Criar um Active Directory Trust

Overview

Um Active Directory trust (AD trust) é um método de ligação de dois domínios (ou florestas) Active Directory distintos para permitir aos utilizadores de um domínio autenticarem-se contra os recursos do outro. Em termos mais simples, é o processo de estender os limites de segurança de um domínio AD (ou floresta) para incluir outro domínio AD (ou floresta).

>

Há múltiplos parâmetros para configurar um Active Directory trust que não serão discutidos neste artigo; itopia recomenda que os administradores pesquisem os trusts AD para obterem uma compreensão completa do seu impacto e implicações antes de prosseguirem. Conceitos como transitividade, trusts implícitos, filtragem SID e escopo não são abordados neste artigo, mas são aspectos importantes para definir o impacto de uma relação de confiança.

É importante compreender vários termos que serão utilizados neste artigo:

  • Resource Domain – Este é o domínio AD que contém os recursos que os usuários precisam acessar. No contexto da itopia, este é o novo domínio que é criado pelo CAS que contém os servidores Cloud Desktop. Este é frequentemente chamado de domínio “trusting”.
  • Accounts Domain – Este é o domínio AD que contém as contas de utilizador com as quais os utilizadores fazem login. No contexto da itopia, este é o seu domínio AD existente que contém as contas de utilizador que irão autenticar-se no Cloud Desktop. Este é muitas vezes chamado de domínio “confiável”.

Directional Trusts

AD trusts relationships are directional; uma confiança pode ser configurada como uma confiança unidirecional ou bidirecional. Em um trust unidirecional, um domínio é especificado como o domínio Accounts e o outro é o domínio Resource; na terminologia confusa da Microsoft, o trust está entrando no domínio Accounts e saindo do domínio Resource. Um trust bidirecional é efetivamente dois trusts unidirecionais; cada domínio é configurado como o domínio Contas e o domínio Recurso, assim os usuários de um dos domínios podem acessar recursos no outro domínio.

NOTE: É importante entender que a frase “pode acessar recursos” não significa que os usuários de Contas tenham qualquer acesso implícito aos recursos no domínio do trust (Recurso); é mais preciso dizer que os usuários de Contas “podem ter acesso aos recursos” no domínio Recurso.

Prerequisites for Establishing an AD Trust

Para criar uma confiança AD entre dois domínios Active Directory, os seguintes requisitos devem ser satisfeitos:

  • Conectividade de rede – os controladores de domínio de cada domínio devem ser capazes de se comunicar uns com os outros. Servidores e outros recursos no domínio Resource devem também ser capazes de comunicar com os controladores de domínio no domínio Accounts
  • DNS Name Resolution – os controladores de domínio de cada domínio devem ser capazes de resolver registos DNS para o ambiente AD do outro domínio
  • Accounts Domain Service Account – é necessária uma conta de utilizador AD no domínio Accounts para que a itopia CAS possa ler os objectos de utilizador e de grupo nesse domínio. Isto é necessário para trusts unidireccionais; para trusts bidireccionais, o acesso implícito só de leitura é fornecido por defeito e não é necessária uma conta de serviço. A conta de serviço não requer quaisquer permissões especiais; necessita simplesmente de ser um membro do grupo de utilizadores do domínio no domínio Accounts.

Network Connectivity

Para suportar a confiança AD, os controladores de domínio em cada domínio devem ser capazes de comunicar através de um número de portas de rede. Para Cloud Desktop, isto requer:

  1. Criar um peering VPC (se o seu domínio de Contas tem controladores de domínio no Google Cloud) ou uma VPN ou Interconnect (se o seu domínio de Contas só tem controladores de domínio fora do Google Cloud). Consulte a documentação do Google Cloud para instruções detalhadas sobre estes processos.
  2. Configurar regras de firewall para permitir o tráfego AD entre o domínio Contas e o domínio Recursos. Essas regras normalmente precisam ser configuradas em vários lugares: na rede VPC para o seu ambiente de Cloud Desktop e na rede VPC (ou no firewall para ambientes locais) que contém os controladores de domínio para o domínio Accounts. Consulte a documentação do Google Cloud e/ou a documentação do seu fornecedor de firewall para obter instruções sobre esses processos.

A tabela abaixo fornece as portas de rede mínimas que são necessárias para a funcionalidade de confiança do Active Directory. Informações adicionais estão disponíveis na documentação da Microsoft.

Portas de rede necessárias para os trusts Active Directory - Consulte um href=https://support.microsoft.com/en-us/help/179442/how-to-configure-a-firewall-for-domains-and-trusts”/>

DNS Name Resolution

Once que a conectividade de rede foi estabelecida, ambos os domínios Active Directory devem ser configurados com regras de encaminhamento DNS para que eles possam acessar os registros DNS do Active Directory um do outro.

A forma mais comum de conseguir isso é criar encaminhadores condicionais para o FQDN de cada domínio nos servidores DNS do outro domínio. Considere o seguinte exemplo:

  • O domínio Resource é contoso.local e tem dois controladores de domínio AD / servidores DNS com os IPs 10.0.1.10 e 10.0.1.11
  • O domínio Accounts é fabrikam.local e tem dois controladores de domínio AD / servidores DNS com os IPs 192.168.1.10 e 192.168.1.11

Entre esses dois domínios (como descrito acima), um administrador para cada domínio configuraria o seguinte:

  • Nos servidores DNS para contoso.local, criaria um redirecionador condicional para o domínio fabrikam.local que aponta para 192.168.1.10 e 192.168.1.11
  • Nos servidores DNS para fabrikam.local, crie um redirecionador condicional para o domínio contoso.local que aponta para 10.0.1.10 e 10.0.1.11

Criar um reencaminhador condicional:

  1. Abra o utilitário DNS Manager no seu servidor DNS
  2. Expandir o nome do servidor DNS, e seleccione o item de menu Conditional Forwarders.
  3. Clique com o botão direito do rato e seleccione New Conditional Forwarder
  4. Para domínio DNS, especifique o FQDN do outro domínio AD. Para endereços IP, forneça pelo menos um endereço IP de um servidor DNS para o outro domínio
  5. Para simplificar, é recomendável habilitar Store this conditional forwarder in Active Directory; caso contrário, você precisará criar o forwarder localmente em cada servidor DNS.
  6. Guardar o reencaminhador.

NOTE: Existem outros métodos para estabelecer a resolução de nomes DNS entre domínios, e em alguns casos estes outros métodos podem ser necessários. Por exemplo, se um domínio reside atrás de uma interface NAT (Network Address Translation), os endereços IP retornados pelos seus servidores DNS não corresponderão aos IPs que o outro domínio deve usar para se comunicar. Neste cenário, seria necessário criar uma zona DNS para o FQDN do outro domínio, criar manualmente registros DNS A para os controladores de domínio (e o próprio nome do domínio) usando os endereços IP NAT, e então delegar o subdomínio _msdcs.<domínio FQDN> aos controladores de domínio no outro domínio.

Criando um AD Trust

Após os pré-requisitos terem sido estabelecidos e verificados, você pode proceder para criar um AD trust. Como mencionado no início deste artigo, existem várias decisões importantes de segurança que devem ser tomadas antes de criar um trust, e a análise destas decisões está para além do âmbito deste artigo. itopia recomenda que investigue e compreenda os trustes de AD antes de proceder.

>

No exemplo abaixo, configuraremos o seguinte:

  • Domínio de recursos: contoso.local
  • Domínio de contas: fabrikam.local
  • Tipo de trust: Um caminho, não-transitivo

Iniciaremos a criação de confiança a partir do domínio Resource (contoso.local) e configuraremos o New Trust Wizard para criar a confiança em ambos os domínios; se isso não for possível em seu ambiente, você pode executar o New Trust Wizard separadamente em cada domínio e configurá-lo para não criar a confiança no outro domínio.

  1. Log into a domain controller in the Resource domain contoso.local usando uma conta que é um membro do grupo Domain Admins.
  2. Abra o utilitário Active Directory Domains and Trusts.
  3. Expandir o menu da árvore à esquerda, clique com o botão direito do mouse no objeto que representa o domínio contoso.local e selecione Properties.
  4. Navegue até a aba Trusts e clique em New Trust
  5. Prossiga através do New Trust Wizard.
  6. Para Trust Name, forneça o FQDN do domínio Accounts, fabrikam.local
  7. Para Trust Type, selecione External trust; isto significa que o trust é apenas para os dois domínios que estão sendo configurados. Se contoso.local ou fabrikam.local tivesse algum domínio filho, eles não poderiam usar esta confiança e precisariam criar seus próprios trusts.
  8. Para Direction of Trust, selecione Two-way. Isto irá configurar tanto uma confiança de entrada quanto uma de saída em cada um dos domínios Conta e Recurso.
  9. Para Lados de Confiança, selecione Tanto este domínio como o domínio especificado. Isto irá criar a configuração de confiança em ambos os domínios ao mesmo tempo. Se você não tiver credenciais de administradores de domínio para o outro domínio, você pode selecionar Somente este domínio e, em seguida, executar o Novo Assistente de Confiança mais tarde para completar a confiança. Note que se você fizer isso, você inverteria os valores de configuração para fornecer o FQDN do domínio Resource e você selecionaria One-way: incoming.
  10. Para Nome de Usuário e Senha, forneça a credencial para uma conta com a associação dos Admins do Domínio no domínio Accounts.
  11. Para Nível de Autenticação de Confiança de Saída – Domínio Local, selecione Autenticação em todo o Domínio. Isto simplifica muito a configuração de permissão.
  12. Para Outgoing Trust Authentication Level – Specified Domain, selecione Autenticação em todo o domínio. Isto simplifica muito a configuração das permissões. NOTA: Se for necessária maior segurança, a autenticação selectiva pode ser activada para esta configuração. Contacte o suporte itopia para mais informações.
  13. No ecrã Selecções de Confiança Completas, reveja o resumo da configuração e clique em Seguinte.
  14. No ecrã Criação de Confiança Completa, reveja o estado para garantir que a confiança foi criada com sucesso e clique em Seguinte.
  15. Para confirmar a confiança de saída, selecione Sim, confirme a confiança de saída.
  16. Para confirmar a confiança de entrada, selecione Sim, confirme a confiança de entrada.
  17. Na tela Concluir Novo Assistente de Confiança, revise o status para se certificar de que a confiança foi confirmada com sucesso. Clique em Finish.
  18. Se você vir uma mensagem pop-up dizendo que a filtragem SID está ativada, você pode descartar essa mensagem com segurança. A filtragem de SID é uma medida de segurança padrão que não afetará a funcionalidade de confiança para Cloud Desktops.
Screen recording of AD trust creation process

Sumário

Este artigo fornece uma visão básica dos passos para criar uma confiança simples no Active Directory. O processo definido acima pode não ser adequado para todos os ambientes; é importante compreender as implicações de uma confiança de AD e conferir com as suas equipas de Segurança e Directório antes de decidir sobre a configuração de confiança que é apropriada para o seu ambiente.

Suporte para AD Trusts in CAS Deployments

>

Active Directory Implementation in itopia CAS

Deixe uma resposta

O seu endereço de email não será publicado.