Una relación de confianza permite a los usuarios autenticarse en los recursos de otro dominio. Puede ser unidireccional o bidireccional. Para configurarla, se establece una relación de confianza saliente en un dominio y una relación de confianza entrante en el otro dominio, utilizando una contraseña de confianza. Esto permite el acceso compartido de cuentas y recursos entre dominios.
2. Una relación de confianza se trata de de
una relación mediante la cual un usuario
se puede autentificar, aparte de en los
recursos de su propio dominio, en los
recursos del dominio o bosque con el cual
se establece este tipo de relación. Por
defecto los dominios dentro de un mismo
bosque se crean con una relación de
confianza implícita entre ellos.
3. Para configurar nuevas relaciones de
confianza o ver las que están actualmente
establecidas y con que características se
puede realizar a través de la línea de
comando con NETDOM o por la consola
Dominios y confianzas de Active Directory
desde también podremos crear una nueva
confianza mediante un asistente grafico que
nos guiara por todos los pasos necesarios
que lo hará mucho menos tedioso que
usando NETDOM. En Dominios y confianzas
de Active Directory debemos ir a
Propiedades, Confía en del dominio en
cuestión donde podemos tanto ver las
relaciones existente como crear una nueva.
4.
5.
6. Las relaciones de confianza pueden ser
unidireccionales o bidireccionales es
decir que pueden funcionar en un
sentido solo o en ambos. Se considera
relación de entrada cuando los
usuarios del dominio o bosque en que
la configuramos pueden ser
autentificados por el otro dominio
mientras que se considera de salida
cuando en el dominio que la
configuramos se pueden autentificar
usuarios de otro dominio o bosque.
9. La confianza explícita no transitiva
unidireccional es la única forma
posible de confianza en los siguientes
casos:
Un dominio Windows 2000 con un dominio
Windows NT.
Un dominio Windows 2000 en un bosque
con un dominio Windows 2000 en otro
bosque.
Un dominio Windows 2000 y un área MIT
Kerberos V5 que permite a un cliente de un
área de Kerberos autenticar a un dominio
de Active Directory para acceder a los
recursos de red de ese dominio.
10.
11. También es posible configurar si
queremos que la autenticación se pueda
realizar en todos los recursos del dominio
(domain-wide) o bien si la queremos
hacer selectiva (selective) de forma que
solo se pueda realizar en unos
determinados servidores que
especifiquemos. De igual manera
podemos seleccionar si la relación de
confianza queremos que sea transitiva o
intransitiva, si elegimos que sea transitiva
también se confiara en dominios que a su
vez confíe en ellos el dominio con el que
tenemos establecida el trust transitivo.
12.
13. Según se confíe en un forest, dominio de NT4
o de directorio activo o un realm de Kerberos,
dominio no-windows con autenticación
Kerberos), se pueden establecer distintos
tipos de trust:
Externo (external trust): es el tipo de confianza
mas habitual, es siempre intransitiva y se
puede configurar tanto unidireccional como
bidireccionalmente. Este tipo de confianza se
realizar entre dominios en bosques distintos o
bien con un dominio de NT4. Por ejemplo si
queremos realizar una migración de usuarios
desde un dominio de Windows NT 4 utilizando
ADMT deberemos establecer una confianza
externa bidireccional entre el dominio de NT y
el dominio de directorio activo al que
pretendemos migrar los usuarios.
14. Bosque: como su nombre indica en lugar de
realizarse entre dominios aquí la relación se
establece a nivel de bosque de forma que se
compartirán recursos entre ambos bosques.
Este tipo de trust que siempre es transitiva y
se puede realizar tanto unidireccional o
bidireccionalmente se trata de una novedad de
Windows Server 2003 por lo que solo se puede
realizar si el nivel funcional de bosque de
ambos dominios es de 2003.
Territorio: este tipo de implantación se da
raramente y sirve para interoperar con otros
dominios no-windows que usen el protocolo
Kerberos v5 para la autenticación como por ej.
MIT Kerberos domains.
15. Acceso directo: dentro de un bosque
se crea implícitamente tanto en
dominios con nivel Windows 2000
como Windows Server 2003 una
relación de confianza bidireccional
entre dominios padres e hijos (parent-
child) y de raíz con los árboles (root-
tree) de forma que todos los dominios
confianza entre sí.
16. Pero si tenemos muchos dominios esto
puede funcionar notablemente lento ya
que ha de recorrer desde los dominios
que se realiza hasta el raíz del bosque,
con este tipo de relación se estable una
relación de confianza directa entre
ambos dominios de forma que funcione
de la forma mas rápida posible. Este tipo
de confianza es siempre transitiva de
forma que también puede beneficiar a
otros dominios hijos de los que la forman
y se puede configurar como
unidireccional o bidireccional.
17. Tanto si realizamos la confía a través de
NETDOM como del asistente se debe
crear la confianza en ambos extremos, en
una como saliente y en otro como
entrante o en ambos como bidireccional,
cuando la configuramos en el primer
extremo se nos solicitara una contraseña
de confianza que deberemos facilitar
cuando se cree en el segundo extremo. Al
finalizar el proceso de creación de
relación se nos pedirá que se confirme si
ya se ha creado la relación en el otro
extremo para así intentar establecer o no
la relación.
18.
19. En cuanto a la configuración de DNS para
realizar un trust lo mas recomendable es
crear una zona secundaria del otro
dominio o dominio raíz del bosque con el
que se creara la confianza en el dominio
de origen, de esta forma se evitaran gran
numero de errores que se producen si se
crean reenviadores o utilizan otras
técnicas. Para verificar los dominios en
los que una maquina confía podemos
hacer uso de la herramienta de línea
comando NLTEST.exe que se incluye en
las support tools.
20. CONCLUSIÓN:
Para crear una relación de confianza debemos
considerar que existen
dos dominios, A y B. Inicialmente nos situamos
en el dominio A el cual
será el "dominio de confianza". El dominio B
será el "dominio en el
que se confía". Cuando los dominios están
unidos por dos relaciones de confianza en
ambos sentidos las cuentas y los recursos son
administrados en cada
dominio pero los usuarios con cuentas en cada
dominio pueden tener
acceso a recursos en el otro dominio.