Configurar una Relacion de Confianza entre dos Bosques

Las relaciones de confianza, dicho de un modo simple, permiten que usuarios de un dominio puedan acceder a recursos de otro dominio. 

En un bosque se crean relaciones de confianza bidireccionales y transitivas entre todos los dominios.

Pero ¿y si queremos compartir recursos entre diferentes bosques?

Tendremos que crear relaciones de confianza de modo explícito.Las relaciones de confianza se establecen entre 2 dominios.

Dependiendo de la función que cumplen en la relación tendremos:

  • “dominio trusting” (dominio que confía y a cuyos recursos van a acceder los usuarios del otro dominio)
  • “dominio trusted” (en el que confiamos y cuyos usuariospueden acceder al otro dominio de la relación).

Un dominio podrá ser trusting y trusted a la vez.

Existen varios tipos de Relación de Confianza y de Autenticación que podemos establecer entre distintos bosques.Según el escenario optaremos por una combinación de ambos u otra.

Tipos de relaciones de confianza: 

Forest Trust Relationship: se establecen entre los dominios raíz de cada bosque, pueden ser unidireccionales o bidireccionales y son transitivas.

Que sea transitiva quiere decir que los dominios hijos u otros arboles del dominio raíz trusting, a su vez se fían de los subdominios del dominio raíz trusted.

Podría suceder que se produjeran retrasos o latencias en los procesos de autenticación. En estos casos puede ser necesario crear una relación de tipo Shortcut entre los dos extremos para evitar los múltiples saltos en el proceso de autenticación.

Se puede establecer solo entre Directorios Activos de Windows 2000 en adelante.

forest

External Trust Relationship: se establecen entre cualquier par de dominios (no tienen por que ser los dominios raíz)., no son transitivas y de igual modo pueden ser unidireccionales o bidireccionales.

Al igual que en la anterior, solo se puede establecer entre Directorios Activos de Windows 2000 en adelante.

external

Realm Trust Relationship: se establecen entre dominios de Directorio Activo y otros sistemas de autenticación que no sean Directorio Activo (Oracle Identity, NIS, Windows NT 4.0, …).

Se pueden configurar comotransitivas o no, y unidireccionales o bidireccionales.

Autenticación en Relaciones de Confianza

Como dijimos al principio, cuando establecemos una relación de confianza, estamos dando acceso a usuarios de otro bosque o dominio a los recursos del nuestro (bosque o dominio).

La mejor parte es que podemos elegir cuáles serán los recursos sobre los que vamos a dar acceso. Existen 2 tipos de autenticación: 

Forest/Domain-Wide Authentication: tanto si elegimos una relación de tipo bosque y seleccionamos la autenticación de tipo Forest-Wide, como si escogemos en una relación de tipo external y  seleccionamos la autenticación de tipo Domain-Wide, vamos a permitir la autenticación (el acceso) en todos los servidores del bosque o el dominio en cuestion. 

Selective Authentication: este modo de autenticación (Firewall de Autenticación) nos permite escoger los servidores del bosque o del dominio (si es de tipo external) sobre las que vamos a permitir la autenticación. 

En este modo de autenticación, por defecto no habrá ningún servidor habilitado para autenticar a usuarios / grupos del otro bosque.

Tendremos que ir a Directorio Activo y en cada servidor que vaya a dar acceso a los usuarios de otro bosque, en la pestaña de Security le tendremos que añadir esos usuarios o grupos y darle el permiso de “Allow to Authenticate”.

¿Y después?

Por ejemplo, siguiendo los consejos de Microsoft de anidación, podríamos crear, por ejemplo, una carpeta y compartirla.

La compartiríamos con un grupo de seguridad de tipo Local Domain y a este le añadiríamos como miembro a un grupo de seguridad de tipo Global del otro bosque. En este añadiríamos a los usuarios a los que querríamos darles acceso.

Y asi esos usuarios (y solo esos usuarios)  podrían entrar desde sus equipos a esa capeta compartida desde el otro bosque.

Propuesta

Si nunca habéis realizado una relación de confianza, os propongo que hagáis la siguiente:

Esquema Post

Podéis ver en el video como se realiza esta misma propuesta.

Muchas gracias por acudir a este post y nos vemos en el siguiente!

Autor: Jorge Agudo Martín

Curso: Microsoft MCSA Windows Server + Microsoft MCSE Cloud Platform & Infrastructure

Centro: Tajamar

Año académico: 2018-2019

www.linkedin.com/in/jorge-agudo-m

Leave a Comment

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.