Đồ án Active directory “Tìm hiểu về trust relationship”

BỘ CÔNG THƯƠNG TRƯỜNG ĐẠI HỌC CÔNG NGHIỆP TP.HCM KHOA KHOA HỌC và KỸ THUẬT MÁY TÍNH ĐỒ ÁN ACTIVE DIRECTORY “TÌM HIỂU VỀ TRUST RELATIONSHIP” Giảng viên hướng dẫn : Sinh viên thực hiện: Lớp : Khóa: TP.Hồ Chí Minh ,tháng ... năm … BỘ CÔNG THƯƠNG TRƯỜNG ĐẠI HỌC CÔNG NGHIỆP TP.HCM KHOA KHOA HỌC và KỸ THUẬT MÁY TÍNH ĐỒ ÁN ACTIVE DIRECTORY “TÌM HIỂU VỀ TRUST RELATIONSHIP” Giảng viên hướng dẫn : Sinh viên thực hiện: Lớp : Khóa: TP.Hồ Chí Minh ,tháng ... năm … MỞ ĐẦU Trust relationship là một liên kết luận lý được thiết lập giữa các hệ thống domain, giúp cho cơ chế chứng thực giữa các hệ thống domain có thể được thừa hưởng lẫn nhau. Trust relationship giải quyết bài toán “single sign-on” - logon chứng thực một lần duy nhất cho tất cả mọi hoạt động trên các domain, dịch vụ triển khai trên 1 domain có thể được truy cập từ user thuộc domain khác. Trong đồ án này nhóm chúng em sẽ nghiên cứu về các loại trust và chức năng hoạt động của từng loại cũng như ý nghĩa của chúng được áp dụng trong thực tế như thế nào. Nội dung của đồ án này như sau : Chương I : Tổng Quan về Active Directory . Chương II : Trust Relationship Chương III : Lab Demo LỜI CẢM ƠN Trước tiên nhóm chúng em xin cảm ơn thầy Hoàng Đình Hạnh đã giúp chúng em hoàn thành đồ án học phần 1 .Trong quá trình thực hiện đồ án thầy đã nhiệt tình hướng dẫn và chỉ bảo những điểm còn thiếu và sai sót trong quá trình thực hiện đồ án này. Ngoài ra nhóm chúng em cũng xin cảm ơn Khoa Khoa Học và Kỹ Thuật Máy Tính đã hỗ trợ rất nhiều cho sinh viên chúng em trong quá trình thực hiện đồ án học phần. NHẬN XÉT (Của giảng viên hướng dẫn) …................................................................................................. …................................................................................................. …................................................................................................. …................................................................................................. …................................................................................................. …................................................................................................. …................................................................................................. …................................................................................................. …................................................................................................. …................................................................................................. …................................................................................................. …................................................................................................. …................................................................................................. …................................................................................................. NHẬN XÉT (Của giảng viên phản biện) …................................................................................................. …................................................................................................. …................................................................................................. …................................................................................................. …................................................................................................. …................................................................................................. …................................................................................................. …................................................................................................. …................................................................................................. …................................................................................................. …................................................................................................. …................................................................................................. …................................................................................................. …................................................................................................. MỤC LỤC Mở đầu : Trang Chương I : Tổng Quan Về Active Directory 1. Sơ lượt về Active Directory 1 2. Các thành phần trong Active Directory 3 Chương II : Trust Relationship Khái niệm về trust relationship 1. Tìm hiểu về Trust Relationship 4 2. Mối quan hệ tin cậy trong hệ điều hành Windows 2000 Server,Windows Server 2003 và Windows Server 2008 6 3. Tin tưởng giao thức (Trust protocols) 7 4. Trusted miền đối tượng (Trusted domain objects) 7 Các đặc tính của trust relationship 1. Explicitly or Implicitly 8 2. Transitive or Non-transitive 8 3. Trust direction 8 Các loại Trust Relationship 1.Tree/root Trust. 10 2.Parent/child Trust. 10 3.Shortcut Trust. 11 4.Reaml Trust. 12 5.External Trust. 13 6.Forest Trust. 13 Các họat đông của Trust Relationship 1.Hoạt động của Trust Relationship trong một forest. 15 2.Hoạt động của Trust Relationship giữa các forest. 16 Chương III: Lab Demo 1.Mô hình lab demo 18 2.Thực hiện lab demo 19 DANH MỤC CÁC BẢNG, SƠ ĐỒ, HÌNH Chương I : Tổng Quan Active Directory Sơ lượt về Active directory -Active Directory có thể được cài đặt trên máy chủ chạy Microsoft ® Windows Server ® 2003, Standard Edition, Windows Server 2003, Enterprise Edition; và Windows Server 2003, Datacenter Edition. Và Windows Server 2008 mới được phát hành sau này. -Active Directory lưu trữ thông tin về các đối tượng trên mạng và làm cho thông tin này dễ dàng cho người quản trị viên và người sử dụng để tìm và sử dụng. Active Directory sử dụng lưu trữ dữ liệu theo cấp bậc, thông tin thư mục. - Việc lưu trữ dữ liệu này, được biết đến như là thư mục, chứa thông tin về đối tượng Active Directory. Những đối tượng này thường bao gồm các nguồn tài nguyên được chia sẻ như là các máy chủ, ổ đĩa, máy in, và người sử dụng mạng và các tài khoản máy tính. -Bảo mật được tích hợp trên Active Directory là xác thực thông qua đăng nhập và kiểm soát truy cập vào các đối tượng trong thư mục. Với một mạng đơn lẻ, quản trị viên có thể quản lý dữ liệu thư mục và tổ chức trên toàn mạng của họ, và người sử dụng mạng có thẩm quyền có thể truy cập tài nguyên bất cứ nơi nào trên mạng. Dựa trên các chính sách thi hành giúp giảm bớt cho việc quản lý của mạng thậm chí là phức tạp nhất. Tóm lại : -Active Directory có thể được coi là một điểm phát triển mới so với Windows 2000 Server và được nâng cao và hoàn thiện tốt hơn trong Windows Server 2003 và Windows Server 2008 sau này, trở thành một phần quan trọng của hệ điều hành. Windows Server 2003 và Windows Server 2008 Active Directory cung cấp một tham chiếu, được gọi là directory service, đến tất cả các đối tượng trong một mạng, gồm có user, groups, computer, printer, policy và permission. -Với người dùng hoặc quản trị viên, Active Directory cung cấp một khung nhìn mang tính cấu trúc để từ đó dễ dàng truy cập và quản lý tất cả các tài nguyên trong mạng. ** Active Directory bao gồm : Một tập hợp các quy tắc, lược đồ , định nghĩa cho lớp của các đối tượng và thuộc tính chứa trong thư mục, các rằng buộc và giới hạn về trường hợp của các đối tượng, và định dạng tên của họ. Một global catalog,chứa thông tin về mỗi đối tượng trong thư mục.Điều này cho phép người sử dụng và quản trị để tìm thông tin thư mục bất kể trong đó có tên miền trong thư mục thực sự chứa các dữ liệu. Một truy vấn và các chỉ số cơ chế, do đó, đối tượng và thuộc tính của họ có thể được xuất và tìm bởi người sử dụng mạng hoặc ứng dụng . Dịch vụ Replication là 1 dịch vụ phân phối thư mục dữ liệu qua mạng.Tất cả các Domain Controller trong một domain tham gia vào việc nhân rộng và có chứa một bản sao đầy đủ của tất cả các thông tin thư mục cho tên miền của mình. Bất kỳ sự thay đổi nào vào thư mục dữ liệu được nhân rộng đến tất cả các bộ điều khiển miền trong miền. Về việc hổ trợ cho phần mềm Active Directory cũa khách hàng ,mà làm cho nhiều tính năng trên Microsoft ® Windows ® 2000 Professional hoặc Windows XP Professional có thể chạy Windows 95, Windows 98, và Windows NT ® Server 4.0. Các thư mục sẽ xuất hiện như một thư mục Windows NT  **Những đơn vị cơ bản của Active Directory : -Các mạng Active Directory được tổ chức bằng cách sử dụng 4 kiểu đơn vị hay cấu trúc mục. Bốn đơn vị này được chia thành forest, domain, organizational unit và site. Forests: Nhóm các đối tượng, các thuộc tính và cú pháp thuộc tính trong Active Directory. Domain: Nhóm các máy tính chia sẻ một tập chính sách chung, tên và một cơ sở dữ liệu của các thành viên của chúng. Organizational unit (OU): Nhóm các mục trong miền nào đó. Chúng tạo nên một kiến trúc thứ bậc cho miền và tạo cấu trúc công ty của Active Directory theo các điều kiện tổ chức và địa lý. Sites: Nhóm vật lý những thành phần độc lập của miền và cấu trúc OU. Các Site phân biệt giữa các location được kết nối bởi các kết nối tốc độ cao và các kết nối tốc độ thấp, và được định nghĩa bởi một hoặc nhiều IP subnet. 1.2.Các thành phần trong Active Directory : -Các dịch vụ miền của Active Directory (Active Directory Domain Services) - trước đây vẫn được biết đến là Active Directory - và Identity Management trong Windows Server 2008 hiện có một số dịch vụ khác: Active Directory Domain Services (AD DS) Active Directory Federation Services (AD FS) Active Directory Lightweight Directory Services (AD LDS) Active Directory Rights Management Services (AD RMS). Active Directory Certificate Services (AD CS) -Mỗi dịch vụ trên lại có một Server Role, một khái niệm mới trong Windows Server 2008. -Chúng ta sẽ bắt đầu tim hiểu 1 phần trong Active Directory Domain Services (AD DS) đó là Trust Relationship. Chương II :Trust Relationship I.Khái niệm về trust relationship : 1.Tìm hiểu về trust relationship : -Khi quản trị một hệ thống lớn gồm nhiều domain, chúng ta có nhu cầu cho các user có thể logon làm việc tại nhiều domain khác nhau hay truy cập dịch vụ trên một domain bất kì mà không cần phải trực tiếp logon làm việc trên domain đó. Hình 1:Mô hình giữa 2 forest -Một công ty có 2 domain pcd.com và domain hvd.com nằm trong 2 forest riêng biệt. Domain pcd.com có user phanchidung và file server chứa dữ liệu trong toàn công ty. Domain hvd.com có user huynhvandung. Khi phanchidung logon trên domain pcd.com, phanchidung có thể truy cập tài nguyên trên file server trực tiếp. Còn huynhvandung do thuộc domain hvd.com nên không thể truy cập file server bên domain pcd.com. Để giải quyết vấn đề trên ta có thể lên domain pcd.com tạo cho huynhvandung 1 account nữa để huynhvandung cung cấp cho domain pcd.com chứng thực mỗi khi truy cập vào file server. Vậy là mỗi user bên domain hvd.com sẽ có 2 account, dẫn đến số lượng account phải quản lí tăng lên đáng kể. Để duy trì số lượng account cho mỗi user ở domain hvd.com như ban đầu (không cần tạo thêm bên domain pcd.com) mà các user bên domain hvd.com vẫn có thể truy cập trực tiếp file server bên domain pcd.com thì ta phải tạo ra mối liên kết giữa 2 domain, chính là Trust Relationship. Tạo ra trust relationship giữa 2 domain pcd.comvà domain hvd.com sẽ giúp các domain có thể thừa hưởng quá trình chứng thực của nhau, user huynhvandung có thể logon trên cả 2 domain, truy cập trực tiếp file server trên domain pcd.com cho dù đang logon làm việc trên domain hvd.com. Trust relationship là một liên kết luận lý được thiết lập giữa các hệ thống domain, giúp cho cơ chế chứng thực giữa các hệ thống domain có thể được thừa hưởng lẫn nhau. Trust relationship giải quyết bài toán “single sign-on” - logon chứng thực một lần duy nhất cho tất cả mọi hoạt động trên các domain, dịch vụ triển khai trên 1 domain có thể được truy cập từ user thuộc domain khác. -Trong một trust relationship cần phải có 2 domain. Domain được tin tưởng gọi là trusted domain, còn domain tin tưởng domain kia gọi là trusting domain. Hình 2: Trusting và Trusted -Cơ chế trust relationship giúp đảm bảo các đối tượng (user, ứng dụng hay chương trình) được tạo ra trên một trusted domain có thể được chứng thực đăng nhập hay truy cập tài nguyên, dịch vụ trên trusting domain. Tuy nhiên, trên hệ thống Windows hỗ trợ đến 6 loại trust relationship với các đặc tính và ứng dụng khác nhau. Bao gồm các loại trust sau đây : 1.Tree/Root Trust 2.Parent/Child Trust 3.Shortcut Trust 4.Realm Trust 5.External Trust 6.Forest Trust Hình 3: Mối quan hệ về các loại trust 2.Mối quan hệ tin cậy trong hệ điều hành Windows 2000 Server,Windows Server 2003 và Windows Server 2008 : Mọi sự tin cậy trong Windows 2000 Server , Windows Server 2003 và Windows Server 2008 trong cùng forest là có tính bắc cầu ( hay còn gọi là transistive), tin cậy 2 chiều..Do đó cả 2 lĩnh vực trong một mối quan hệ tin cậy được tin cậy.Như hình minh họa ở dưới đây : có nghĩa là nếu domain A trust domain B và domain B trust domain C thì người dùng trên domain C có thể truy cập tài nguyên trong miền A (khi n các người dùng này được cấp quyền thích hợp).Chỉ duy nhất các thành viên của nhóm Domains Admin mới được phép quản lý Trust Relationship. Hình 4:Mối quan hệ 3.Tin tưởng giao thức (Trust protocols) : Một domain controller chạy Windows Server 2008 xác thực người dùng và các ứng dụng sử dụng một trong 2 giao thức là Kerberos 5(V5) hoặc giao thức NTLM.Giao thức Kerberos 5(V5) là một giao thức mặc định cho máy tính chạy Windows 2000 ,Windows XP Professional ,Windows Server 2003 hoặc Windows Server 2008.Nếu bất kỳ một máy tính trong một giao dịch không hỗ trợ giao thức Kerberos 5 (V5) thì giao thức NTLM sẽ được sử dụng. Với giao thức kerberos thì người dùng sẽ yêu cầu một tấm vé thông hành từ domain controller trong miền tài khoản của mình đến các máy chủ trusting domain.Vé này đựoc phát hành bời 1 trung gian đó là trusted về phía người dùng và máy chủ. Người dùng hiện diện có tấm vé tin cậy này sẽ dùng nó để chứng thực trên domain được tin tưởng (Trusting Domain). Khi 1 người dùng cố gắn truy cập tài nguyên trên một máy chủ trong tên miền khác bằng cách sử dụng việc xác thực bằng giao thức NTLM ,máy chủ chứa tài nguyên phải liên hệ với bộ điều khiển miền trong miền tài khoản ngừoi dùng để xác minh các tài khoản này. 4.Trusted miền đối tượng (Trusted domain objects) : Trusted domain objects(TDOs) là đối tượng mà đại diện cho mỗi mối quan hệ tin tưởng trong một tên miền cụ thể .Mỗi một sự tin tưởng đó được thiết lập .Một TDO duy nhất đuợc tạo ra và được lưu trữ trong domain của mình (trong container hệ thống) .Thuộc tính như là trust transistivity (mối quan hệ có tính bắc cầu ) ,loại,và các tên miền qua lại được đại diện trong TDO. Forest trust TDOs lưu trữ các thuộc tính bổ sung để xác định tất cả các không gian tên đáng tin cậy từ đối tác của mình trong forest.Các cây thuộc tính này bao gồm tên miền,tên chính của người sử dụng (UPN),dịch vụ tên chính (SPN) và nhận diện bảo mật (SID). II.Các đặc tính của Trust Relationship : 1. Explicitly or Implicitly (tường minh hay ngầm định) -Explicitly trust là loại liên kết tường minh, do người quản trị thiết lập bằng tay. **Ví dụ như shortcut trust, external trust.  -Implicitly trust là loại liên kết ngầm định, do hệ thống thiết lập tự động. **Ví dụ như parent/child trust, tree/root trust. 2. Transitive or Non-transitive (có tính bắc cầu hay không có tính bắc cầu) -Transitive trust là loại liên kết mà mối liên kết không chỉ giới hạn giữa hai domain tham gia trực tiếp mà còn mở rộng ra những domain liên quan. Quan sát hình 3, domain D trust trực tiếp domain E, còn domain E lại trust trực tiếp domain F và cả hai đều là transitive trust thì domain D cũng trust gián tiếp domain F và ngược lại. Transitive trust được hệ thống thiết lập tự động, một trong những ví dụ về loại trust này là parent/child trust (liên kết giữa domain cha và domain con).  -Non-transitive trust có tính chất ngược với transitive trust, loại liên kết này chỉ giới hạn trong hai domain tham gia trực tiếp vào liên kết chứ không mở rộng ra các domain liên quan với hai domain đó. Non-transitive trust không được hệ thống thiết lập tự động. Ví dụ điển hình về non-transitive trust là external trust, liên kết giữa 2 domain thuộc 2 forest khác nhau. 3. Trust direction (chiều của liên kết) : -Các loại trust và hướng chỉ định của nó ảnh hưởng đến con đường tin cậy cho việc chứng thực.Một dường dẫn tin cậy là một loạt các mối quan hệ tin tưởng rằng yêu cầu chứng thực phải tuân theo sự cho phép giữa các tên miền.Trước khi một người dùng có thể truy cập vào tài nguyên của một miền khác ,hệ thống bảo mật trên bộ điều khiển miền đang chạy Windows Server 2008 phải xác định xem liệu các tên miền tin tưởng (Tên miền mà chứa các tài nguyên mà người dùng đang cố gắn truy cập) có một mối quan hệ tin cậy (trust relationship) với các tên miền tin cậy không (Trusted domain) .Để xác định này, hệ thống bảo mật máy tính có đường dẫn tin cậy giữa 1 domain controller trong miền tin tưởng và 1 domain controller trong miền tin cậy.Như hình minh họa dưới đây : Hình 5 : Mối quan hệ trusting domain và trusted domain  -Tất cả các domain có mối quan hệ tin tưởng (Trust relationship) chỉ có 2 lĩnh vực trong mối quan hệ là Trusting Domain( Tin tưởng Domain) và Trusted Domain (Domain được tin tưởng) -Trong Windows Server 2003 và Windows Server 2008, có 3 loại trust direction: one-way incoming, one-way outgoing, two-way. **Ví dụ như trên hình 3, ta thấy trust relationship giữa domain B và domain Q là một chiều (one-way). Đứng trên domain B, nếu ta thiết lập one-way incoming trust thì các đối tượng trên domain B sẽ được chứng thực trên domain Q; còn nếu ta thiết lập one-way outgoing trust thì các đối tượng trên domain Q sẽ được chứng thực trên domain B. Cuối cùng, nếu ta thiết lập two-way trust thì các đối tược trên cả hai domain sẽ được chứng thực trên domain đối phương. -Trên Windows 2000 thì liên kết trust chỉ có one-way và non-transitive. Do vậy, để tạo ra liên kết cho một hệ thống lớn, người quản trị cần thiết lập và quản lý nhiều trust relationship. Bắt đầu từ Windows Server 2003 và Windows Server 2008 thì trust relationship có 3 đặc tính trên đã đơn giản hóa công việc và giảm thiểu nhiều công sức quản lý cho người quản trị. **Một domain Windows Server 2008 có thề thiết lập một chiều hoặc 2 chiều với các domain và realms như sau : Windows Server 2008 domains trong cùng 1 forest . Windows Server 2008 domains ở 1 forest khác. Windows Server 2003 domains trong cùng 1 forest . Windows Server 2003 domains trong 1 forest khác. Windows NT 4.0 domains Kerberos version 5 (V5) realms III.Các loại Trust Relationship : 1. Tree/root trust: hệ thống tự thiết lập khi ta đưa thêm một tree root domain vào trong một forest có sẵn. Như hình 6, khi ta đưa tree của domain D vào forest 1. Ba đặc tính: implicitly, transitive và two-way. Hình 6:Mô hình Tree/Root Trust 2. Parent/child trust: hệ thống tự thiết lập khi ta đưa thêm một child domain vào trong một tree có sẵn. Như hình 7, khi ta dựng lên domain E là con của domain D, hoặc dựng domain F là con của domain E. Ba đặc tính: implicitly, transitive và two-way. Hình 7: Mô hình Parent/Child Trust 3. Shortcut trust: được người quản trị thiết lập giữa hai domain trong cùng 1 forest để giảm bớt các bước chứng thực cho đối tượng. Ví dụ trong hình 8, khi chưa thiết lập shortcut trust giữa domain A và domain E thì các đối tượng bên domain A vẫn có thể được chứng thực trên E nhưng quá trình chứng thực phải đi qua các domain E – domain D – forest (root) – domain A. Để rút ngắn quá trình chứng thực, ta thiết lập shortcut trust giữa domain A và domain E để quá trình có thể diễn ra trực tiếp. Ba đặc tính: explicitly, transitive và có thể là one-way hay two-way. -Tính chất transitive của shortcut trust chỉ ảnh hưởng lên những domain con của 2 domain tham gia vào liên kết. Nghĩa là với shortcut trust giữa domain E và domain A, các đối tượng thuộc domain F và domain C cũng được rút ngắn giai đoạn chứng thực thông qua liên kết đó. Tuy nhiên, các đối tượng thuộc domain D và forest (root) là các domain cha của domain tham gia vào liên kết sẽ không được chứng thực thông qua liên kết.  Shortcut trust còn được gọi là cross-link trust.  Hình 8 : Mô hình về Shortcut Trust  4. Realm trust: được người quản trị thiết lập giữa một hệ thống không sử dụng hệ điều hành Windows và hệ thống domain Windows Server 2008. Điều kiện là hệ thống không sử dụng hệ điều hành Windows phải có giao thức chứng thực được hỗ trợ tương thích với giao thức Kerberos v5 của Windows Server 2008. Loại liên kết này giúp mở rộng khả năng liên kết của Windows tới các hệ thống khác. Ba đặc tính: explicitly, có thể là transitive hay non-transitive, one-way hay two-hay.Như hình vẽ mô tả sau : Hình 9 : Mô hình về Reaml Trust 5. External trust: được người quản trị thiết lập để liên kết hai domain thuộc hai forest khác nhau để giảm bớt các bước chứng thực. Như hình 9, nếu ta lập forest trust giữa 2 forest thì domain B và domain Q vẫn có thể chứng thực các đối tượng cho nhau nhưng phải đi vòng lên forest root rồi mới qua bên đối phương. Còn nếu như đã thiết lập external trust giữa domain B và domain Q thì quá trình chứng thực sẽ diễn ra trực tiếp giữa 2 domain. -Ngoài công dụng trên, external trust còn hỗ trợ chức năng tương thích ngược giữa domain Windows 2008 và domain Windows NT để domain Windows 2008 có thể chứng thực cho các đối tượng thuộc domain Windows NT. Ba đặc tính: explicitly, non-transistive và có thể là one-way hay two-way. Hình 9: Mô hình External Trust 6. Forest trust: được người quản trị thiết lập giữa 2 forest. Bắt đầu hỗ trợ từ Windows 2003. Đây là phương pháp hữu hiệu và ngắn gọn để chứng thực cho các đối tượng thuộc domain của cả 2 forest. Trong hình 10. khi forest trust được thiết lập ở 2 forest thì các đối tượng thuộc bất kì domain ở 1 trong 2 forest đều có khả năng được chứng thực trên domain của forest đối phương. Ba đặc tính: explicitly, transitive và có thể là one-way hay two-way. -Tuy nhiên tính chất transitive trong forest trust chỉ mở rộng xuống các domain trong forest mà không mở rộng ra các domain liên quan. Ví dụ forest 1 trust trực tiếp forest 2, forest 2 trust trực tiếp forest 3 và các trust relationship là transitive thì cũng không vì thế mà forest 1 trust gián tiếp forest 3. -Khi chúng ta tạo ra một trust relationship thì các thông tin về liên kết đó sẽ được lưu lại trong Active Directory của cả 2 domain tham gia liên kết để có thể được truy vấn khi cần thiết. Mỗi trust relationship được đại diện bởi 1 trust domain object (TDO). TDO sẽ lưu trữ thông tin về transitivity, direction, …  Hình 10: Mô hình forest trust -Ngoài ra forest trust TDO còn chứa thông tin về tất cả các namespace của các domain bên kia. Thông tin đó bao gồm: 1. Những tên domain tree. 2. Các services principle name (SPN) suffix giúp xác định máy tính giữ các dịch vụ trong cả 2 forest. 3. Security ID (SID). -Trên Windows 2003 và Windows 2008, các đối tược được chứng thực trong trust relationship sử dụng giao thức Kerberos v5 hay NTLM. Kerberos v5 là giao thức mặc định trong Windows 2003. Nếu như trong mối liên kết có 1 domain không hỗ trợ giao thức Kerberos v5 thì hệ thống mới chuyển qua NTLM. IV.Các họat động của Trust Relationship 1.Hoạt động của Trust Relationship trong một forest : Hình 11 :Hoạt động của trust trong một forest  -Khi user muốn truy cập vào 1 tài nguyên thuộc domain khác, hệ thống sẽ dùng cơ chế chứng thực Kerberos v5. Kerberos sẽ xác định xem domain chứa tài nguyên user cần truy cập (trusting domain) có bất kì trust relationship nào với domain chứa user account, domain mà user logon (trusted domain). Kerberos sẽ xác định TDO có liên quan đến trusted domain trong Active Directory, tìm thông tin về đường link ngắn nhất giữa 2 domain, tìm thông tin về domain controller trong trusted domain. Sau đó, domain controller của trusted domain sẽ cấp sevices ticket tức là thông tin về user có liên quan đến services (dịch vụ) mà user yêu cầu truy cập cho cho trusting domain. Ví dụ domain B truy cập tài nguyên giữa domain C trong hình 2 -Tuy nhiên, trong phạm vi 1 forest các user có thể truy cập tài nguyên thuộc domain khác trong forest mà không cần thiết lập bất kì trust relationship nào. Khi user logon trên một domain và yêu cầu truy cập đến tài nguyên thuộc domain khác, yêu cầu được đưa về domain controller của domain mà user logon, rồi dựa vào parent/child trust để đưa yêu cầu lên domain cha rồi dựa vào parent/child trust và tree/root trust để đưa yêu cầu đến domain chứa tài nguyên. Ví dụ trong hình 2, user thuộc domain C muốn truy cập tài nguyên thuộc domain 2 thì yêu cầu được gửi về domain A, gửi qua domain 1 và tới domain 2. 2.Hoạt động của Trust Relationship giữa các forest :  Hình 12 :Hoạt động của trust relationship giũa các forest -Trên nền Windows Server 2003 và Windows Server 2008 hỗ trợ liên kết trust giữa các forest. Khi user muốn truy cập tài nguyên thông qua forest trust, Asctive Directory xác định domain chứa tài nguyên đó, sau đó mới cấp quyền cho user truy cập tài nguyên. Quá trình gồm các bước sau đây: Bước 1: User logon trên domain vancouver.nwtraders.msft muốn truy cập một thư mục được chia sẻ trên contoso.msft forest. Máy tính user logon sẽ liên lạc với KDC trên domain controller của vancouver.nwtraders.msft và xin một services ticket mà có chứa thông tin SPN của máy tính chứa thư mục bên contoso.msft forest. SPN có thể là DNS name của máy chứa tài nguyên, domain hay là tên riêng của dịch vụ triển khai riêng trên máy đó. Bước 2: Do tài nguyên không nằm trên vancouver.nwtraders.msft nên domain controller của vancouver.nwtraders.msft sẽ truy vấn global catalog để kiểm tra xem tài nguyên có nằm ở domain khác trong forest hay không. Kết quả là global catalog không tìm thấy thông tin được yêu cầu vì nó chỉ chứa thông tin trong nội bộ forest. Sau đó global catalog sẽ kiểm tra trong database về thông tin của các forest khác đã thiết lập trust relationship với nó. Nếu global catalog tìm thấy thông tin hợp lệ, nó sẽ so sánh name suffix trong TDO của forest trust với SPN của yêu cầu từ máy user. Sau khi xác nhận trùng khớp, global catalog cung cấp cho domain controller của vancouver.nwtraders.msft thông tin để xác định vị trí tài nguyên ở forest bên kia. Bước 3: Domain controller của vancouver.nwtraders.msft cung cấp thông tin về vị trí tài nguyên ở forest bên kia và kêu máy của user liên lạc với domain cha nwtraders.msft Bước 4: Máy của user liên lạc với domain controller của nwtraders.msft để lấy thông tin về forest root domain controller của contoso.msft Bước 5: Sau khi nhận được thông tin do domain controller nwtraders.msft trả về, máy user liên lạc với domain controller của contoso.msft forest để xin service ticket cho service (dịch vụ) cần truy cập. Bước 6: Do tài nguyên không nằm trên forest root domain contoso.msft, domain controller sẽ truy vấn global catalog tìm thông tin phù hợp với SPN được yêu cầu. Bước 7:. Domain controller sẽ gửi câu trả lời cho máy user, chuyển hướng truy vấn về seattle.consoto.msft Bước 8: Máy user sẽ liên lạc với KDC trên domain controller của seattle.consoto.msft và thỏa thuận một ticket để user có thể truy cập tài nguyên trên domain seattle.consoto.msft Bước 9: Máy user sẽ gửi service ticket cho server chứa tài nguyên xác nhận chứng thực của user và quyền hạn tương tác trên tài nguyên. Chương III : Lab Demo về Trust Relationship 1.Mô hình lab demo : Mô hình này sẽ sử dung 6 máy chạy trên hệ điều hành windows server 2008 . Thực hiện Lab Demo : Theo như mô hình thì sẽ có 2 forest. Hai forest này muốn có sự tin cậy lẫn nhau .Cho nên ta sẽ tạo con đường nhanh nhất là ta sẽ tạo forest trust cho 2 forest này .Nhưng để tìm hiểu rõ hơn về các loại trust cho nên ở đây ta sẽ tìm hiểu các trust còn lại : ** Tree/root và Parent/Child Trust Domain hvd.com là domain đầu tiên trong forest A, nên được đóng vai trò forest root domain. Các domain được tạo ra sau trong forest hvd.com mặc định sẽ tạo tree/root trust trực tiếp với domain này. Ngoài ra hvd.com còn là domain đầu tiên của tree nên sẽ là tree root domain. Các child domain thuộc tree hvd.com sẽ mặc định tạo parent/child trust với domain. Tóm lại do hvd.com vừa là forest root domain, vừa là tree root domain nên hệ thống đã thiết lập sẵn các trust relationship mang tính transitive (bắc cầu) và implicitly (ngầm định) tới domain giúp các user thuộc các domain trong cùng forest có thể chứng thực qua lại lẫn nhau. Và trong forest pcd.com cũng tương tự như vậy. Do đó để các user thuộc các domain trong 2 forest khác nhau có thể chứng thực qua lại ta chỉ cần tạo ra một forest trust có tính transitive giữa 2 forest root domain. **Tạo 1 Shorcut Trust : (trên forest A) Để tạo shortcut trust ta có thể dứng trên domain hvd.org hoặc hcm.hvd.com để tạo .Ở đây ta chọn domain hcm.hvd.com . B1: Việc đầu tiên là ta phải cấu hình dns sao cho 2 bên phân giải tốt đã . Ta có thể chọn forwarder hoặc là Stub Zone như trong hình : B2 :Sau khi cấu hình xong stub zone.Ta bắt đầu kiểm tra việc phân giải dns được chưa .Đây là điều kiện quan trong khi ta tạo trust . B3: Sau khi phân giải xong bên giờ ta có thể tạo shortcut trust giữa domain hvd.org và hcm.hvd.com.Ta sẽ tạo trust từ domain hcm.hvd.com Ở đây ta chọn vào tab trusts.Ta thấy hệ thống đã tạo sẵn trust parent/child .Tiếp theo ta chọn vào new trust để tạo một trust mới . B4: Hộp thoại giới thiệu ta chọn next .Tiếp theo đó xuất hiện hộp thoại Trust Name ta diền vào đây domain hvd.org B5:Tiếp theo là hộp thoại Direction of trust : Đây là hộp thoại nói về đường đi ta sẽ chọn là two-way. 1. Two-way: user thuộc 2 domain có thể được chứng thực qua lại lẫn nhau. Trong trường hợp này mỗi domain sẽ đóng 2 vai trò vừa là trusting domain mà vừa là trusted domain.2. One-way incoming: chỉ có user ở hcm.hvd.com được chứng thực ở hvd.org. Trong trường hợp này hcm.hvd.com là trusted domain còn hvd.org là trusting domain.3. One-way outgoing: chỉ có user ở hvd.org được chứng thực ở hcm.hvd.com. Trong trường hợp này hvd.org là trusted domain còn hcm.hvd.com là trusting domain. B6:Tiếp theo là hộp thoại Sides of trust . Ta sẽ chọn “Both ….” Sau đó nhấn next tiếp tục B7:Tiếp theo ta gõ username và password của administrator bên phía hvd.org. àTa chọn next tiếp tục . B8: Tiếp theo là hộp thoại “Trust Selection Complete” Ta đã thấy được trong phần thiết lập đã có Shortcut trust . àNext B9:Tiếp theo ta chọn các thông số theo yêu cầu và next tới finish .Quá trình tạo shortcut trust đã hoàn tất . B10: Ta kiểm tra thử trên hcm.hvd.com đã có trust giữa hvd.org và hcm.hvd.com theo trust type :”ShortCut Trust” Tương tự như vậy ta sẽ kiểm tra trên hvd.org . Như vậy quá trình tạo shortcut trust đã xong. **Tạo 1 External Trust giữa domain thuộc 2 forest khác nhau . Domain hvd.org (forest A) và Domain pcd.org (forest B). B1: Để tạo External trust ta có thể dứng trên domain hvd.org hoặc pcd.org để tạo .Ở đây ta chọn domain pcd.org để tạo External Trust. B1: Việc đầu tiên là ta phải cấu hình dns sao cho 2 bên phân giải tốt đã . Ta có thể chọn forwarder hoặc là Stub Zone như trong hình : Sau đó ta sẽ phân giai tên thử xem đa được chưa dung lệnh nslookup . B2:Ta bắt đầu tạo External Trust trên domain pcd.org . à Ta chọn vào New Trust B3: Xuất hiện hộp thoại giới thiệu ta chọn next . B4:Nhập tên domain hvd.org của forest A vào đây : B5: Xuất hiện hộp thọai Direction of Trust .Ta chọn Two-way để cho đơn giản lúc cấu hình .Sau đó nhấn next . B6:Hộp thoại Sides of Trust ta chọn “Both…” B7:Ta gõ username và password của domain bên forest A là hvd.org . B8:Xuất hiện hộp thoại “Outgoing Trust Authentication …“ Đây là các lựa chọn chứng thực ở đây ta sẽ chọn là “Domain-wide authentication” àNext B9:Tiếp theo là hộp thoại “Trust Creation Complete .Ở đây chúng ta cũng thấy từ “Trust Relationship created successfully” và phần trust type : External . àNext tiếp tục B10:Ta chọn các thông số tiếp theo cho đến khi xuất hiện hộp thoại báo finish . B11: Hệ thống cảnh báo về việc sẽ trùng SID nếu ta sử dụng chức năng migrate user và yêu cầu tắt chức năng SID filter B12:Ta kiểm tra trong tab trust đã có hvd.org với trust type là External .Như vậy với việc tao External trust thì 2 domain này sẽ không cần phải nhờ domain root cấu hình forest trust thì mới trust với nhau được theo tính chất bắt cầu .Mà khi đã có External trust rùi thì 2 domain này se làm việc với nhau mà không cần phải thông qua domain root của 2 forest nữa . **Tạo Forest Trust cho 2 fores A và forest B : Để tạo Forest trust ta có thể dứng trên domain hvd.com của forest A hoặc pcd.com của forest B để tạo .Ở đây ta chọn domain hvd.com để tạo Forest Trust. B1: Việc đầu tiên là ta phải cấu hình dns sao cho 2 bên phân giải tốt đã . Ta có thể chọn forwarder hoặc là Stub Zone như trong hình : B2 :Tiếp theo ta dung lệnh nslookup để phân giải tên miền của pcd.com . B3:Chúng ta cũng thấy trên miền hvd.com là domain root . Hệ thông đã tự ngầm định và tạo ra 2 loại trust là parent/child trust và tree-root trust . Ta sẽ chọn vào new trust để tạo forest trust . B4: Màn hình Welcome ta chọn next . B5: Nhập tên miền của domain pcd.com thuộc forest B . B6: Xuất hiện hộp thoại “Trust type” Ở đây hệ thống đã nhận dạng được domain ben kia là forest root domain nên gợi ý cho ta là 2 loại trust là forest trust và external trust.Trong trường hợp hệ thống nhận biết bên kia không sử dụng hệ điều hành windows thì sẽ gợi ý về realm trust.Ở đây ta chọn forest trust. B7: Tiếp theo ta chọn đường đi là Two-way àNext B8: Tiếp theo là lựa chọn chỉ tạo trust relationship trên domain thuộc forest mình đang đứng hay cả 2 domain. Nếu chọn “This domain only” ta phải qua doamin bên kia tạo mối liên kết ngược về. Còn nếu chọn “Both ...” thì ta sẽ tạo trust relationship trên cả 2 domain, tuy nhiên ta phải có account có quyền tạo trust relationship của forest bên kia là enterprise administrator. B9: Gõ username và password của administrator bên phía pcd.com . B10: Chọn số lượng user của forest bên kia là pcd.com được chứng thực ở forest của ta là hvd.com.1. Forest-wide authentication: mọi user của forest bên kia.2. Selective authentication: chỉ một nhóm user thuộc forest bên kia. Nếu chọn lựa chọn này bạn phải chỉ định ra những user nào trên forest pcd.com được phép chứng thực ở forest hvd.com. Ở đây ta chọn là “Forest-Wide Authentication” B11:Hộp thoại “Trust Selections Complete” chúng ta cũng thấy được trong mục nôi dung có Trust type là : Forest Trust .Như hình dưới : B12 :Ta confirm lại các đường đi của 2 miền này 1 lần nữa . àNext B13 : Hộp thoại báo successfully xuất hiện ta chọn finish . Như vậy là đã hoàn tất việc cấu hình forest trust giữa 2 forest A và B B14:Ta vào lại tab Trust kiểm tra lại .Như hình ở dưới thì ta đã thấy được domain pcd.com thuộc forest B đã trust với domain bên phía forest theo loại trust là Forest . Ta có thể kiểm tra bằng cách cho user 2 bên logon wa lại lẫn nhau . THE END