miércoles, 30 de marzo de 2022

XI - Relaciones de confianza

El esquema y el catálogo

El esquema son un conjunto de reglas básicas que definen las clases de objetos y los atributos contenidos en el directorio (restricciones en instancias, límites, formato de nombres, etc.)

El catálogo contiene información sobre cada objeto del directorio permitiendo a los usuarios encontrar información independientemente del dominio del bosque donde se encuentren

Árbol de dominio

El primer dominio de un árbol se denomina dominio raíz mientras que los dominios adicionales del mismo árbol se denominan dominios secundarios o subdominios. Un dominio que se encuentra inmediatamente encima de otro dominio del mismo árbol se denomina dominio principal del dominio secundario.

Todos los dominios que comparten el mismo dominio raíz forman un árbol de dominios y constituyen un espacio de nombres contiguo. Ademas comparten un esquema y un catálogo global comunes.

Bosque

Formado por uno o varios árboles de dominio. Los bosques no tienen ningún dominio raíz propiamente dicho, aunque por convenio podría considerarse el primer dominio que se creó en el bosque.

Aunque los árboles de dominio de un bosque no comparten espacios de nombres contiguos, puede sucedeer que dos árboles del mismo bosque posean un subdominio que se llame igual.

Ejemplo, un bosque donde hay dos árboles el arbol formado por el dominio raiz miempresa.com del que cuelga el subdominio contabilidad [contabilidad.miempresa.com] y el árbol formado por el dominio raiz miotraempresa.com del que cuelga un subdominio diferente que también se llama contabilidad [contabilidad.miotraempresa.com]

El uso de bosques y arboles de dominio da flexibilidad al permitir sistemas de espacios contiguos (árboles) y no contiguos (bosques). Esto puede ser muy útil por ejemplo en el caso de organizaciones que tienen divisiones independientes que necesitan conservar sus propios nombres DNS.

Relación de confianza. Funcionamiento

Una relación de confianza se establece entre 2 dominios y permite a los usuarios de un dominio ser autentificados por el controlador de otro dominio. Las solicitudes de autentificación siguen una ruta de confianza.

Cuando el usuario de un dominio trata de acceder a un recurso de otro dominio, el sistema de seguridad de los controladores de dominio debe determinar si el dominio de confianza o confianza de salida [dominio donde inicia la sesión el usuario] tiene una relación de confianza con el dominio que confía o confianza entrante [dominio que contiene el recurso al que el usuario intenta obtener acceso]

Para determinarlo el sistema de seguridad calcula la ruta de confianza entre el controlador de dominio que confía y el controlador del dominio de confianza.

Clasificación de las relaciones

Teniendo en cuenta la ruta de confianza de una relación y si esa confianza se queda solo entre los miebros de la relación o se puede ampliar a algun miembro más podemos tener las siguientes confianzas

Unidireccional

Los usuarios del dominio A pueden acceder a los recursos del dominio B pero los usuarios del dominio B no pueden acceder a los recursos del dominio A.
 
Ruta de confianza Unidireccional
Bidireccional

Los usuarios del dominio A pueden acceder a los recursos del dominio B y los usuarios del dominio B pueden acceder a los recursos del dominio A.

Transitiva

Cuando un dominio A confía en un dominio B y éste a su vez confía en un tercer dominio C, la transitividad implica que el dominio A pasa a confiar también en el dominio C.

Las confianzas implícitas (predeterminadas) de dominios en un bosque son todas transitivas

Intransitiva

En este caso la relación se limitada a los dominios A y B y no se establece ninguna confianza "extra" con A en el caso de que B confiase en un tercer dominio

Relaciones de confianza implícitas

Son relaciones bidireccionales y transitivas que se crean Automáticamente entre dominios adyacentes, por ejemplo entre un dominio principal y otro secundario [1] o entre el dominio raíz del bosque y un dominio raiz de un árbol del bosque [2].

Las relaciones de confianza en el bosque permiten que un único proceso de inicio de sesión sirva para autenticar un usuario en todos los dominios del árbol de dominios o bosque. Esto no significa que el usuario tenga permisos y derechos para hacer lo que quiera fuera de los límites del dominio al que pertenece siendo labor administrativa concederselos si es el caso.

El hecho de que haya transitividad en las relaciones implica que usuarios y equipos pueden autentificarse en cualquier dominio del bosque.
1.Relaciones bidireccionales y transitivas entre dominios y subdominios
2. Relaciones bidireccionales y transitivas entre dominios raiz de árboles 

Relaciones de confianza explícitas

No se crean automáticamente y en este caso, en pricipio, las crean los administradores de los dominios por diferentes razones. Para crearlas es necesario:
  • Conocer los nombres de dominio
  • Una cuenta de usuario auxiliar que intercambian los administradores para poder gestionar los permisos sobre un recurso al que va a acceder usuarios de un dominio externo  
  • Una contraseña que deben conocer los administradores de ambos dominios que quieren establecer la relación de confianza.
Tipos de confianzas explícitas

Entendiendo como confianza explícita aquella que se crea de forma manual, bien entre dominios del mismo bosque o bien entre dominios de bosques diferentes se tienen la siguientes relaciones:

Confianza externa

Se crea entre dominios de bosques diferentes permitiendo a los usuarios acceder a recursos ubicados en un dominio de un bosque que no es el suyo y no está unido por una confianza de bosque. 

Confianza de bosque

Se crea entre dominios raíz de bosques diferentes. Esta relación dará lugar a una relación de confianza transitiva unidireccional o bidireccional entre los dominios que residan en cada bosque.

Confianza de bosque bidireccional y transitiva
Confianza abreviada

Se crea entre dos dominios de un bosque. En algunos casos en un bosque puede ocurrir que los dominios de los recursos queden muy alejados de los dominios de los usuarios y la autentificación se haga lenta y poco eficiente. Este tipo de relaciones optimizan el rendimiento al acortar la ruta de confianza que la seguridad de Server utiliza en la autentificación (por defecto son unidireccionales).
Confianza abreviada
Confianza de dominio Kerberos

Permite establecer una relación de confianza entre un dominio Kerberos que no sea Windows (Unix por ejemplo) y un dominio de Windows Server.