分类: 系统运维
2011-10-19 23:28:40
信任的配置是多域、多林的域网络管理中必不可少的一步,下面先来了解一下Windows Server 2003域中信任的相关知识,然后介绍各种信任关系的创建与管理。
1. 信任类型在Windows Server 2003域中,包括两类:默认信任和非默认信任。默认信任是在使用“Active Directory安装向导”时所创建的两个信任:父域与子域间(父—子之间)的双向可传递信任,以及同一林中树根间(同林树根之间)的双向可传递信任。如本实验中的BeiJing.lycb.local和ShangHai.lycb.local两个子域与lycb.local父域之间就具有默认的双向可传递信任,无需另外创建这种信任关系。假设在与lycb.local同一林中有另外一个域树grfw.com,这样在这两个域树之间的树根处就具有默认的双向可传递的信任关系。默认创建的信任是不可删除的。
【经验之谈】“域根”是域名最后的一个小圆点(.)。事实上每个域名的最后都有一个小圆点,只是在书写时这个小圆点被忽略了。如lycb.local,实际上应写成lycb.local.,而grfw.com则应写成grfw.com.。这个最后的小圆点就是对应域的域根。而对于域树中的第一个域的“域根”就是“树根”,而对于林中的第一个域的“域根”就是“林根”。同一林的两个域树中,从树根处就建立了默认的信任,而且是可传递的。有关信任的可传递性将在本节后面介绍。
在纯Windows Server 2003的单域树网络中,可以仅使用前面介绍的两种默认信任即可。但在有其他域系统(如早期的Windows NT 4.0系统,使用Kerbero身份验证协议的非Windows系统)、多林环境时可能还需要使用其他的四种非默认信任。在使用“新建信任向导”或Netdom命令行工具时,可创建其他四种类型的信任:外部信任、领域信任、林信任和快捷信任。表2-2中定义了这些信任,它们都是可以删除的。
表2-2 非默认的四种信任
|
信任类型 |
传递性 |
方向 |
说明 |
|
外部信任 |
不可传递 |
单向或双向 |
在Windows Server 2003域与Windows NT 4.0、Windows 2000域中,或者处不同林中的Windows Server 2003域之间创建,以便访问这些域的资源。 |
|
领域信任 |
不可传递 |
单向或双向 |
在Active Directory域与非Windows Kerberos领域之间创建。 |
|
林信任 |
可传递 |
单向或双向 |
在Windows Server 2003林功能级别的林根域间创建。使用林信任可在各个林之间共享资源。如果林信任是双向信任,则任一个林中的身份验证请求都可以到达另一个林。 |
|
快捷信任 |
可传递 |
单向或双向 |
在同一个域树或者同一林中的域之间直接创建信任,而不用沿着信任路径来进行身份验证。使用快捷信任可改善Windows Server 2003林内的两个域之间的用户登录时间。当两个域被两个域树分隔开时,这是很有用的。 |
在创建外部信任、快捷信任、领域信任或林信任时,可以选择单独创建信任的每一方,或同时创建信任的双方。如果选择单独创建信任的每一方,则需要运行两次“新建信任向导”,为每个域运行一次。当使用此方法创建信任时,需要为每个域提供相同的信任密码。如果选择同时创建信任的双方,则只需要运行一次“新建信任向导”。当选择这种信任创建方式时,系统将自动为您生成强信任密码。当然,您需要对在其间创建信任的每个域拥有适当的管理凭据。
还可以使用Netdom.exe来创建信任,具体使用方法参见帮助系统。
2. 信任传递性有的域信任关系具有传递性,而有的不具有传递性。传递性确定了信任是否可扩展到建立信任的两个域之外。可传递信任用于将信任关系扩展到其他域,而非传递信任用于拒绝与其他域之间的信任关系。
l 可传递信任
每次在林中创建新的域时,在新域及其父域之间会自动创建双向的可传递信任关系。如果子域被添加到新的域中,则信任路径将通过域层次向上流动,从而扩展到新域与其父域之间创建的初始信任路径。
可传递信任关系将以域树形成时的方向沿域树向上流动,最终在域树中的所有域之间创建可传递信任。身份验证请求遵循这些信任路径,因此来自林的任何域中的帐户可在林中的任何其他域中进行验证。通过单点登录进程,拥有相应权限的帐户可访问林中任何域上的资源。
如图2-20是一个可传递信任的示例。它显示域树A中的所有域和域树1中的所有域在默认情况下具有可传递信任关系。因此,当对资源指派适当的权限后,域树A中的用户可以访问域树1中的资源,域树1中的用户可以访问域树A中的资源。但是对于不同域树的不同子域之间就不具有默认可传递信任关系了。如图中的域C与域D,或者域E与域3等都不具有默认的信任关系了,这一点要特别注意。在图中只是因为域A、域B、域C,或者域A、域D、域E之间,或者域1、域2、域3之间,以及域3、域2、域1、域A、域B、域C间,或者域3、域2、域1、域A、域D、域E间具有可传递双向信任关系。后面两种信任关系是由于在域A与域1这两个域树之间建立了双向信任关系,然后再结合同一域树中的父与子域之间形成的默认信任关系而形成的。
图2-20 可传递信任示例
信任的可传递性可以用一现实中的例子来比喻。假设小王与小张是好朋友,相互信任,而小张与小李又是好朋友,也相互信任,这样一来,小王就与小李也是好朋友,相互信任的。这就是一种信任的传递。
除了Windows Server 2003林中建立的默认可传递信任之外,还可以使用“新建信任向导”手动创建下列可传递信任。
Ø 快捷信任:在相同域树或林中的域之间的可传递信任,用于缩短大型复杂的域树或林中的信任路径。
Ø 林信任:在林根域和第二个林根域之间的可传递信任。
Ø 领域信任:在Active Directory域与Kerberos V5领域之间的可传递信任。
【注意】可传递林信任只有在Windows Server 2003林功能级别模式下才能创建,因为可传递信任是Windows Server 2003域网络的新特性,在Windows 2000系统中是没有的。
l 非传递信任
非传递信任受信任关系中的两个域的约束,并不流向林中的任何其他域。但非传递信任可以是双向信任或单向信任。非传递信任默认为单向信任关系,但您也可通过建立两个单向信任来建立一个双向关系。总的来说,不可传递域信任是以下各项之间唯一的信任关系形式:
Ø Windows Server 2003域和Windows NT域
Ø 一个林中的Windows Server 2003域和另一个林中的某个域
如本实验中,假设同处于一个林中的BeiJing.lycb.local和ShangHai.lycb.local两个子域建立了信任,但它们的信任关系不具有可传递性,不可继续向两个子域下的上级域传递。
总体而言,可以使用“新建信任向导”手动创建下列非传递信任:
1)外部信任
在Windows Server 2003域和Windows NT域,或另一个林中的Windows Server 2003域,或Windows 2000域之间创建的信任都是非传递信任。也就是说,Windows Server 2003域不会与Windows NT域和Windows 2000域之间默认建立信任关系,即使它们在同一个林中。同时Windows Server 2003的两个林之间也不会默认建立信任关系。
当把Windows NT域升级到Windows Server 2003域时,所有现有的Windows NT信任都保持不变。在Windows Server 2003域和Windows NT域之间的所有信任关系都是不可传递的。
2)领域信任:在Active Directory域和Kerberos V5领域之间的非传递信任。
3. 信任方向信任类型(包括“可传递信任”和“非传递信任”两大类)及其信任指派的方向(也就是“信任方向”)将影响进行身份验证所用的信任路径。信任路径是身份验证请求在域之间必须遵循的一组信任关系。在用户可以访问另一个域中的资源之前,运行Windows Server 2003的域控制器上的安全系统必须确定信任域(含有用户试图访问的资源的域)和受信任域(用户的登录域)之间是否有信任关系。为此,安全系统将计算信任域中的域控制器和受信任域的域控制器之间的信任路径。在图2-21中,信任路径是由显示“信任方向”的箭头标出的,即“信任域”信任“受信任域”(只是单向的)。信任方向是由信任域指向受信任域的,但访问方向则相反,则是由受信任域到信任域的。
图2-21 信任方向示例
l 单向信任
单向信任是两个域之间创建的单向身份验证路径。这意味着在域A和域B之间的单向信任中,域A中的用户可以访问域B中的资源,但是域B中的用户不能访问域A中的资源,或者反之。如图2-21的示例中,就是单向信任示例,只是“信任域”信任“受信任域”,允许“受信任域”的用户访问“信任域”中的资源,而不能由“信任域”中的用户访问“受信任域”中的资源。但是单向信任也可以是“可传递信任”,或者“非传递信任或”。
l 双向信任
Windows Server 2003同一林中的所有域信任都是双向、可传递信任。创建新的子域时,双向可传递信任在新的子域和父域之间自动建立。如图2-22所示的就是一个双向信任示例:在双向信任中,域A信任域B,且域B信任域A。这意味着身份验证请求可按两种方向(由域A到域B,或者由域B到域A)在两个域之间传递。双向信任也可以是“可传递信任”或者“非传递信任”。
图2-22 双向信任示例
Windows Server 2003可以建立与下列各域之间的单向或双向信任:
1)同一林中的Windows Server 2003域
2)不同林中的Windows Server 2003域
3)Windows NT 4.0域
4)Kerberos V5领域:可以在任何非Windows Kerberos V5领域和Windows Server 2003域之间建立领域信任。该信任关系允许与基于其他Kerberos V5版本(例如Linux和UNIX系统)的安全服务之间进行跨平台的互操作。领域信任可以从不可传递切换为可传递,并可反向切换。领域信任也可以是单向的或双向的。
【说明】通过前面的介绍,我们已经知道,在Windows Server 2003域网络中可以创建多种信任关系,但对于大多数企业网络来说,基本上都是建立都是Windows域或林的外部信任关系,而不会涉及到与非Windows系统Kerberos V5领域之间的邻域信任关系。而且对于Windows NT域,现在更是基本上没有了,所以本节仅以都是Windows Server 2003的域网络之间的外部信任关系,或者林信任创建为例介绍各种信任关系的创建。
本文摘自《(金牌网管师——大中型企业网络组建》第二章
