Microsoft Windows Server 2003. Наиболее полное руководство


Доверительные отношения - часть 2


Примечание


Для использования доверительных отношений не имеет значения, какой механизм аутентификации используется клиентом. Даже если клиент не поддержи- ' вает протокол Kerberos, он может быть аутентифицирован через двусторонние доверительные отношения.

Архитектура Windows Server 2003 позволяет использовать доверительные транзитивные отношения как для соединения доменов в пределах одного леса, так и для соединения разных лесов доменов. Кроме того, могут быть установлены доверительные отношения между различными областями Кег-beros (Kerberos realms).

Все поддерживаемые типы доверительных отношений перечислены в табл. 18.1.

Таблица 18.1. Доверительные отношения, поддерживаемые доменами на базе Windows Server 2003

Доверительные отношения

Характеристика

Описание

Доверительные отношения внутри дерева

Двусторонние, транзитивные

Устанавливаются автоматически при создании в дереве нового домена. В рамках дерева доменов отношения описываются схемой "родитель-потомок"

Доверительные отношения внутри леса

Двусторонние, транзитивные

Устанавливаются автоматически при создании в существующем лесе нового дерева доменов. Фактически доверительные отношения устанавливаются между корневым доменом леса и создаваемым доменом, который будет являться корневым для нового дерева

Доверительные отношения между лесами доменов

Двусторонние или односторонние, транзитивные

Устанавливаются администраторами лесов доменов вручную. При этом администраторы сами решают — будут отношения двусторонними или односторонними

Перекрестные (shortcut) доверительные отношения

Односторонние или двусторонние, транзитивные

Устанавливаются между доменами различных деревьев, принадлежащих к одному лесу. Необходимость доверительных отношений данного типа не всегда очевидна, поскольку между доменами, принадлежащими одному лесу, через корневые домены автоматически устанавливаются неявные доверительные отношения. Перекрестные отношения доверия позволяют повысить эффективность взаимодействия между двумя доменами, уменьшая путь доверия (trust path). Путь доверия — последовательность переходов между доверяющими друг другу доменами, требуемых для аутентификации запроса. В случае неявных доверительных отношений этот путь может включать в себя несколько переходов, которые перекрестные отношения доверия позволяют избежать

Доверительные отношения с внешними доменами

Односторонние или двусторонние, нетранзитивные

Устанавливаются между доменами, принадлежащими к разным лесам, либо между доменом Windows Server 2003 и доменом Windows NT. Этот тип доверительных отношений может использоваться для соединения лесов, когда невозможно установить отношения доверия между лесами в целом (вследствие того, что один или оба леса не находятся на функциональном уровне Windows Server 2003)

Доверительные отношения между областями Kerberos

Односторонние или двусторонние, транзитивные или нетранзитивные

Устанавливаются между Windows Server 2003-доменом и областью Kerberos v5, реализованной не на базе Windows. Данный тип доверительных отношений может использоваться для обеспечения сквозной аутентификации на Windows и UNIX-системах

Примечание


Обратите внимание, что доверительные отношения внутри леса и внутри дерева доменов устанавливаются системой автоматически, в процессе создания домена или дерева доменов. Администратор не может как-либо отозвать их или удалить. Все остальные типы доверительных отношений создаются администратором вручную.




Начало  Назад  Вперед