1. Trang chủ
  2. » Luận Văn - Báo Cáo

Trust Relationship

47 980 2
Tài liệu đã được kiểm tra trùng lặp

Đang tải... (xem toàn văn)

Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống

THÔNG TIN TÀI LIỆU

Thông tin cơ bản

Định dạng
Số trang 47
Dung lượng 2,8 MB

Nội dung

Trust relationship là một liên kết luận lý được thiết lập giữa các hệ thống domain, giúp cho cơ chế chứng thực giữa các hệ thống domain có thể được thừa hưởng lẫn nhau. Trust relationship giải quyết

Trang 1

“TÌM HIỂU VỀ TRUST RELATIONSHIP”

Giảng viên hướng dẫn :Sinh viên thực hiện: Lớp :

Khóa:

Trang 2

“TÌM HIỂU VỀ TRUST RELATIONSHIP”

Giảng viên hướng dẫn :Sinh viên thực hiện: Lớp :

Khóa:

Trang 3

Trong đồ án này nhóm chúng em sẽ nghiên cứu về các loại trust và chức năng hoạt động của từng loại cũng như ý nghĩa của chúng được áp dụng trong thực tế như thế nào.

Nội dung của đồ án này như sau :

Chương I : Tổng Quan về Active Directory Chương II : Trust Relationship

Chương III : Lab Demo

Trang 4

LỜI CẢM ƠN

Trước tiên nhóm chúng em xin cảm ơn thầy Hoàng Đình Hạnh đã giúp chúng em hoàn thành đồ án học phần 1 Trong quá trình thực hiện đồ án thầy đã nhiệt tình hướng dẫn và chỉ bảo những điểmcòn thiếu và sai sót trong quá trình thực hiện đồ án này Ngoài ra nhóm chúng em cũng xin cảm ơn Khoa Khoa Học và Kỹ Thuật Máy Tính đã hỗ trợ rất nhiều cho sinh viên chúng em trong quá trình thực hiện đồ án học phần

Trang 5

NHẬN XÉT(Của giảng viên hướng dẫn)

Trang 6

NHẬN XÉT(Của giảng viên phản biện)

Trang 7

MỤC LỤC

Mở đầu :

Chương I : Tổng Quan Về Active Directory

2 Các thành phần trong Active Directory 3

Chương II : Trust Relationship

I Khái niệm về trust relationship

1 Tìm hiểu về Trust Relationship

2 Mối quan hệ tin cậy trong hệ điều hành Windows 2000

Server,Windows Server 2003 và Windows Server 2008 6

3 Tin tưởng giao thức (Trust protocols) 7

4 Trusted miền đối tượng (Trusted domain objects) 7

II Các đặc tính của trust relationship

IV Các họat đông của Trust Relationship

1.Hoạt động của Trust Relationship trong một forest 15

2.Hoạt động của Trust Relationship giữa các forest 16

Trang 8

DANH MỤC CÁC BẢNG, SƠ ĐỒ, HÌNH

Trang 10

Chương I : Tổng Quan Active Directory

1 Sơ lượt về Active directory

-Active Directory có thể được cài đặt trên máy chủ chạy Microsoft ® Windows

Server ® 2003, Standard Edition, Windows Server 2003, Enterprise Edition; và Windows Server 2003, Datacenter Edition Và Windows Server 2008 mới được phát hành sau này.

-Active Directory lưu trữ thông tin về các đối tượng trên mạng và làm cho thông

tin này dễ dàng cho người quản trị viên và người sử dụng để tìm và sử dụng Active Directory sử dụng lưu trữ dữ liệu theo cấp bậc, thông tin thư mục.

- Việc lưu trữ dữ liệu này, được biết đến như là thư mục, chứa thông tin về đối tượng Active Directory Những đối tượng này thường bao gồm các nguồn tài nguyên được chiasẻ như là các máy chủ, ổ đĩa, máy in, và người sử dụng mạng và các tài khoản máy tính

-Bảo mật được tích hợp trên Active Directory là xác thực thông qua đăng nhập vàkiểm soát truy cập vào các đối tượng trong thư mục Với một mạng đơn lẻ, quản trị viên có thểquản lý dữ liệu thư mục và tổ chức trên toàn mạng của họ, và người sử dụng mạng có thẩm quyền có thể truy cập tài nguyên bất cứ nơi nào trên mạng Dựa trên các chính sách thi hành giúp giảm bớt cho việc quản lý của mạng thậm chí là phức tạp nhất

Tóm lại :

-Active Directory có thể được coi là một điểm phát triển mới so với Windows

2000 Server và được nâng cao và hoàn thiện tốt hơn trong Windows Server 2003 và Windows Server 2008 sau này, trở thành một phần quan trọng của hệ điều hành Windows Server 2003 và Windows Server 2008 Active Directory cung cấp một tham chiếu, được gọi là directory service, đến tất cả các đối tượng trong một mạng, gồm có user, groups, computer, printer, policy và permission.

-Với người dùng hoặc quản trị viên, Active Directory cung cấp một khung nhìnmang tính cấu trúc để từ đó dễ dàng truy cập và quản lý tất cả các tài nguyên trong mạng.

** Active Directory bao gồm :

 Một tập hợp các quy tắc, lược đồ , định nghĩa cho lớp của các đối tượng và thuộc tính chứa trong thư mục, các rằng buộc và giới hạn về trường hợp của các đối

Trang 11

Một global catalog,chứa thông tin về mỗi đối tượng trong thư mục.Điều này cho

phép người sử dụng và quản trị để tìm thông tin thư mục bất kể trong đó có tên miền trong thư mục thực sự chứa các dữ liệu

 Một truy vấn và các chỉ số cơ chế, do đó, đối tượng và thuộc tính của họ có thể được xuất và tìm bởi người sử dụng mạng hoặc ứng dụng

Dịch vụ Replication là 1 dịch vụ phân phối thư mục dữ liệu qua mạng.Tất cả các

Domain Controller trong một domain tham gia vào việc nhân rộng và có chứa một bản sao đầy đủ của tất cả các thông tin thư mục cho tên miền của mình Bất kỳ sự thay đổi nào vào thư mục dữ liệu được nhân rộng đến tất cả các bộ điều khiển miền trong miền

 Về việc hổ trợ cho phần mềm Active Directory cũa khách hàng ,mà làm cho nhiều tính năng trên Microsoft ® Windows ® 2000 Professional hoặc Windows XP Professional có thể chạy Windows 95, Windows 98, và Windows NT ® Server 4.0 Các thư mục sẽ xuất hiện như một thư mục Windows NT

Trang 12

**Những đơn vị cơ bản của Active Directory :

-Các mạng Active Directory được tổ chức bằng cách sử dụng 4 kiểu đơn vị hay cấu trúc mục Bốn đơn vị này được chia thành forest, domain, organizational unit và site

Forests: Nhóm các đối tượng, các thuộc tính và cú pháp thuộc tính trong Active

Directory

Domain: Nhóm các máy tính chia sẻ một tập chính sách chung, tên và một cơ sở dữ liệu

của các thành viên của chúng

Organizational unit (OU): Nhóm các mục trong miền nào đó Chúng tạo nên một kiến

trúc thứ bậc cho miền và tạo cấu trúc công ty của Active Directory theo các điều kiện tổchức và địa lý

Sites: Nhóm vật lý những thành phần độc lập của miền và cấu trúc OU Các Site phân

biệt giữa các location được kết nối bởi các kết nối tốc độ cao và các kết nối tốc độ thấp, và được định nghĩa bởi một hoặc nhiều IP subnet

1.2.Các thành phần trong Active Directory :

-Các dịch vụ miền của Active Directory (Active Directory Domain Services) -

trước đây vẫn được biết đến là Active Directory - và Identity Management trong Windows Server 2008 hiện có một số dịch vụ khác:

Active Directory Domain Services (AD DS)

Active Directory Federation Services (AD FS)

Active Directory Lightweight Directory Services (AD LDS)

Active Directory Rights Management Services (AD RMS)

Active Directory Certificate Services (AD CS)

-Mỗi dịch vụ trên lại có một Server Role, một khái niệm mới trong WindowsServer 2008

-Chúng ta sẽ bắt đầu tim hiểu 1 phần trong Active Directory DomainServices (AD DS) đó là Trust Relationship.

Trang 13

Chương II :Trust Relationship

I.Khái niệm về trust relationship :1.Tìm hiểu về trust relationship :

-Khi quản trị một hệ thống lớn gồm nhiều domain, chúng ta có nhu cầu cho các user có thể logon làm việc tại nhiều domain khác nhau hay truy cập dịch vụ trên một domain bất kì mà không cần phải trực tiếp logon làm việc trên domain đó

Hình 1:Mô hình giữa 2 forest

-Một công ty có 2 domain pcd.com và domain hvd.com nằm trong 2 forest riêng biệt Domain pcd.com có user phanchidung và file server chứa dữ liệu trong toàn công ty Domain hvd.com có user huynhvandung Khi phanchidung logon trên domain pcd.com, phanchidung có thể truy cập tài nguyên trên file server trực tiếp Còn huynhvandung do thuộc domain hvd.com nên không thể truy cập file server bên domain pcd.com Để giải quyết vấn đề trên ta có thể lên domain pcd.com tạo cho huynhvandung 1 account nữa để huynhvandung cung cấp cho domain pcd.com chứng thực mỗi khi truy cập vào file server Vậy là mỗi user bên

Trang 14

domain hvd.com sẽ có 2 account, dẫn đến số lượng account phải quản lí tăng lên đáng kể Để duy trì số lượng account cho mỗi user ở domain hvd.com như ban đầu (không cần tạo thêm bêndomain pcd.com) mà các user bên domain hvd.com vẫn có thể truy cập trực tiếp file server bên

domain pcd.com thì ta phải tạo ra mối liên kết giữa 2 domain, chính là Trust Relationship Tạo ra trust relationship giữa 2 domain pcd.comvà domain hvd.com sẽ giúp các domain có

thể thừa hưởng quá trình chứng thực của nhau, user huynhvandung có thể logon trên cả 2 domain, truy cập trực tiếp file server trên domain pcd.com cho dù đang logon làm việc trên domain hvd.com.

Trust relationship là một liên kết luận lý được thiết lập giữa các hệ thốngdomain, giúp cho cơ chế chứng thực giữa các hệ thống domain có thể được thừa hưởng lẫn nhau Trust relationship giải quyết bài toán “single sign-on” - logon chứng thực một lần duy nhất cho tất cả mọi hoạt động trên các domain, dịch vụ triển khai trên 1 domain có thể được truy cập từ user thuộc domain khác.

-Trong một trust relationship cần phải có 2 domain Domain được tin tưởng gọi là trusted domain, còn domain tin tưởng domain kia gọi là trusting domain.

Hình 2: Trusting và Trusted

-Cơ chế trust relationship giúp đảm bảo các đối tượng (user, ứng dụng hay

chương trình) được tạo ra trên một trusted domain có thể được chứng thực đăng nhập hay truy cập tài nguyên, dịch vụ trên trusting domain Tuy nhiên, trên hệ thống Windows hỗ trợ đến 6 loại trust relationship với các đặc tính và ứng dụng khác nhau

Trang 15

Bao gồm các loại trust sau đây :

1.Tree/Root Trust2.Parent/Child Trust3.Shortcut Trust4.Realm Trust5.External Trust

6.Forest Trust

Hình 3: Mối quan hệ về các loại trust

2.Mối quan hệ tin cậy trong hệ điều hành Windows 2000 Server,Windows Server 2003 và Windows Server 2008 :

Mọi sự tin cậy trong Windows 2000 Server , Windows Server 2003 và Windows Server

2008 trong cùng forest là có tính bắc cầu ( hay còn gọi là transistive), tin cậy 2 chiều Do đó cả2 lĩnh vực trong một mối quan hệ tin cậy được tin cậy.Như hình minh họa ở dưới đây : có nghĩalà nếu domain A trust domain B và domain B trust domain C thì người dùng trên domain C có thể truy cập tài nguyên trong miền A (khi n các người dùng này được cấp quyền thích hợp).Chỉ

duy nhất các thành viên của nhóm Domains Admin mới được phép quản lý Trust

Relationship.

Trang 16

Hình 4:Mối quan hệ

3.Tin tưởng giao thức (Trust protocols) :

Một domain controller chạy Windows Server 2008 xác thực người dùng và các ứng

dụng sử dụng một trong 2 giao thức là Kerberos 5(V5) hoặc giao thức NTLM.Giao thức

Kerberos 5(V5) là một giao thức mặc định cho máy tính chạy Windows 2000 ,Windows XP Professional ,Windows Server 2003 hoặc Windows Server 2008.Nếu bất kỳ một máy tính trongmột giao dịch không hỗ trợ giao thức Kerberos 5 (V5) thì giao thức NTLM sẽ được sử dụng.

Với giao thức kerberos thì người dùng sẽ yêu cầu một tấm vé thông hành từ domain

controller trong miền tài khoản của mình đến các máy chủ trusting domain.Vé này đựoc phát hành bời 1 trung gian đó là trusted về phía người dùng và máy chủ Người dùng hiện diện có tấm vé tin cậy này sẽ dùng nó để chứng thực trên domain được tin tưởng (Trusting Domain).

Khi 1 người dùng cố gắn truy cập tài nguyên trên một máy chủ trong tên miền khác bằngcách sử dụng việc xác thực bằng giao thức NTLM ,máy chủ chứa tài nguyên phải liên hệ với bộ điều khiển miền trong miền tài khoản ngừoi dùng để xác minh các tài khoản này.

4.Trusted miền đối tượng (Trusted domain objects) :

Trusted domain objects(TDOs) là đối tượng mà đại diện cho mỗi mối quan hệ tin

tưởng trong một tên miền cụ thể Mỗi một sự tin tưởng đó được thiết lập Một TDO duy nhất đuợc tạo ra và được lưu trữ trong domain của mình (trong container hệ thống) Thuộc tính như là trust transistivity (mối quan hệ có tính bắc cầu ) ,loại,và các tên miền qua lại được đại diện trong TDO.

Forest trust TDOs lưu trữ các thuộc tính bổ sung để xác định tất cả các không gian tên

đáng tin cậy từ đối tác của mình trong forest.Các cây thuộc tính này bao gồm tên miền,tên chính của người sử dụng (UPN),dịch vụ tên chính (SPN) và nhận diện bảo mật (SID).

Trang 17

II.Các đặc tính của Trust Relationship :

1 Explicitly or Implicitly (tường minh hay ngầm định)

-Explicitly trust là loại liên kết tường minh, do người quản trị thiết lập bằng tay

**Ví dụ như shortcut trust, external trust.

-Implicitly trust là loại liên kết ngầm định, do hệ thống thiết lập tự động

**Ví dụ như parent/child trust, tree/root trust.

2 Transitive or Non-transitive (có tính bắc cầu hay không có tínhbắc cầu)

-Transitive trust là loại liên kết mà mối liên kết không chỉ giới hạn giữa hai

domain tham gia trực tiếp mà còn mở rộng ra những domain liên quan Quan sát hình 3, domain D trust trực tiếp domain E, còn domain E lại trust trực tiếp domain F và cả hai đều là transitive trust thì domain D cũng trust gián tiếp domain F và ngược lại Transitive trust được hệ thống thiết lập tự động, một trong những ví dụ về loại trust này là parent/child trust (liên kết giữa domain cha và domain con)

-Non-transitive trust có tính chất ngược với transitive trust, loại liên kết này chỉ

giới hạn trong hai domain tham gia trực tiếp vào liên kết chứ không mở rộng ra các domain liênquan với hai domain đó Non-transitive trust không được hệ thống thiết lập tự động Ví dụ điển hình về non-transitive trust là external trust, liên kết giữa 2 domain thuộc 2 forest khác nhau.

3 Trust direction (chiều của liên kết) :

-Các loại trust và hướng chỉ định của nó ảnh hưởng đến con đường tin cậy cho việc chứng thực.Một dường dẫn tin cậy là một loạt các mối quan hệ tin tưởng rằng yêu cầu chứng thực phải tuân theo sự cho phép giữa các tên miền.Trước khi một người dùng có thể truycập vào tài nguyên của một miền khác ,hệ thống bảo mật trên bộ điều khiển miền đang chạy Windows Server 2008 phải xác định xem liệu các tên miền tin tưởng (Tên miền mà chứa các tài nguyên mà người dùng đang cố gắn truy cập) có một mối quan hệ tin cậy (trust relationship)với các tên miền tin cậy không (Trusted domain) Để xác định này, hệ thống bảo mật máy tính có đường dẫn tin cậy giữa 1 domain controller trong miền tin tưởng và 1 domain controller trong miền tin cậy.Như hình minh họa dưới đây :

Trang 18

Hình 5 : Mối quan hệ trusting domain và trusted domain

-Tất cả các domain có mối quan hệ tin tưởng (Trust relationship) chỉ có 2 lĩnh vựctrong mối quan hệ là Trusting Domain( Tin tưởng Domain) và Trusted Domain (Domain được tin tưởng)

-Trong Windows Server 2003 và Windows Server 2008, có 3 loại trust direction:

one-way incoming, one-way outgoing, two-way

**Ví dụ như trên hình 3, ta thấy trust relationship giữa domain B và domain Q là một chiều (one-way) Đứng trên domain B, nếu ta thiết lập one-way incoming trust thì các đối tượng trên domain B sẽ được chứng thực trên domain Q; còn nếu ta thiết lập one-way outgoing trust thì các đối tượng trên domain Q sẽ được chứng thực trên domain B Cuối cùng, nếu ta thiết lập two-way trust thì các đối tược trên cả hai domain sẽ được chứng thực trên domain đối phương.

-Trên Windows 2000 thì liên kết trust chỉ có one-way và non-transitive Do vậy, để tạo ra liên kết cho một hệ thống lớn, người quản trị cần thiết lập và quản lý nhiều trust relationship Bắt đầu từ Windows Server 2003 và Windows Server 2008 thì trust relationship có 3 đặc tính trên đã đơn giản hóa công việc và giảm thiểu nhiều công sức quản lý cho người quản trị.

**Một domain Windows Server 2008 có thề thiết lập một chiều hoặc 2 chiều với các domain và realms như sau :

 Windows Server 2008 domains trong cùng 1 forest  Windows Server 2008 domains ở 1 forest khác.

Windows Server 2003 domains trong cùng 1 forest

Trang 19

 Windows Server 2003 domains trong 1 forest khác. Windows NT 4.0 domains

 Kerberos version 5 (V5) realms

III.Các loại Trust Relationship :

1 Tree/root trust: hệ thống tự thiết lập khi ta đưa thêm một tree root domain vào trong một forest có sẵn Như hình 6, khi ta đưa tree của domain D vào forest 1 Ba đặc tính: implicitly, transitive và two-way.

Hình 6:Mô hình Tree/Root Trust

2 Parent/child trust:hệ thống tự thiết lập khi ta đưa thêm một child domainvào trong một tree có sẵn Như hình 7, khi ta dựng lên domain E là con của domain D, hoặc

dựng domain F là con của domain E Ba đặc tính: implicitly, transitive và two-way.

Trang 20

Hình 7: Mô hình Parent/Child Trust

3 Shortcut trust: được người quản trị thiết lập giữa hai domain trong cùng 1 forest để giảm bớt các bước chứng thực cho đối tượng Ví dụ trong hình 8, khi chưa thiết lập shortcut trust giữa domain A và domain E thì các đối tượng bên domain A vẫn có thể được chứng thực trên E nhưng quá trình chứng thực phải đi qua các domain E – domain D – forest (root) – domain A Để rút ngắn quá trình chứng thực, ta thiết lập shortcut trust giữa domain A và domain E để quá trình có thể diễn ra trực tiếp Ba đặc tính: explicitly, transitive và có thể là one-way hay two-way.

-Tính chất transitive của shortcut trust chỉ ảnh hưởng lên những domain con của 2domain tham gia vào liên kết Nghĩa là với shortcut trust giữa domain E và domain A, các đối tượng thuộc domain F và domain C cũng được rút ngắn giai đoạn chứng thực thông qua liên kết đó Tuy nhiên, các đối tượng thuộc domain D và forest (root) là các domain cha của domaintham gia vào liên kết sẽ không được chứng thực thông qua liên kết

Shortcut trust còn được gọi là cross-link trust.

Trang 21

Hình 8 : Mô hình về Shortcut Trust

4 Realm trust:được người quản trị thiết lập giữa một hệ thống không sử dụng hệ điều hành Windows và hệ thống domain Windows Server 2008 Điều kiện là hệ thống không sử dụng hệ điều hành Windows phải có giao thức chứng thực được hỗ trợ tương thích với giao thức Kerberos v5 của Windows Server 2008 Loại liên kết này giúp mở rộng khả năng liên kết của Windows tới các hệ thống khác Ba đặc tính: explicitly, có thể là transitive hay non-transitive, one-way hay two-hay.Như hình vẽ mô tả sau :

Hình 9 : Mô hình về Reaml Trust

Trang 22

5 External trust: được người quản trị thiết lập để liên kết hai domain thuộc haiforest khác nhau để giảm bớt các bước chứng thực Như hình 9, nếu ta lập forest trust giữa 2 forest thì domain B và domain Q vẫn có thể chứng thực các đối tượng cho nhau nhưng phải đi vòng lên forest root rồi mới qua bên đối phương Còn nếu như đã thiết lập external trust giữa domain B và domain Q thì quá trình chứng thực sẽ diễn ra trực tiếp giữa 2 domain.

-Ngoài công dụng trên, external trust còn hỗ trợ chức năng tương thích ngược giữa domain Windows 2008 và domain Windows NT để domain Windows 2008 có thể chứng thực cho các đối tượng thuộc domain Windows NT Ba đặc tính: explicitly, non-transistive và có thể là one-way hay two-way.

Hình 9: Mô hình External Trust

6 Forest trust:được người quản trị thiết lập giữa 2 forest Bắt đầu hỗ trợ từ Windows 2003 Đây là phương pháp hữu hiệu và ngắn gọn để chứng thực cho các đối tượng thuộc domain của cả 2 forest Trong hình 10 khi forest trust được thiết lập ở 2 forest thì các đốitượng thuộc bất kì domain ở 1 trong 2 forest đều có khả năng được chứng thực trên domain củaforest đối phương Ba đặc tính: explicitly, transitive và có thể là one-way hay two-way.

Trang 23

-Tuy nhiên tính chất transitive trong forest trust chỉ mở rộng xuống các domain trong forest mà không mở rộng ra các domain liên quan Ví dụ forest 1 trust trực tiếp forest 2, forest 2 trust trực tiếp forest 3 và các trust relationship là transitive thì cũng không vì thế mà forest 1 trust gián tiếp forest 3.

-Khi chúng ta tạo ra một trust relationship thì các thông tin về liên kết đó sẽ được lưu lại trong Active Directory của cả 2 domain tham gia liên kết để có thể được truy vấn khi cần thiết Mỗi trust relationship được đại diện bởi 1 trust domain object (TDO) TDO sẽ lưu trữthông tin về transitivity, direction, …

Hình 10: Mô hình forest trust

-Ngoài ra forest trust TDO còn chứa thông tin về tất cả các namespace của các domain bên kia Thông tin đó bao gồm:

1 Những tên domain tree.

2 Các services principle name (SPN) suffix giúp xác định máy tính giữ các dịch vụ trong cả 2 forest.

3 Security ID (SID).

-Trên Windows 2003 và Windows 2008, các đối tược được chứng thực trong trust relationship sử dụng giao thức Kerberos v5 hay NTLM Kerberos v5 là giao thức mặc định trong Windows 2003 Nếu như trong mối liên kết có 1 domain không hỗ trợ giao thức Kerberos v5 thì hệ thống mới chuyển qua NTLM.

Ngày đăng: 31/10/2012, 14:40

Xem thêm

TỪ KHÓA LIÊN QUAN

w