jueves, 1 de marzo de 2018

XI - Relaciones de confianza

Cuando varios dominios comparten un esquema y un catálogo global comunes se denomina bosque. Si varios dominios tienen nombres de dominio DNS contiguos, a dicha estructura se le denomina árbol de dominios.

Recordemos que el esquema son un conjunto de reglas básicas que definen las clases de objetos y los atributos contenidos en el directorio (restricciones en instancias, límites, formato de nombres, ...) y el catálogo contienen información sobre cada objeto del directorio permitiendo a los usuarios encontrar información independientemente del dominio que contienen los datos.

ÁRBOLES DE DOMINIO


El primer dominio de un árbol se denomina dominio raíz. Los dominios adicionales del mismo árbol de dominios se denominan dominios secundarios o subdominios. Un dominio que se encuentra inmediatamente encima de otro dominio del mismo árbol se denomina dominio principal del dominio secundario.
Todos los dominios que comparten el mismo dominio raíz forman un árbol de dominios y constituyen un espacio de nombres contiguo.
Los dominios de Windows Server 2008 que forman parte de un árbol están unidos entre sí mediante relaciones de confianza transitivas y bidireccionales. Estas relaciones de confianza permiten que un único proceso de inicio de sesión sirva para autenticar un usuario en todos los dominios del bosque o del árbol de dominios. Esto no quiere decir que el usuario tenga permisos y derechos en todos los dominios del árbol puesto que un dominio es un límite de seguridad y por tanto habría que conceder derechos o permisos para cada dominio.

1. Bidireccional Transitiva entre Dominio Principal y Dominio Secundario.
2. Bidireccional Transitiva entre Dominio Raíz del bosque y Dominio Raíz de un Árbol del Bosque

BOSQUES

Un bosque esta formado por uno o varios árboles de dominio. Los árboles de dominio de un bosque no constituyen un espacio de nombres contiguo, pero podría ocurrir que hubiese dos árboles en un bosque con nombres de subdominio iguales, por ejemplo el subdominio contabilidad del árbol miempresa.com (contabilidad.miempresa.com) y el subdominio contabilidad del árbol miotraempresa.com (contabilidad.miotraempresa.com).
Los bosques no tienen ningún dominio raíz propiamente dicho. El dominio raíz de un bosque por convenio es el primer dominio que se creó en el bosque. Los dominios raíz de todos los árboles de dominio del bosque establecen relaciones de confianza transitivas con el dominio raíz del bosque.
Todos los dominios de todos los árboles de dominio de un bosque comparten las siguientes características:
  • Relaciones de confianza transitivas entre los dominios
  • Relaciones de confianza transitivas entre los árboles de dominio
  • Un esquema, un catálogo global e información de configuración común

El uso de bosques y arboles de dominio da flexibilidad al permitir sistemas de espacios contiguos (árboles) y no contiguos (bosques). Esto puede ser muy útil por ejemplo en el caso de organizaciones que tienen divisiones independientes que necesitan conservar sus propios nombres DNS.

RELACIONES DE CONFIANZA

Las relaciones de confianza se crean automáticamente entre dominios adyacentes (dominio principal y sus secundarios) cuando se crea un dominio en un árbol de dominios.
En un bosque se crean automáticamente relaciones de confianza entre el dominio raíz del bosque y el dominio raíz de cada árbol de dominio que se agrega al bosque (como dichas relaciones de confianza son transitivas, los usuarios y equipos podrán autentificarse en cualquier dominio del bosque o del árbol de dominios).

CONFIANZAS ENTRE DOMINIOS

Una confianza entre dominios es una relación que se establece entre los dominios y que permite a los usuarios de un dominio ser autentificados por un controlador de dominio de otro dominio. Las solicitudes de autentificación siguen una ruta de confianza. Para que un usuario pueda tener acceso a un recurso de otro dominio, el sistema de seguridad de los controladores de dominio debe determinar si el dominio de confianza o confianza de salida - dominio donde inicia la sesión el usuario,  tiene una relación de confianza con el dominio que confía o confianza entrante - dominio que contiene el recurso al que el usuario intenta obtener acceso. Para determinarlo el sistema de seguridad calcula la ruta de confianza entre el controlador de dominio que confía y el controlador del dominio de confianza.

Ruta de confianza de una Relación Unidireccional
La relaciones de confianza entre dominios pueden ser:
  • Unidireccional.
  • Bidireccional
  • Transitiva
  • Intransitiva
  1. Confianza Unidireccional. Entre dos dominios A y B implica que los usuarios del dominio A pueden acceder a los recursos del dominio B pero los usuarios del dominio B no pueden acceder a los recursos del dominio A. Las relaciones de confianza unidireccionales pueden ser transitivas o intransitivas.
  2. Confianza Bidireccional. Entre dos dominios A y B implica que los usuarios del dominio A pueden acceder a los recursos del dominio B y los usuarios del dominio B pueden acceder a los recursos del dominio A.
  3. Confianza Transitiva. Si un dominio A tiene confianza transitiva en un dominio B y éste la tiene con otro dominio C, esto implicaría que el dominio A también la tiene con el dominio C. Dicho de otra forma que la relación de confianza se puede extender más allá de los dominios donde se formó. De forma predeterminada las confianzas entre dominios de un bosque  de Windows Server 2008 son transitivas.
  4. Confianza Intransitiva. En este caso la relación está limitada por los dominios de la relación y no se puede extender a ningún otro dominio del bosque. Por defecto las confianzas intransitivas son unidireccionales aunque también podrían ser bidireccionales si se crean dos relaciones unidireccionales.
CONFIANZAS EXPLÍCITAS ENTRE DOMINIOS

Son relaciones de confianza que crean los propios usuarios en vez de crearse automáticamente durante la instalación del controlador de dominio. Para crear una confianza explícita se deben conocer los nombres de dominio y una cuenta de usuario con permiso para crear confianzas en cada dominio. A cada confianza se le asigna una contraseña que debe conocer el administrador de ambos dominios de la relación.
Hay cuatro clases de confianzas explícitas:
  • Confianza externa. Permite a los usuarios acceder a recursos ubicados en un dominio de un bosque separado que no está unido por una confianza de bosque.
  • Confianza de dominio Kerberos. Permite establecer una relación de confianza entre un dominio Kerberos que no sea de Windows  (Unix por ejemplo) y un dominio de Windows Server 2008.
  • Confianza de bosque. Se crean entre los dominios raíz de distintos bosques. Esta relación dará lugar a una relación de confianza transitiva unidireccional o bidireccional entre los dominios que residan en cada bosque.
  • Confianza abreviada. En algunos casos los dominios de los recursos quedan muy alejados de los dominios de los usuarios y la autentificación se hace lenta y poco eficiente. Este tipo de relaciones optimizan el rendimiento al acortar la ruta de confianza que la seguridad de Windows Server 2008 utiliza en la autentificación. Por defecto son unidireccionales.

4. Relación Bidireccional  Transitiva entre Bosques (manual)



3. Relación de confianza abreviada en en un Bosque