lunes, 23 de mayo de 2016

Las relaciones de confianza.

DominioA confía en la autenticación que hace DominioB de sus usuarios.

Esto se representa como:


Como es de suponer, si tenemos único Dominio, no tenemos relaciones de confianza. 
Pero en cuanto agreguemos otros dominios a nuestro Bosque (Forest), formando un Árbol (Tree) ya se crearán relaciones de confianza


Relaciones de Confianza Padre-Hijo (Parent-child trust)
que cumplirán con los siguientes características:
  • Se crean automáticamente al crear sub-dominios
  • Son requeridas, no las podemos eliminar
  • Son bidireccionales. El “padre” confía en el “hijo”, y el “hijo” confía en el “padre”
  • Son transitivas, esto es si “hijo1” confía en “padre”, y “padre” confía en “hijo2”, entonces “hijo1” confía en “hijo2”
En la siguiente figura están representadas con el número 

Relaciones de Confianza Bosque-Árbol (Forest-Tree trust)
En nuestro Bosque podríamos tener más de un Árbol (Tree), aunque no es una configuración habitual salvo que necesitáramos mantener identidades separadas
Cuando agregamos Árboles al ya existente se crean automáticamente las relaciones de confianza Bosque-Árbol (Forest-Tree) que tienen exactamente las mismas características que las Padre-Hijo (Parent-Child)
En la figura anterior está representada con el número 

Relaciones de Confianza Atajo (Shortcut trust)
A veces por temas de diseño de Active Directory, nos podemos encontrar con un Bosque con varios dominios donde los “dominios de los usuarios” quedan “muy lejos” de los “dominios de recursos”. Esta “lejanía” hace que la autenticación  no sea eficiente, y por lo tanto lenta.
En este caso podemos crear una relación de tipo Atajo (Shortcut trust), que tiene las siguientes características:
  • Deben crearse manualmente
  • Por omisión son unidereccionales
  • Son “parcialmente transitivas” 
    Esto es, podrían ser aprovechadas por sub-dominios de los dominios intervinientes
En la siguiente figura están representadas por el número 
Relaciones de Confianza Entre Bosques (Forest trust)
Hay veces que por uniones de empresas, o por temas de diseño nos podemos encontrar con que tenemos dos Bosques separados, y necesitamos habilitar acceso entre Dominios de los mismos.
En este caso deberemos crear manualmente una relación de confianza entre los Bosques
Para poder crear una relación de este tipo, ambos Bosques deben tener nivel funcional igual o superior a Windows 2003
Estas relaciones tienen las siguientes características:
  • Deben crearse manualmente
  • Pueden ser uni o bi-direccionales
  • Pueden ser total o parcialmente transitivas 
    Esto último implica que todos los dominios de cada Bosque puedan acceder a recursos autorizados en el otro, o sólo algunos
Estas relaciones de confianza pueden a su vez tener dos tipos de autenticación
  1. Forest Wide: cualquier usuario de uno de los Bosques puede acceder a los recursos del otro Bosque, con tal que tenga los permisos adecuados
  2. Selective Authentication: similar al caso anterior, pero en cada servidor donde estén los recursos hay que dar el permiso “Allowed to authenticate” en las propiedades de la cuenta de máquina
En la siguiente figura está identificada con el número 
Otros tipos de Relaciones de Confianza
Además de los casos mencionados existen dos tipos más de relaciones de confianza:
  • Externas: estas se arman manualmente dominio a dominio entre Bosques diferentes que no tienen ninguna relación de confianza. 
    Son unidireccionales y no-transitivas
  • Realm trusts: se crean manualmente contra Realms de Unix Kerberos. 
    Un Realm de Unix es equivalente al concepto de Dominio en Active Directory