功的信任关系 |
4.1.4 信任关系(5)
在另一台域控制器(本例中的hsnc.cn)上,执行如下操作:
(15) 打开"Active Directory域和信任关系"窗口,右击域名hsnc.cn,在弹出的快捷菜单中选择"属性"选项,打开"hsnc.cn 属性"对话框,切换至如图4-30所示的"信任"选项卡,默认已经显示了刚刚创建的信任关系。
|
(点击查看大图)图4-30 "hsnc.cn 属性"对话框 |
(16) 在"受此域信任的域(外向信任)"列表框中,选择"coolpen.net"并单击"属性"按钮,打开"coolpen.net 属性"对话框,如图4-31所示。
(17) 单击"验证"按钮,显示如图4-32所示的"Active Directory域服务"对话框,验证信任传入方向时,必须有对方域控制器的管理员权限。选择"是,验证传入信任"单选按钮,并在"用户名"和"密码"文本框中,分别输入域控制器coolpen.net上的管理员账户名称和密码。
|
图4-31 "coolpen.net 属性"对话框 |
|
图4-32 "Active Directory域服务"对话框 |
(18) 单击"确定"按钮,完成传入信任验证之后,还需要在"此域信任的域(内向信任)"选项框中,单击"属性"按钮,执行同样操作,以完成传出信任的验证。
(19) 域属性对话框的"身份验证"选项卡中,还可以对于用户在各个域上执行的身份验证方式进行选择,在如图4-33所示的"coolpen.net 属性"对话框中,可以为来自coolpen.net域的用户账户选择身份验证范围。
包括如下两种身份验证方式。
全域性身份验证:域控制器coolpen.net上的用户使用域控制器hsnc.cn上的资源时,需要通过两台域控制器上设置的所有身份验证方式。
选择性身份验证:域控制器hsnc.cn将不会对来自域控制器coolpen.net的用户访问进行任何身份验证,对hsnc.cn下属子域同样具有不受身份验证的"特权"。
(20) 至此两台域控制器之间即可成功建立信任关系,这两个域的用户即可以自由访问另外一个域的信息(如果选择单向信任则另当别论)。如图4-34所示,是一台加入域控制器coolpen.net主机名为coolpen-c8的计算机的登录窗口,在"登录到"下拉列表中显示了本地计算机、域控制器coolpen.net以及其所有信任的域,用户可根据需要选择登录到的对象。
|
图4-33 "身份验证"选项卡 |
|
图4-34 "登录到Windows"窗口 |