buy custom essays onlinebuy custom essays online

Tổng quan về TRUST RELATIONSHIP Phần 1
Parajumpers sale www.airbrushhenk.nl Parajumpers sale http://www.unifem.ch canada goose sale Canada Goose jas http://www.canadagooseoutlets.be https://www.gasinc.nl
Home » Hệ điều hành » Windows Server 2003 » Tổng quan về TRUST RELATIONSHIP Phần 1

Tổng quan về TRUST RELATIONSHIP Phần 1


TRUST RELATIONSHIP

 

Khi quản trị một hệ thống lớn gồm nhiều domain, chúng ta có nhu cầu cho các user có thể logon làm việc tại nhiều domain khác nhau hay truy cập dịch vụ trên một domain bất kì mà không cần phải trực tiếp logon làm việc trên domain đó. Chẳng hạn các bạn có thể xét tình huống sau đây:

Một doanh nghiệp có 2 domain A và domain B nằm trong 2 forest riêng biệt. Domain A có user ti và file server chứa dữ liệu trong toàn công ty. Domain B có user teo. Khi ti logon trên domain A, ti có thể truy cập tài nguyên trên file server trực tiếp. Còn teo do thuộc domain B nên không thể truy cập file server bên domain A. Để giải quyết vấn đề ta có thể lên domain A tạo cho teo 1 account nữa để teo cung cấp cho domain A chứng thực mỗi khi truy cập vào file server. Vậy là mỗi user bên domain B sẽ có 2 account, dẫn đến số lượng account phải quản lí tăng lên đáng kể. Để duy trì số lượng account cho mỗi user ở domain B như ban đầu (không cần tạo thêm bên domain A) mà các user bên domain B vẫn có thể truy cập trực tiếp file server bên domain A thì ta phải tạo ra mối liên kết giữa 2 domain, chính là trust relationship. Tạo ra trust relationship giữa 2 domain A và domain B sẽ giúp các domain có thể thừa hưởng quá trình chứng thực của nhau, user teo có thể logon trên cả 2 domain, truy cập trực tiếp file server trên domain A cho dù đang logon làm việc trên domain B.

Trust relationship là một liên kết luận lý được thiết lập giữa các hệ thống domain, giúp cho cơ chế chứng thực giữa các hệ thống domain có thể được thừa hưởng lẫn nhau. Trust relationship giải quyết bài toán “single sign-on” – logon chứng thực một lần duy nhất cho tất cả mọi hoạt động trên các domain, dịch vụ triển khai trên 1 domain có thể được truy cập từ user thuộc domain khác.

Trong một trust relationship cần phải có 2 domain. Domain được tin tưởng gọi là trusted domain, còn domain tin tưởng domain kia gọi là trusting domain. Cơ chế trust relationship giúp đảm bảo các đối tượng (user, ứng dụng hay chương trình) được tạo ra trên một trusted domain có thể được chứng thực đăng nhập hay truy cập tài nguyên, dịch vụ trên trusting domain. Tuy nhiên, trên hệ thống Windows hỗ trợ đến 6 loại trust relationship với các đặc tính và ứng dụng khác nhau. Bài này sẽ giúp các bạn hiểu hơn về đặc tính cũng như ứng dụng từng loại để triển khai trên hệ thống cho hợp lí.

    (Để bám sát nội dung với tài liệu do Microsoft xuất bản và đảm bảo tính chính xác trong ngôn từ thảo luận, tôi sẽ diễn giải ý nghĩa của những từ chuyên môn tiếng Anh nhưng vẫn dùng những từ chuyên môn đó trong suốt bài viết mà không sử dụng từ tiếng Việt thay thế. Mong các bạn thông cảm và đóng góp ý kiến cho bài viết hoàn thiện hơn)

 

Hình 1

Một trust relationship trên Windows Server 2003 bao gồm 3 đặc tính sau:

1. Explicitly or Implicitly (tường minh hay ngầm định)

Explicitly trust là loại liên kết tường minh, do người quản trị thiết lập bằng tay. Ví dụ như shortcut trust, external trust.

Implicitly trust là loại liên kết ngầm định, do hệ thống thiết lập tự động. Ví dụ như parent/child trust, tree/root trust.

2. Transitive or Non-transitive (có tính bắc cầu hay không có tính bắc cầu)

Transitive trust là loại liên kết mà mối liên kết không chỉ giới hạn giữa hai domain tham gia trực tiếp mà còn mở rộng ra những domain liên quan. Quan sát hình 1, domain D trust trực tiếp domain E, còn domain E lại trust trực tiếp domain F và cả hai đều là transitive trust thì domain D cũng trust gián tiếp domain F và ngược lại. Transitive trust được hệ thống thiết lập tự động, một trong những ví dụ về loại trust này là parent/child trust (liên kết giữa domain cha và domain con).

Non-transitive trust có tính chất ngược với transitive trust, loại liên kết này chỉ giới hạn trong hai domain tham gia trực tiếp vào liên kết chứ không mở rộng ra các domain liên quan với hai domain đó. Non-transitive trust không được hệ thống thiết lập tự động. Ví dụ điển hình về non-transitive trust là external trust, liên kết giữa 2 domain thuộc 2 forest khác nhau.

3. Trust direction (chiều của liên kết)

Trong Windows 2003, có 3 loại trust direction: one-way incoming, one-way outgoing, two-way. Ví dụ như trên hình 1, ta thấy trust relationship giữa domain B và domain Q là một chiều (one-way). Đứng trên domain B, nếu ta thiết lập one-way incoming trust thì các đối tượng trên domain B sẽ được chứng thực trên domain Q; còn nếu ta thiết lập one-way outgoing trust thì các đối tượng trên domain Q sẽ được chứng thực trên domain B. Cuối cùng, nếu ta thiết lập two-way trust thì các đối tược trên cả hai domain sẽ được chứng thực trên domain đối phương.

Trên Windows 2000 thì liên kết trust chỉ có one-way và non-transitive. Do vậy, để tạo ra liên kết cho một hệ thống lớn, người quản trị cần thiết lập và quản lý nhiều trust relationship. Bắt đầu từ Windows 2003 thì trust relationship có 3 đặc tính trên đã đơn giản hóa công việc và giảm thiểu nhiều công sức quản lý cho người quản trị.

Các loại trust relationship

1. Tree/root trust: hệ thống tự thiết lập khi ta đưa thêm một tree root domain vào trong một forest có sẵn. Như hình 1, khi ta đưa tree của domain D vào forest 1. Ba đặc tính: implicitly, transitive và two-way.

2. Parent/child trust: hệ thống tự thiết lập khi ta đưa thêm một child domain vào trong một tree có sẵn. Như hình 1, khi ta dựng lên domain E là con của domain D, hoặc dựng domain F là con của domain E. Ba đặc tính: implicitly, transitive và two-way.

3. Shortcut trust: Được người quản trị thiết lập giữa hai domain trong cùng 1 forest để giảm bớt các bước chứng thực cho đối tượng. Ví dụ trong hình 1, khi chưa thiết lập shortcut trust giữa domain A và domain E thì các đối tượng bên domain A vẫn có thể được chứng thực trên E nhưng quá trình chứng thực phải đi qua các domain E – domain D – forest (root) – domain A. Để rút ngắn quá trình chứng thực, ta thiết lập shortcut trust giữa domain A và domain E để quá trình có thể diễn ra trực tiếp. Ba đặc tính: explicitly, transitive và có thể là one-way hay two-way.

Tính chất transitive của shortcut trust chỉ ảnh hưởng lên những domain con của 2 domain tham gia vào liên kết. Nghĩa là với shortcut trust giữa domain E và domain A, các đối tượng thuộc domain F và domain C cũng được rút ngắn giai đoạn chứng thực thông qua liên kết đó. Tuy nhiên, các đối tượng thuộc domain D và forest (root) là các domain cha của domain tham gia vào liên kết sẽ không được chứng thực thông qua liên kết.

Shortcut trust còn được gọi là cross-link trust.

4. Realm trust: được người quản trị thiết lập giữa một hệ thống không sử dụng hệ điều hành Windows và hệ thống domain Windows 2003. Điều kiện là hệ thống không sử dụng hệ điều hành Windows phải có giao thức chứng thực được hỗ trợ tương thích với giao thức Kerberos v5 của Windows 2003. Loại liên kết này giúp mở rộng khả năng liên kết của Windows tới các hệ thống khác. Ba đặc tính: explicitly, có thể là transitive hay non-transitive, one-way hay two-hay.

5. External trust: được người quản trị thiết lập để liên kết hai domain thuộc hai forest khác nhau để giảm bớt các bước chứng thực. Như trên hình 1, nếu ta lập forest trust giữa 2 forest thì domain B và domain Q vẫn có thể chứng thực các đối tượng cho nhau nhưng phải đi vòng lên forest root rồi mới qua bên đối phương. Còn nếu như đã thiết lập external trust giữa domain B và domain Q thì quá trình chứng thực sẽ diễn ra trực tiếp giữa 2 domain.

Ngoài công dụng trên, external trust còn hỗ trợ chức năng tương thích ngược giữa domain Windows 2003 và domain Windows NT để domain Windows 2003 có thể chứng thực cho các đối tượng thuộc domain Windows NT. Ba đặc tính: explicitly, non-transistive và có thể là one-way hay two-way.

6. Forest trust: được người quản trị thiết lập giữa 2 forest. Bắt đầu hỗ trợ từ Windows 2003. Đây là phương pháp hữu hiệu và ngắn gọn để chứng thực cho các đối tượng thuộc domain của cả 2 forest. Trên hình 1. khi forest trust được thiết lập ở 2 forest thì các đối tượng thuộc bất kì domain ở 1 trong 2 forest đều có khả năng được chứng thực trên domain của forest đối phương. Ba đặc tính: explicitly, transitive và có thể là one-way hay two-way.

Tuy nhiên tính chất transitive trong forest trust chỉ mở rộng xuống các domain trong forest mà không mở rộng ra các domain liên quan. Ví dụ forest 1 trust trực tiếp forest 2, forest 2 trust trực tiếp forest 3 và các trust relationship là transitive thì cũng không vì thế mà forest 1 trust gián tiếp forest 3.

Khi chúng ta tạo ra một trust relationship thì các thông tin về liên kết đó sẽ được lưu lại trong Active Directory của cả 2 domain tham gia liên kết để có thể được truy vấn khi cần thiết. Mỗi trust relationship được đại diện bởi 1 trust domain object (TDO). TDO sẽ lưu trữ thông tin về transitivity, direction, …

Ngoài ra forest trust TDO còn chứa thông tin về tất cả các namespace của các domain bên kia. Thông tin đó bao gồm:

1. Những tên domain tree.

2. Các services principle name (SPN) suffix giúp xác định máy tính giữ các dịch vụ trong cả 2 forest.

3. Security ID (SID).

Trên Windows 2003, các đối tược được chứng thực trong trust relationship sử dụng giao thức Kerberos v5 hay NTLM. Kerberos v5 là giao thức mặc định trong Windows 2003. Nếu như trong mối liên kết có 1 domain không hỗ trợ giao thức Kerberos v5 thì hệ thống mới chuyển qua NTLM.

Hoạt động của trust relationship trong một forest

Hình 2

Khi user muốn truy cập vào 1 tài nguyên thuộc domain khác, hệ thống sẽ dùng cơ chế chứng thực Kerberos v5. Kerberos sẽ xác định xem domain chứa tài nguyên user cần truy cập (trusting domain) có bất kì trust relationship nào với domain chứa user account, domain mà user logon (trusted domain). Kerberos sẽ xác định TDO có liên quan đến trusted domain trong Active Directory, tìm thông tin về đường link ngắn nhất giữa 2 domain, tìm thông tin về domain controller trong trusted domain. Sau đó, domain controller của trusted domain sẽ cấp sevices ticket tức là thông tin về user có liên quan đến services (dịch vụ) mà user yêu cầu truy cập cho cho trusting domain. Ví dụ domain B truy cập tài nguyên giữa domain C trong hình 2

Tuy nhiên, trong phạm vi 1 forest các user có thể truy cập tài nguyên thuộc domain khác trong forest mà không cần thiết lập bất kì trust relationship nào. Khi user logon trên một domain và yêu cầu truy cập đến tài nguyên thuộc domain khác, yêu cầu được đưa về domain controller của domain mà user logon, rồi dựa vào parent/child trust để đưa yêu cầu lên domain cha rồi dựa vào parent/child trust và tree/root trust để đưa yêu cầu đến domain chứa tài nguyên. Ví dụ trong hình 2, user thuộc domain C muốn truy cập tài nguyên thuộc domain 2 thì yêu cầu được gửi về domain A, gửi qua domain 1 và tới domain 2.

Hoạt động của trust relationship giữa các forest

Hình 3

Trên nền Windows 2003 hỗ trợ liên kết trust giữa các forest. Khi user muốn truy cập tài nguyên thông qua forest trust, Asctive Directory xác định domain chứa tài nguyên đó, sau đó mới cấp quyền cho user truy cập tài nguyên. Quá trình gồm các bước sau đây:

1. User logon trên domain vancouver.nwtraders.msft muốn truy cập một thư mục được chia sẻ trên contoso.msft forest. Máy tính user logon sẽ liên lạc với KDC trên domain controller của vancouver.nwtraders.msft và xin một services ticket mà có chứa thông tin SPN của máy tính chứa thư mục bên contoso.msft forest. SPN có thể là DNS name của máy chứa tài nguyên, domain hay là tên riêng của dịch vụ triển khai riêng trên máy đó.

2. Do tài nguyên không nằm trên vancouver.nwtraders.msft nên domain controller của vancouver.nwtraders.msft sẽ truy vấn global catalog để kiểm tra xem tài nguyên có nằm ở domain khác trong forest hay không.

Kết quả là global catalog không tìm thấy thông tin được yêu cầu vì nó chỉ chứa thông tin trong nội bộ forest. Sau đó global catalog sẽ kiểm tra trong database về thông tin của các forest khác đã thiết lập trust relationship với nó. Nếu global catalog tìm thấy thông tin hợp lệ, nó sẽ so sánh name suffix trong TDO của forest trust với SPN của yêu cầu từ máy user. Sau khi xác nhận trùng khớp, global catalog cung cấp cho domain controller của vancouver.nwtraders.msft thông tin để xác định vị trí tài nguyên ở forest bên kia.

3. Domain controller của vancouver.nwtraders.msft cung cấp thông tin về vị trí tài nguyên ở forest bên kia và kêu máy của user liên lạc với domain cha nwtraders.msft

4. Máy của user liên lạc với domain controller của nwtraders.msft để lấy thông tin về forest root domain controller của contoso.msft

5. Sau khi nhận được thông tin do domain controller nwtraders.msft trả về, máy user liên lạc với domain controller của contoso.msft forest để xin service ticket cho service (dịch vụ) cần truy cập.

6. Do tài nguyên không nằm trên forest root domain contoso.msft, domain controller sẽ truy vấn global catalog tìm thông tin phù hợp với SPN được yêu cầu.

7. Domain controller sẽ gửi câu trả lời cho máy user, chuyển hướng truy vấn về seattle.consoto.msft

8. Máy user sẽ liên lạc với KDC trên domain controller của seattle.consoto.msft và thỏa thuận một ticket để user có thể truy cập tài nguyên trên domain seattle.consoto.msft

9. Máy user sẽ gửi service ticket cho server chứa tài nguyên xác nhận chứng thực của user và quyền hạn tương tác trên tài nguyên.

 

© 2012, Quản trị mạngNguồn: nhatnghe.

VN:F [1.9.17_1161]
Rating: 10.0/10 (2 votes cast)
VN:F [1.9.17_1161]
Rating: +2 (from 2 votes)
Tổng quan về TRUST RELATIONSHIP Phần 1, 10.0 out of 10 based on 2 ratings
Post a Comment 

You must be logged in to post a comment.