Establecer relaciones de confianza con dominios de otros bosques

Page 1

Las relaciones de confianza Primero un poco de teoría DominioA confía en la autenticación que hace DominioB de sus usuarios. Esto se representa como:

Como es de suponer, si tenemos único Dominio, no tenemos relaciones de confianza. Pero en cuanto agreguemos otros dominios a nuestro Bosque (Forest), formando un Árbol (Tree) ya se crearán relaciones de confianza Relaciones de Confianza Padre-Hijo (Parent-child trust) que cumplirán con los siguientes características: • Se crean automáticamente al crear sub-dominios • Son requeridas, no las podemos eliminar • Son bidireccionales. El “padre” confía en el “hijo”, y el “hijo” confía en el “padre” • Son transitivas, esto es si “hijo1” confía en “padre”, y “padre” confía en “hijo2”, entonces “hijo1” confía en “hijo2” En la siguiente figura están representadas con el número ①

Relaciones de Confianza Bosque-Árbol (Forest-Tree trust) En nuestro Bosque podríamos tener más de un Árbol (Tree), aunque no es una configuración habitual salvo que necesitáramos mantener identidades separadas Cuando agregamos Árboles al ya existente se crean automáticamente las relaciones de confianza Bosque-Árbol (Forest-Tree) que tienen exactamente las mismas características que las Padre-Hijo (Parent-Child) En la figura anterior está representada con el número ② Relaciones de Confianza Atajo (Shortcut trust) A veces por temas de diseño de Active Directory, nos podemos encontrar con un Bosque con varios dominios donde los “dominios de los usuarios” quedan “muy lejos” de los “dominios de recursos”. Esta “lejanía” hace que la autenticación no sea eficiente, y por lo tanto lenta. En este caso podemos crear una relación de tipo Atajo (Shortcut trust), que tiene las siguientes características: • Deben crearse manualmente • Por omisión son unidereccionales • Son “parcialmente transitivas” Esto es, podrían ser aprovechadas por sub-dominios de los dominios intervinientes En la siguiente figura están representadas por el número ③

Relaciones de Confianza Entre Bosques (Forest trust) Hay veces que por uniones de empresas, o por temas de diseño nos podemos encontrar con que tenemos dos Bosques separados, y necesitamos habilitar acceso entre Dominios de los mismos. En este caso deberemos crear manualmente una relación de confianza entre los Bosques Para poder crear una relación de este tipo, ambos Bosques deben tener nivel funcional igual o superior a Windows 2003 Estas relaciones tienen las siguientes características: • Deben crearse manualmente • Pueden ser uni o bi-direccionales • Pueden ser total o parcialmente transitivas Esto último implica que todos los dominios de cada Bosque puedan acceder a recursos autorizados en el otro, o sólo algunos Estas relaciones de confianza pueden a su vez tener dos tipos de autenticación 1. Forest Wide: cualquier usuario de uno de los Bosques puede acceder a los recursos del otro Bosque, con tal que tenga los permisos adecuados 2. Selective Authentication: similar al caso anterior, pero en cada servidor donde estén los recursos hay que dar el permiso “Allowed to authenticate” en las propiedades de la cuenta de máquina En la siguiente figura está identificada con el número ④

Otros tipos de Relaciones de Confianza Además de los casos mencionados existen dos tipos más de relaciones de confianza: • Externas: estas se arman manualmente dominio a dominio entre Bosques diferentes que no tienen ninguna relación de confianza. Son unidireccionales y no-transitivas • Realm trusts: se crean manualmente contra Realms de Unix Kerberos. Un Realm de Unix es equivalente al concepto de Dominio en Active Directory

Fuente: http://somebooks.es/?p=3417

Establecer relaciones de confianza con dominios de otros bosques Esta práctica la vamos a realizar en Oracle VM Virtual Box Server1 ISO.ORG 192.168.5.1 255.255.255.0 Dns: 127.0.0.1 Usuario Administrador Contraseña Administrador

Server2 PROGRAMACION.ORG 192.168.5.2 255.255.255.0 Dns: 127.0.0.1

Administrador Administrador

· Vamos a utilizar el disco vmdk de la máquina DC1-2K8R2 que tenemos con un Dominio ya creado (ISO.ORG) y el DNS. Haremos una copia de este archivo para utilizar en Virtual Box, y lo renombraremos a Server1.vmdk · De una máquina Windows Server 2008 totalmente nueva, también utilizaremos su disco para el Server2. Igualmente haciendo una copia y renombrándolo a Server2.vmdk Crearemos ambas máquinas como nuevas en VB. Cada una con su nombre y utilizando el disco duro correspondiente

Antes de elegir el disco, lo llevamos a la carpeta recién creada donde se nos guardan las máquinas virtuales de Virtual Box

Antes de elegir el disco, lo llevamos a la carpeta recién creada donde se nos guardan las máquinas virtuales de Virtual Box

En la configuración de red de ambas máquinas. Conectado a: Red interna (intnet)

Arrancamos las máquinas y para poder acceder a ellas

· Primero cambiaremos los nombres de los equipos. Inicio Equipo Propiedades (Server1, Server2) · Vamos a proceder a colocarles correctamente las IPs correspondientes y ver que hacen ping entre ellas, además de que funciona el nslookup · Botón derecho sobre el icono de red en la barra de notificación, abrir centro de redes y recursos compartidos · Conexión de área local 2, propiedades, Protocolo Internet IPv4, Propiedades (Colocar la IP y el DNS) · Comprobamos que nos la IP que le acabamos de colocar, desde la pestaña Detalles, sino desactivamos el adaptador y lo volvemos a activar que este correcto. Arreglamos la zona DNS directa e inversa del Server1, para que nos salga correcto el comando nslookup En este caso hemos tenido que borrar la zona inversa y volver a crearla Comprobamos desde ambas máquinas que se ven haciendo ping de la una a la otra. En mi caso no se ven, con lo que tengo que Cambiar la configuración de uso avanzado en el cortafuegos del Server2 para que el Server1 lo pueda ver. Deberíamos de comprobar si tenemos las reglas tanto de entrada como de salida activas referentes a: · Archivos e impresoras compartidos (petición eco: ICMPv4 de entrada) · Archivos e impresoras compartidos (petición eco: ICMPv4 de salida)

Antes de proceder a la creación de un nuevo dominio en el Server2, tenemos que ponerle una contraseña a la cuenta local Administrator Inicio equipo Administrar (Configuración usuarios y grupos locales) Cuenta local Administrator (Contraseña: AdminRoberto1) Una vez que ya se ven las máquinas, vamos a pasar a crear un nuevo dominio, nuevo bosque en el Server2 Con el comando dcpromo Crearemos un nuevo dominio en un bosque nuevo PROGRAMACION.ORG Para elegir el nivel funcional del bosque, miraremos el Server1 Inicio Herramientas administrativas Usuarios y equipos de Active Directory Sobre ISO.ORG elevar el nivel funcional del dominio (Vemos que es Windows Server 2008) Cuenta de Administrador del modo de restauración Contraseña: AdminRoberto1 Una vez acabado, tendremos que reiniciar el Server2 Ahora tenemos que crear en cada Server los reenviadores condicionales Desde Inicio Herramientas administrativas DNS Reenviadores condicionales agregar un nuevo reenviador condicional En el Server1 Programacion.org 192.168.5.2 Almacenar este reenviador condicional en AD y replicarlo como: Todos los servidores DNS en este bosque En el Server2 Iso.org 192.168.5.1 Almacenar este reenviador condicional en AD y replicarlo como: Todos los servidores DNS en este bosque

Ahora tenemos que realizar las confianzas desde el Server1 y luego validarlas desde el Server2 Inicio herramientas administrativas Dominios y confianzas de AD ISO.ORG Propiedades Pestaña Confianzas Nueva confianza PROGRAMACION .ORG` Confianza del bosque Bidireccional Ambos Usuario y Contraseña del dominio PROGRAMACION.ORG (Administrador Administrador) Autentificación en todo el bosque x2 (Nos lo preguntará dos veces) Si, confirmar la confianza saliente Si, confirmar la confianza entrante Y quedará algo como esto

Ahora en el Server2. Vamos a validar las confianzas. Esto nunca hay que olvidarlo ya que sino no funcionaría Inicio herramientas administrativas Dominios y confianzas de AD PROGRAMACION.ORG Propiedades Pestaña Confianzas Confianzas de salida Propiedades Validar Si, validar la confianza entrante Usuario y Contraseña del dominio ISO.ORG (Administrador Administrador) Confianzas entrantes Propiedades Validar Si, validar la confianza entrante Usuario y Contraseña del dominio ISO.ORG (Administrador Administrador)

Ahora ya una vez creada la relación de confianza, vamos a probarla. Creamos en cada Server una carpeta compartida llamada CC_SERVER1 y CC_SERVER2 Una vez compartida, en los permisos vamos a agregar el usuario Administrador desde la ubicación del otro dominio En la carpeta del Server1: CC_SERVER1 administrador@programacion.org (Leer y Cambiar) En la carpeta del Server2: CC_SERVER1 administrador@iso.org (Sólo lectura) Entrando desde Server1 en \\Server2 veremos la carpeta compartida CC_SERVER2 y el administrador podrá ver el contenido pero NO modificarlo Entrando desde Server2 en \\Server1 veremos la carpeta compartida CC_SERVER1 y el administrador podrá ver el contenido y también modificarlo Aquí vemos el ejemplo de cómo en el Server1 creamos la carpeta compartida y le damos los permisos

Entramos desde el Server2 al recurso compartido \\server1\CC_SERVER1 y si intentamos borrar una carpeta que ya existe o crear una nueva nos deja por tener permisos de lectura y de modificación. Si que hemos podido entrar al tener establecida la relación de confianza entre dominios de otros bosques

Aqu铆 vemos el ejemplo de c贸mo en el Server2 creamos la carpeta compartida y le damos los permisos

Entramos desde el Server1 al recurso compartido \\server2\CC_SERVER2 y si intentamos borrar una carpeta que ya existe no nos deja por no tener permisos m谩s que de lectura. Pero si que hemos podido entrar al tener establecida la relaci贸n de confianza entre dominios de otros bosques

Issuu converts static files into: digital portfolios, online yearbooks, online catalogs, digital photo albums and more. Sign up and create your flipbook.