Vytvoření vztahu důvěryhodnosti služby Active Directory

Přehled

Důvěryhodnost služby Active Directory (AD trust) je metoda propojení dvou různých domén (nebo doménových struktur) služby Active Directory, která umožňuje uživatelům v jedné doméně ověřovat prostředky ve druhé. Zjednodušeně řečeno se jedná o proces rozšíření bezpečnostní hranice domény (nebo doménové struktury) AD tak, aby zahrnovala jinou doménu (nebo doménovou strukturu) AD.

Konfigurace vztahu důvěryhodnosti služby Active Directory má více parametrů, které nebudou v tomto článku rozebírány; společnost itopia doporučuje, aby správci před dalším postupem prozkoumali vztahy důvěryhodnosti služby AD a získali úplné informace o jejich dopadu a důsledcích. Pojmy jako tranzitivita, implicitní důvěryhodnost, filtrování SID a rozsah nejsou v tomto článku popsány, ale jsou důležitými aspekty definování dopadu vztahu důvěryhodnosti.

Je důležité porozumět několika termínům, které budou v tomto článku použity:

  • Doména prostředků – Jedná se o doménu AD, která obsahuje prostředky, ke kterým uživatelé potřebují přistupovat. V kontextu itopia se jedná o novou doménu vytvořenou pomocí CAS, která obsahuje servery Cloud Desktop. Často se nazývá „důvěryhodná“ doména.
  • Doména účtů – Jedná se o doménu AD, která obsahuje uživatelské účty, pomocí kterých se uživatelé přihlašují. V kontextu aplikace itopia se jedná o vaši stávající doménu AD, která obsahuje uživatelské účty, které se budou ověřovat ke službě Cloud Desktop. Často se nazývá „důvěryhodná“ doména.

Směrové důvěryhodnosti

Vztahy důvěryhodnosti AD jsou směrové; důvěryhodnost může být nakonfigurována jako jednosměrná nebo obousměrná. V jednosměrném vztahu důvěryhodnosti je jedna doména určena jako doména Účty a druhá jako doména Prostředky; v matoucí terminologii společnosti Microsoft je vztah důvěryhodnosti příchozí do domény Účty a odchozí z domény Prostředky. Obousměrný trust jsou ve skutečnosti dva jednosměrné trusty; každá doména je nakonfigurována jako doména Účty i doména Prostředky, takže uživatelé v obou doménách mohou přistupovat k prostředkům v druhé doméně.

POZNÁMKA: Je důležité pochopit, že výraz „mohou přistupovat k prostředkům“ neznamená, že uživatelé domény Účty mají jakýkoli implicitní přístup k prostředkům v důvěřující doméně (Prostředky); přesnější je říci, že uživatelé domény Účty „mohou mít přístup k prostředkům“ v doméně Prostředky.

Předpoklady pro vytvoření důvěryhodnosti AD

Pro vytvoření důvěryhodnosti AD mezi dvěma doménami služby Active Directory musí být splněny následující požadavky:

  • Síťové připojení – řadiče domén z každé domény musí být schopny vzájemně komunikovat. Servery a další prostředky v doméně Resource musí být také schopny komunikovat s řadiči domény v doméně Accounts
  • Rozlišení názvů DNS – řadiče domény z každé domény musí být schopny překládat záznamy DNS pro prostředí AD druhé domény
  • Účet služby domény Accounts – je vyžadován uživatelský účet AD v doméně Accounts, aby systém itopia CAS mohl číst objekty uživatelů a skupin v této doméně. Je vyžadován pro jednosměrné trusty; pro obousměrné trusty je ve výchozím nastavení zajištěn implicitní přístup pouze pro čtení a servisní účet není vyžadován. Účet služby nevyžaduje žádná zvláštní oprávnění; stačí, aby byl členem skupiny Domain Users (Uživatelé domény) v doméně Accounts (Účty).

Síťové připojení

Pro podporu důvěryhodnosti AD musí být řadiče domény v každé doméně schopny komunikovat prostřednictvím několika síťových portů. V případě služby Cloud Desktop to vyžaduje:

  1. Vytvoření peeringu VPC (pokud má vaše doména Accounts řadiče domény v Google Cloud) nebo VPN či Interconnect (pokud má vaše doména Accounts řadiče domény pouze mimo Google Cloud). Podrobné pokyny k těmto procesům naleznete v dokumentaci služby Google Cloud.
  2. Konfigurace pravidel brány firewall pro povolení provozu AD mezi doménou Accounts a doménou Resource. Tato pravidla je obvykle třeba nakonfigurovat na více místech: v síti VPC pro prostředí Cloud Desktop a v síti VPC (nebo bráně firewall pro lokální prostředí), která obsahuje řadiče domény pro doménu Accounts. Pokyny k těmto procesům naleznete v dokumentaci služby Google Cloud a/nebo v dokumentaci dodavatele brány firewall.

Následující tabulka uvádí minimální síťové porty, které jsou vyžadovány pro funkci důvěryhodnosti služby Active Directory. Další informace jsou k dispozici v dokumentaci společnosti Microsoft.

Požadované síťové porty pro důvěryhodnost služby Active Directory - viz a href=https://support.microsoft.com/en-us/help/179442/how-to-configure-a-firewall-for-domains-and-trusts“/>

Rozlišení názvů DNS

Po vytvoření síťového připojení musí být obě domény služby Active Directory nakonfigurovány s pravidly předávání DNS, aby mohly vzájemně přistupovat k záznamům DNS služby Active Directory.

Nejběžnějším způsobem, jak toho dosáhnout, je vytvoření podmíněných předávačů pro FQDN každé domény na serverech DNS druhé domény. Uvažujme následující příklad:

  • Doména Resource se jmenuje contoso.local a má dva řadiče domény AD / servery DNS s IP adresami 10.0.1.10 a 10.0.1.11
  • Doména Accounts se jmenuje fabrikam.local a má dva řadiče domény AD / servery DNS s IP adresami 192.168.1.10 a 192.168.1.11

Po vytvoření síťového připojení mezi těmito dvěma doménami (jak je popsáno výše) by správce pro každou doménu nakonfiguroval následující:

  • Na serverech DNS pro contoso.local vytvořte podmíněný předávač pro doménu fabrikam.local, který ukazuje na adresy 192.168.1.10 a 192.168.1.11
  • Na serverech DNS pro fabrikam.local vytvořte podmíněný forwarder pro doménu contoso.local, který ukazuje na adresy 10.0.1.10 a 10.0.1.11

Pro vytvoření podmíněného předávače:

  1. Otevřete nástroj Správce DNS na serveru DNS
  2. Rozbalte název serveru DNS a vyberte položku nabídky Podmíněné předávače.
  3. Klikněte pravým tlačítkem myši a vyberte možnost Nový podmíněný předávač
  4. Pro doménu DNS zadejte FQDN druhé domény AD. Pro IP adresy zadejte alespoň jednu IP adresu serveru DNS pro druhou doménu
  5. Pro zjednodušení doporučujeme povolit možnost Uložit tento podmíněný předávač ve službě Active Directory; jinak bude nutné vytvořit předávač lokálně na každém serveru DNS.
  6. Uložení forwarderu.
Záznam obrazovky vytvoření podmíněného forwarderu.

POZNÁMKA: Existují i jiné metody vytvoření překladu názvů DNS mezi doménami a v některých případech mohou být tyto jiné metody nezbytné. Například pokud se jedna doména nachází za rozhraním překladu síťových adres (NAT), nebudou IP adresy vrácené jejími servery DNS odpovídat IP adresám, které musí druhá doména používat ke komunikaci. V tomto případě by bylo nutné vytvořit zónu DNS pro FQDN druhé domény, ručně vytvořit záznamy DNS A pro řadiče domény (a samotný název domény) pomocí IP adres NAT a poté delegovat subdoménu _msdcs.<domain FQDN> na řadiče domény v druhé doméně.

Vytvoření vztahu AD Trust

Po vytvoření a ověření předpokladů můžete přistoupit k vytvoření vztahu AD Trust. Jak bylo zmíněno na začátku tohoto článku, před vytvořením vztahu důvěryhodnosti je třeba učinit několik důležitých bezpečnostních rozhodnutí, jejichž rozbor přesahuje rámec tohoto článku. itopia doporučuje, abyste před dalším postupem prozkoumali vztahy důvěryhodnosti AD a porozuměli jim.

V následujícím příkladu nakonfigurujeme následující:

  • Doména prostředků: contoso.local
  • Doména účtů: fabrikam.local
  • Typ vztahu důvěryhodnosti:

Vytvoření vztahu důvěryhodnosti zahájíme z domény Resource (contoso.local) a nakonfigurujeme Průvodce vytvořením vztahu důvěryhodnosti tak, aby vytvořil vztah důvěryhodnosti v obou doménách; pokud to ve vašem prostředí není možné, můžete Průvodce vytvořením vztahu důvěryhodnosti spustit v každé doméně zvlášť a nakonfigurovat jej tak, aby nevytvářel vztah důvěryhodnosti v druhé doméně.

  1. Přihlaste se k řadiči domény v doméně Resource contoso.local pomocí účtu, který je členem skupiny Domain Admins.
  2. Otevřete nástroj Active Directory Domains and Trusts.
  3. Rozbalte levou stromovou nabídku, klikněte pravým tlačítkem myši na objekt představující doménu contoso.local a vyberte možnost Properties.
  4. Přejděte na kartu Trusts a klikněte na tlačítko New Trust
  5. Pokračujte v Průvodci vytvořením nové důvěryhodnosti.
  6. Pro název důvěryhodnosti zadejte FQDN domény Accounts, fabrikam.local
  7. Pro typ důvěryhodnosti vyberte možnost Externí důvěryhodnost; to znamená, že důvěryhodnost je určena pouze pro dvě konfigurované domény. Pokud by contoso.local nebo fabrikam.local měly nějaké podřízené domény, nemohly by tento trust používat a musely by si vytvořit vlastní trusty.
  8. Pro Direction of Trust (Směr trustu) vyberte možnost Two-way (Obousměrný). Tím se nakonfiguruje příchozí i odchozí důvěryhodnost v každé z domén účtů a prostředků.
  9. Pro stranu důvěryhodnosti vyberte možnost Tato doména i zadaná doména. Tím se vytvoří konfigurace důvěryhodnosti v obou doménách současně. Pokud nemáte pověření správce domény pro druhou doménu, můžete vybrat pouze tuto doménu a Průvodce vytvořením nové důvěryhodnosti spustit později a důvěryhodnost dokončit. Všimněte si, že v takovém případě byste obrátili konfigurační hodnoty, abyste zadali FQDN domény Resource, a vybrali byste možnost Jednosměrné: příchozí.
  10. Pro uživatelské jméno a heslo zadejte pověření pro účet s členstvím Domain Admins v doméně Accounts.
  11. Pro úroveň ověření odchozí důvěryhodnosti – místní doména vyberte možnost Ověření pro celou doménu. Tím se výrazně zjednoduší konfigurace oprávnění.
  12. Pro Outgoing Trust Authentication Level – Specified Domain vyberte Domain-wide authentication. Tím se výrazně zjednoduší konfigurace oprávnění. POZNÁMKA: Pokud je požadováno vyšší zabezpečení, lze pro toto nastavení povolit Selektivní ověřování. Další informace vám poskytne podpora společnosti itopia.
  13. Na obrazovce Výběr důvěryhodnosti dokončen zkontrolujte souhrn konfigurace a klikněte na tlačítko Další.
  14. Na obrazovce Vytvoření důvěryhodnosti dokončeno zkontrolujte stav, zda byla důvěryhodnost úspěšně vytvořena, a klikněte na tlačítko Další.
  15. Pokud chcete potvrdit odchozí důvěryhodnost, vyberte možnost Ano, potvrďte odchozí důvěryhodnost.
  16. Pokud chcete potvrdit příchozí důvěryhodnost, vyberte možnost Ano, potvrďte příchozí důvěryhodnost.
  17. Na obrazovce Dokončení průvodce vytvořením nové důvěryhodnosti zkontrolujte stav, zda byla důvěryhodnost úspěšně potvrzena. Klepněte na tlačítko Dokončit.
  18. Pokud se zobrazí vyskakovací zpráva, že je povoleno filtrování SID, můžete tuto zprávu bezpečně zahodit. Filtrování SID je výchozí bezpečnostní opatření, které neovlivní funkci důvěryhodnosti pro plochy Cloud Desktops.
Záznam procesu vytváření důvěryhodnosti AD na obrazovce

Shrnutí

Tento článek poskytuje základní přehled kroků pro vytvoření jednoduché důvěryhodnosti služby Active Directory. Výše definovaný postup nemusí být vhodný pro každé prostředí; před rozhodnutím o konfiguraci důvěryhodnosti, která je vhodná pro vaše prostředí, je důležité pochopit důsledky důvěryhodnosti AD a poradit se s týmy zabezpečení a adresáře.

Podpora důvěryhodnosti AD v nasazeních CAS

Implementace služby Active Directory v systému itopia CAS

.

Leave a Reply

Vaše e-mailová adresa nebude zveřejněna.