Tworzenie Active Directory Trust

Overview

An Active Directory trust (AD trust) jest metodą łączenia dwóch różnych domen Active Directory (lub lasów), aby umożliwić użytkownikom w jednej domenie do uwierzytelniania wobec zasobów w drugiej. W najprostszych słowach jest to proces rozszerzania granic bezpieczeństwa domeny AD (lub lasu), aby objąć inną domenę AD (lub las).

Istnieje wiele parametrów do konfigurowania zaufania Active Directory, które nie zostaną omówione w tym artykule; itopia zaleca administratorom zbadanie zaufania AD, aby uzyskać pełne zrozumienie ich wpływu i implikacji przed kontynuowaniem. Koncepcje takie jak transitivity, implicit trusts, SID filtering i scoping nie są omawiane w tym artykule, ale są ważnymi aspektami definiowania wpływu relacji zaufania.

Ważne jest zrozumienie kilku terminów, które będą używane w tym artykule:

  • Resource Domain – Jest to domena AD, która zawiera zasoby, do których użytkownicy muszą mieć dostęp. W kontekście itopii jest to nowa domena, która jest tworzona przez CAS i zawiera serwery Cloud Desktop. Często jest ona nazywana domeną „ufającą”.
  • Accounts Domain – Jest to domena AD, która zawiera konta użytkowników, za pomocą których użytkownicy się logują. W kontekście itopii jest to istniejąca domena AD zawierająca konta użytkowników, które będą uwierzytelniać się do Cloud Desktop. Jest to często nazywane „zaufaną” domeną.

Zaufania kierunkowe

Związki zaufania AD są kierunkowe; zaufanie może być skonfigurowane jako jednokierunkowe lub dwukierunkowe. W zaufaniu jednokierunkowym jedna domena jest określona jako domena kont, a druga jako domena zasobów; w mylącej terminologii firmy Microsoft zaufanie jest przychodzące do domeny kont i wychodzące z domeny zasobów. Powiernictwo dwukierunkowe to w rzeczywistości dwa jednokierunkowe powiernictwa; każda domena jest skonfigurowana zarówno jako domena Konta, jak i domena Zasobów, więc użytkownicy w każdej domenie mogą uzyskać dostęp do zasobów w drugiej domenie.

UWAGA: Ważne jest zrozumienie, że wyrażenie „może uzyskać dostęp do zasobów” nie oznacza, że użytkownicy domeny Konta mają jakikolwiek niejawny dostęp do zasobów w domenie ufającej (Zasobów); dokładniej jest powiedzieć, że użytkownicy domeny Konta „mogą uzyskać dostęp do zasobów” w domenie Zasobów.

Warunki ustanowienia zaufania AD

Aby utworzyć zaufanie AD między dwiema domenami Active Directory, muszą być spełnione następujące wymagania:

  • Połączenie sieciowe – kontrolery domeny z każdej domeny muszą być w stanie komunikować się ze sobą. Serwery i inne zasoby w domenie Resource muszą również mieć możliwość komunikowania się z kontrolerami domeny w domenie Accounts
  • Rozpoznawanie nazw DNS – kontrolery domeny z każdej domeny muszą mieć możliwość rozwiązywania rekordów DNS dla środowiska AD drugiej domeny
  • Konto usługi domeny Accounts – wymagane jest konto użytkownika AD w domenie Accounts, aby itopia CAS mogła odczytywać obiekty użytkowników i grup w tej domenie. Jest to wymagane w przypadku trustów jednokierunkowych; w przypadku trustów dwukierunkowych domyślnie zapewniony jest dorozumiany dostęp tylko do odczytu i konto serwisowe nie jest wymagane. Konto usługi nie wymaga żadnych specjalnych uprawnień; po prostu musi być członkiem grupy Domain Users w domenie Accounts.

Połączenia sieciowe

Aby obsługiwać zaufanie AD, kontrolery domeny w każdej domenie muszą być w stanie komunikować się przez szereg portów sieciowych. W przypadku Cloud Desktop wymaga to:

  1. Tworzenia VPC peering (jeśli domena Konta ma kontrolery domeny w Google Cloud) lub VPN lub Interconnect (jeśli domena Konta ma tylko kontrolery domeny poza Google Cloud). Szczegółowe instrukcje dotyczące tych procesów można znaleźć w dokumentacji Google Cloud.
  2. Konfigurowanie reguł zapory sieciowej w celu zezwolenia na ruch AD między domeną Konta a domeną Zasoby. Reguły te zazwyczaj należy skonfigurować w wielu miejscach: w sieci VPC dla środowiska Cloud Desktop oraz w sieci VPC (lub zapory w środowiskach lokalnych) zawierającej kontrolery domeny dla domeny Accounts. Instrukcje dotyczące tych procesów można znaleźć w dokumentacji Google Cloud i/lub dokumentacji dostawcy zapory.

W poniższej tabeli podano minimalne porty sieciowe wymagane dla funkcji zaufania Active Directory. Dodatkowe informacje są dostępne w dokumentacji firmy Microsoft.

Wymagane porty sieciowe dla funkcji zaufania Active Directory - Odwołaj się do href=https://support.microsoft.com/en-us/help/179442/how-to-configure-a-firewall-for-domains-and-trusts”/>

Rozdzielczość nazw DNS

Po ustanowieniu łączności sieciowej obie domeny Active Directory muszą być skonfigurowane z regułami przekierowania DNS, aby mogły uzyskać dostęp do wzajemnych rekordów DNS Active Directory.

Najczęstszym sposobem osiągnięcia tego jest utworzenie warunkowych przekierowań dla każdej domeny FQDN na serwerach DNS drugiej domeny. Rozważmy następujący przykład:

  • Domeną zasobów jest contoso.local i ma dwa kontrolery domeny AD / serwery DNS z IP 10.0.1.10 i 10.0.1.11
  • Domeną kont jest fabrikam.local i ma dwa kontrolery domeny AD / serwery DNS z IP 192.168.1.10 i 192.168.1.11

Po ustanowieniu łączności sieciowej między tymi dwoma domenami (jak opisano powyżej), administrator każdej domeny skonfigurowałby następujące elementy:

  • Na serwerach DNS dla contoso.local, utwórz warunkowe przekierowanie dla domeny fabrikam.local, który wskazuje na 192.168.1.10 i 192.168.1.11
  • Na serwerach DNS dla fabrikam.local, utwórz warunkowy forwarder dla domeny contoso.local, który wskazuje na 10.0.1.10 i 10.0.1.11

Aby utworzyć forwarder warunkowy:

  1. Otwórz narzędzie DNS Manager na swoim serwerze DNS
  2. Rozwiń nazwę serwera DNS i wybierz element menu Conditional Forwarders.
  3. Kliknij prawym przyciskiem myszy i wybierz New Conditional Forwarder
  4. W przypadku domeny DNS określ FQDN drugiej domeny AD. Dla adresów IP, podaj co najmniej jeden adres IP serwera DNS dla drugiej domeny
  5. Dla uproszczenia zaleca się włączenie opcji Przechowuj ten warunkowy przekierowanie w Active Directory; w przeciwnym razie trzeba będzie utworzyć przekierowanie lokalnie na każdym serwerze DNS.
  6. Zapisz przekierowanie.

Nagranie ekranu tworzenia warunkowego przekierowania.

UWAGA: Istnieją inne metody ustalania rozdzielczości nazw DNS między domenami, a w niektórych przypadkach te inne metody mogą być konieczne. Na przykład, jeśli jedna domena znajduje się za interfejsem Network Address Translation (NAT), adresy IP zwracane przez jej serwery DNS nie będą pasowały do adresów IP, których druga domena musi używać do komunikacji. W tym scenariuszu, trzeba będzie utworzyć strefę DNS dla drugiej domeny FQDN, ręcznie utworzyć rekordy DNS A dla kontrolerów domeny (i samej nazwy domeny) przy użyciu adresów IP NAT, a następnie delegować subdomeny _msdcs.<domain FQDN> do kontrolerów domeny w drugiej domenie.

Tworzenie zaufania AD

Po ustaleniu i zweryfikowaniu warunków wstępnych można przystąpić do tworzenia zaufania AD. Jak wspomniano na początku tego artykułu, istnieje kilka ważnych decyzji dotyczących bezpieczeństwa, które muszą zostać podjęte przed utworzeniem zaufania, a analiza tych decyzji wykracza poza zakres tego artykułu. itopia zaleca zbadanie i zrozumienie zaufania AD przed przystąpieniem do działania.

W poniższym przykładzie skonfigurujemy następujące elementy:

  • Domena zasobów: contoso.local
  • Domena kont: fabrikam.local
  • Typ zaufania: One-way, non-transitive

Zainicjujemy tworzenie zaufania z domeny Resource (contoso.local) i skonfigurujemy kreatora New Trust Wizard, aby utworzył zaufanie w obu domenach; jeśli nie jest to możliwe w Twoim środowisku, możesz uruchomić kreatora New Trust Wizard osobno w każdej domenie i skonfigurować go tak, aby nie tworzył zaufania w drugiej domenie.

  1. Zaloguj się do kontrolera domeny w domenie Resource contoso.local, używając konta będącego członkiem grupy Domain Admins.
  2. Otwórz narzędzie Active Directory Domains and Trusts.
  3. Rozwiń lewe menu drzewa, kliknij prawym przyciskiem myszy obiekt reprezentujący domenę contoso.local i wybierz polecenie Properties.
  4. Przejdź do karty Trusts i kliknij polecenie New Trust.
  5. Postępuj zgodnie z kreatorem New Trust Wizard.
  6. W przypadku nazwy zaufania podaj FQDN domeny Konta, fabrikam.local
  7. W przypadku typu zaufania wybierz opcję Zaufanie zewnętrzne; oznacza to, że zaufanie dotyczy tylko dwóch konfigurowanych domen. Jeśli contoso.local lub fabrikam.local mają jakiekolwiek domeny potomne, nie będą one mogły korzystać z tego zaufania i będą musiały utworzyć swoje własne zaufania.
  8. Dla kierunku zaufania wybierz Dwukierunkowe. Spowoduje to skonfigurowanie zarówno przychodzącego, jak i wychodzącego zaufania w każdej z domen Konta i Zasoby.
  9. Dla Strony zaufania, wybierz Zarówno ta domena, jak i określona domena. Spowoduje to utworzenie konfiguracji zaufania w obu domenach w tym samym czasie. Jeśli nie masz poświadczeń administratora domeny dla drugiej domeny, możesz wybrać opcję Tylko ta domena, a następnie uruchomić Kreator nowego zaufania w późniejszym czasie, aby zakończyć tworzenie zaufania. Zauważ, że jeśli to zrobisz, odwrócisz wartości konfiguracyjne, aby podać FQDN domeny zasobów i wybierzesz One-way: incoming.
  10. Dla User Name and Password, podaj poświadczenia dla konta z członkostwem Domain Admins w domenie Accounts.
  11. Dla Outgoing Trust Authentication Level – Local Domain, wybierz Domain-wide authentication. To znacznie upraszcza konfigurację uprawnień.
  12. Dla poziomu uwierzytelniania zaufania wychodzącego – określona domena, wybierz uwierzytelnianie obejmujące całą domenę. To znacznie upraszcza konfigurację uprawnień. UWAGA: Jeśli wymagane jest większe bezpieczeństwo, dla tego ustawienia można włączyć uwierzytelnianie selektywne. Skontaktuj się z pomocą techniczną itopia, aby uzyskać więcej informacji.
  13. Na ekranie Trust Selections Complete (Wybór zaufania) przejrzyj podsumowanie konfiguracji i kliknij przycisk Next (Dalej).
  14. Na ekranie Trust Creation Complete (Utworzenie zaufania) przejrzyj stan, aby upewnić się, że zaufanie zostało utworzone pomyślnie, i kliknij przycisk Next (Dalej).
  15. W przypadku opcji Confirm Outgoing Trust (Potwierdź zaufanie wychodzące) wybierz Yes (Tak), potwierdź zaufanie wychodzące.
  16. W przypadku opcji Confirm Incoming Trust (Potwierdź zaufanie przychodzące) wybierz Yes (Tak), potwierdź zaufanie przychodzące.
  17. Na ekranie Completing the New Trust Wizard (Ukończenie kreatora nowego zaufania) przejrzyj stan, aby upewnić się, że zaufanie zostało pomyślnie potwierdzone. Kliknij przycisk Zakończ.
  18. Jeśli zobaczysz wyskakujący komunikat, że włączone jest filtrowanie SID, możesz bezpiecznie odrzucić ten komunikat. Filtrowanie SID jest domyślnym środkiem bezpieczeństwa, który nie będzie miał wpływu na funkcjonalność zaufania dla Cloud Desktops.
Nagranie ekranu procesu tworzenia zaufania AD

Podsumowanie

Ten artykuł zawiera podstawowy przegląd kroków tworzenia prostego zaufania Active Directory. Zdefiniowany powyżej proces może nie być odpowiedni dla każdego środowiska; ważne jest, aby zrozumieć implikacje zaufania AD i skonsultować się z zespołami ds. bezpieczeństwa i katalogów przed podjęciem decyzji o konfiguracji zaufania odpowiedniej dla danego środowiska.

Wsparcie dla zaufania AD we wdrożeniach CAS

Wdrożenie Active Directory w itopia CAS

.

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany.