Relaciones de confianza

Una relación de confianza (trust relationship) se trata de de una relación mediante la cual un usuario se puede autentificar, aparte de en los recursos de su propio dominio, en los recursos del dominio o bosque con el cual se establece este tipo de relación. Por defecto los dominios dentro de un mismo bosque se crean con una relación de confianza implícita entre ellos. Para configurar nuevas relaciones de confianza o ver las que están actualmente establecidas y con que características se puede realizar a través de la línea de comando con NETDOM o por la consola Dominios y confianzas de Active Directory desde también podremos crear una nueva confianza mediante un asistente grafico que nos guiara por todos los pasos necesarios que lo hará mucho menos tedioso que usando NETDOM. En Dominios y confianzas de Active Directory debemos ir a Propiedades->Confía en del dominio en cuestión donde podemos tanto ver las relaciones existente como crear una nueva.

Las relaciones de confianza pueden ser unidireccionales (one-way) o bidireccionales (two-way), es decir que pueden funcionar en un sentido solo o en ambos. Se considera relación de entrada (incoming trust) cuando los usuarios del dominio o bosque en que la configuramos pueden ser autentificados por el otro dominio mientras que se considera de salida (outgoing trust) cuando en el dominio que la configuramos se pueden autentificar usuarios de otro dominio o bosque.

También es posible configurar si queremos que la autenticación se pueda realizar en todos los recursos del dominio (domain-wide) o bien si la queremos hacer selectiva (selective) de forma que solo se pueda realizar en unos determinados servidores que especifiquemos. De igual manera podemos seleccionar si la relación de confianza queremos que sea transitiva o intransitiva, si elegimos que sea transitiva también se confiara en dominios que a su vez confíe en ellos el dominio con el que tenemos establecida el trust transitivo.

Según se confíe en un forest, dominio de NT4 o de directorio activo o un realm de Kerberos, dominio no-windows con autenticación Kerberos), se pueden establecer distintos tipos de trust:

Externo (external trust): es el tipo de confianza mas habitual, es siempre intransitiva y se puede configurar tanto unidireccional como bidireccionalmente. Este tipo de confianza se realizar entre dominios en bosques distintos o bien con un dominio de NT4. Por ejemplo si queremos realizar una migración de usuarios desde un dominio de Windows NT 4 utilizando ADMT deberemos establecer una confianza externa bidireccional entre el dominio de NT y el dominio de directorio activo al que pretendemos migrar los usuarios.

Bosque (cross-forest trust): como su nombre indica en lugar de realizarse entre dominios aquí la relación se establece a nivel de bosque de forma que se compartirán recursos entre ambos bosques. Este tipo de trust que siempre es transitiva y se puede realizar tanto unidireccional o bidireccionalmente se trata de una novedad de Windows Server 2003 por lo que solo se puede realizar si el nivel funcional de bosque de ambos dominios es de 2003.

Territorio (realm trust): este tipo de implantación se da raramente y sirve para interoperar con otros dominios no-windows que usen el protocolo Kerberos v5 para la autenticación como por ej. MIT Kerberos domains.

Acceso directo (shortcut trust): dentro de un bosque se crea implícitamente tanto en dominios con nivel Windows 2000 como Windows Server 2003 una relación de confianza bidireccional entre dominios padres e hijos (parent-child) y de raíz con los árboles (root-tree) de forma que todos los dominios confianza entre sí. Pero si tenemos muchos dominios esto puede funcionar notablemente lento ya que ha de recorrer desde los dominios que se realiza hasta el raíz del bosque, con este tipo de relación se estable una relación de confianza directa entre ambos dominios de forma que funcione de la forma mas rápida posible. Este tipo de confianza es siempre transitiva de forma que también puede beneficiar a otros dominios hijos de los que la forman y se puede configurar como unidireccional o bidireccional.

Tanto si realizamos la confía a través de NETDOM como del asistente se debe crear la confianza en ambos extremos, en una como saliente y en otro como entrante o en ambos como bidireccional, cuando la configuramos en el primer extremo se nos solicitara una contraseña de confianza que deberemos facilitar cuando se cree en el segundo extremo. Al finalizar el proceso de creación de relación se nos pedirá que se confirme si ya se ha creado la relación en el otro extremo para así intentar establecer o no la relación.

En cuanto a la configuración de DNS para realizar un trust lo mas recomendable es crear una zona secundaria del otro dominio o dominio raíz del bosque con el que se creara la confianza en el dominio de origen, de esta forma se evitaran gran numero de errores que se producen si se crean reenviadores o utilizan otras técnicas. Para verificar los dominios en los que una maquina confía podemos hacer uso de la herramienta de línea comando NLTEST.exe que se incluye en las support tools.

 
 Categorias:  

4 comments

  1. si que eres estupido,
    pones fotos de la relacion de confianza, y no pones como funciona.
    ni si quiera sabemos si a ti te funciona.

    porque yo eh echo mas pasos, y no funciona.

    ESTUPIDO..jajaj

  2. MUY BUENO, JAJAJAJA
    EL COMENTARIO, CLARO

  3. tu si que eres estupido, siguiendo estos pasos funciona, lo que pasa que si eres lerdo poco se puede hacer…

  4. Saludos,

    Para asegurarte que funcione crea un usuario con el mismo nombre y contraseña en ambos dominios A y B agrega el usuario como Domain Admins del dominio A en el dominio B y el del B en el A, con esta cuenta posteriormente podras realizar la validacion de la relacion de confianza.

    por otro lado la relacion de confianza de un Dominio de NT con 2000 o 2003 se realizan de forma diferente.

Deja un comentario

Tu dirección de correo electrónico no será publicada.

Puedes usar las siguientes etiquetas y atributos HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>