Hace ya un tiempo hice un artículo explicando los diferentes tipos de Relaciones de Confianza (“Trust Relationships”) entre Dominios Active Directory. Por otro lado he desarrollado también, las diferentes forma de resolución de nombres entre Dominios Active Directory mediante el servicio DNS. Y además he hecho una serie de notas creando una infraestructura de Dominios, como muestra la figura, que todavía conservo, y que se adapta muy bien para la demostración, aunque no es necesario que sea esta última tan amplia
Teniendo todo lo anterior, he pensado en hacer una serie de notas demostrando las capacidades de cada tipo de Relación de Confianza, y de ser necesario cómo crearlas y utilizarlas; para dos de los casos deberé crear un nuevo Bosque (“Forest”)
Para el que quiera releer los temas, pongo los enlaces correspondientes:
Cómo Funciona DNS – Parte 3 – Integración con Active Directory
DNS: Resolución de Nombres Mediante Zonas Secundarias
DNS: Resolución de Nombres Mediante Reenviadores Condicionales
DNS: Resolución de Nombres Mediante “Stub Zones”
Instalación de Active Directory – Escenario Completo – Situación Inicial y Objetivos – Nota I
Instalación de Active Directory – Promoviendo un Controlador de Dominio en un Site Remoto – Nota V
Instalación de Active Directory – Promoción de un RODC (Read Only Domain Controller) – Nota VI
Instalación de Active Directory – Comprobaciones Finales – Nota XII
Entonces, teniendo ya la infraestructura hecha, y los conomientos que pueden ver en la notas nombradas vamos a pasar a ver, ahora si, el tema Relaciones de Confianza
Teniendo una infraestructura de Dominios como mostramos en la figura anterior, que forman un Bosque (“Forest”), todos los Dominios están interconectados mediante Relaciones de Confianza (“Trusts”) que ya veremos son bi-direccionales y transitivas, además de requeridas
Esto implica que: Un usuario que tenga cuenta en cualquier Dominio del Bosque puede:
- Iniciar sesión en cualquier máquina de cualquier Dominio del Bosque
- Acceder a cualquier recurso compartido de cualquier máquina del Dominio del Bosque
Por supuesto que siempre y cuando tenga los privilegios correspondientes; para aclarar un poco esto último: va a poder inciar sesión en cualquier máquina cliente, y va a poder acceder a recursos compartidos si tiene permisos de acceso
No es fácil demostrar esto con sistemas operativos Windows 7 / 8 / 8.1 porque cuando incia sesión debe indicar su nombre con la sintaxis “NombreDominio\Usuario”, pero si usamos como cliente un viejo Windows XP lo podemos verificar mucho más fácil, simplemente abriendo la lista desplegable
Si todo está bien configurado, como lo he hecho en la serie de notas de la infraestructura que nombramos antes 🙂
Para demostrarlo, inciaré sesión con un usuario que puede ser cualquiera, creado en cualqueira de los Dominios, y se comprueba fácilmente que puede acceder a recursos compartidos de todos los Dominios del Bosque
Lo anterior es posible pues todos los Dominos de un Bosque están unidos por Relaciones de Confianza que:
- Se crearon automáticamente con la infraestructura de Dominios
- Son Bi-direccionales: Si A confía en B, entonces B confía en A
- Son transitivas: Si confía en B, y B confía en C, entonces A confía en C
Podemos concluir que con estas Relaciones de Confianza se ha “transparentado” la infraestructura física y de Dominios. Podemos decir: “no importa quien seas, ni donde estés, puedes hacer tu trabajo” 🙂
Además estas Relaciones de Confianza creadas automáticamente son requeridas ¿qué quiero decir con esto? que no son posibles de eliminar
Aunque tienen las mismas características y propiedades en esta infraestructura en realidad hay dos tipos diferentes
- Relación de Confianza tipo “Parent-Child”, o Padre-Hijo, entre el Dominio ROOT y el Dominio MZA
- Relación de Confianza tipo “Tree-Root”, o Árbol-Raíz, entre el Dominio ROOT y NEUQUEN
Vamos a verlo en los propios Controladores de Dominio con la consola “Active Directory Domain and Trusts” (Dominios y Confianzas de Active Directory)
En cualquiera de los Controladores de Dominios podremos ver que ROOT tiene al subdominio MZA (está indentado), pero además está el Domino NEUQUEN
Si entramos a las propiedades de ROOT, en la ficha “Trusts” podemos ver que ROOT confía en MZA y NEUQUEN, y que a su vez ambos confían en ROOT, y que cada una muestra el tipo de relación
Podemos marcar cualquiera de las relaciones y veremos que el botón “Remove” no está habilitado
Y si entramos por el botón “Properties” veremos que la relación ROOT-MZA es “Parent-Child”
Y que la relación ROOT-NEUQUEN es “Tree-Root”
Los dos cuadros muestran que ambas relaciones de confianza son bi-direccionales (“Two-way”) y transitivas
Y volviendo al comienzo, no las hemos creado, se armaron automáticamente con la infraestructura; y por las propiedades de bi-direccionalidad y transitividad son las que permiten transparentar la infraestructura como hemos visto antes
Y algo más, que me estaba olvidando, todo esto es igual y totalmente válido desde Windows Server 2000
Dejo esta nota acá, en la próxima veremos cómo a través de Relaciones de Confianza podemos optimizar el proceso de autenticación (o autentificación) y autorización de acceso a recursos compartidos en otros Dominios
Relaciones de Confianza (Trusts) – Optimizando la Autenticación y Autorización – “Shortcut Trusts”
