域信任:建立域之间的信任关系,是为了一个域的用户能方便地访问其他域的资源,同时也方便了对域网络的管理和维护。这种模式在带来便利的同时,也存在很多可以被恶意攻击者利用的地方。
域信任关系可以是单向\双向信任、可传递\不可传递信任、内部\外部信任、跨 域链接信任(cross link trust)等类型。例如,2个域之间有单向可传递的外部信任关系。同一个森林(Forest)内部的域信任关系,一般隐含为双向可传递的内部信任关系。
父子信任关系是最常见的域信任关系,在同一个森林内部,加入一个新域时,最常见的是子域模式(Parent-Child),或者是树根模式(Tree-Root),这两种模式分别会建立父子信任、树根信任关系,都是双向可传递的内部信任关系。
跨域链接信任(Cross Link),指的是在同一个森林(不可以跨森林)的两个子域间建立直接的信任关系。因为在同一个森林中,域的组织关系是树状结构,从一个子域到另外一个域,需要从树枝的子域顺寻到根域(Forest Root), 然后从根域继续顺寻到另外一个子域,而跨域链接相当于在2个子域之间建立了一个快捷方式的信任关系,以减少认证和授权的时间和步骤。
内部信任指的是森林内部域之间的信任关系。响应地,外部信任(External Domain Trust)指的是域和所在森林之外的域之间的信任关系。
还有一种MIT信任(Kerberos协议及标准由MIT提出),是Windows域与非Windows域之间的信任关系,由于应用较少,这里不讨论此种类型的域信任关系。微软MSDN提供了关于域信任关系的详细资料。
跨域认证和资源访问授权
当2个域之间建立域信任关系时,会建立共享的域间密钥(Inter-Realm Key,简写为IRKey),其作用相当于Krbtgt,只不过IRKey用于相互信任的2个域之间的认证,而Krbtgt用于同一个域服务器的AC和KDC之间的认证。
信任域之间的认证授权过程,与同一个域中的认证授权大抵相似,但仍然有不少区别。
在上图中的第4步:返回转投到DC2的TGT,这里的TGT使用的是IRKey加密的。而之前我们学习的Kerberos认证的第2步中,返回的TGT是使用的Krbtgt账户的NTLM值加密的。
