本文探讨了Kerberos域信任关系的多种类型,包括单向、双向、可传递和不可传递信任,以及内部和外部信任。重点讲解了内部信任、外部信任以及跨域链接信任的工作原理和安全性考量。在建立域信任关系后,共享的域间密钥IRKey用于跨域认证和授权,这一过程与同域认证有所不同。
域信任:建立域之间的信任关系,是为了一个域的用户能方便地访问其他域的资源,同时也方便了对域网络的管理和维护。这种模式在带来便利的同时,也存在很多可以被恶意攻击者利用的地方。
域信任关系可以是单向\双向信任、可传递\不可传递信任、内部\外部信任、跨 域链接信任(cross link trust)等类型。例如,2个域之间有单向可传递的外部信任关系。同一个森林(Forest)内部的域信任关系,一般隐含为双向可传递的内部信任关系。
父子信任关系是最常见的域信任关系,在同一个森林内部,加入一个新域时,最常见的是子域模式(Parent-Child),或者是树根模式(Tree-Root),这两种模式分别会建立父子信任、树根信任关系,都是双向可传递的内部信任关系。
跨域链接信任(Cross Link),指的是在同一个森林(不可以跨森林)的两个子域间建立直接的信任关系。因为在同一个森林中,域的组织关系是树状结构,从一个子域到另外一个域,需要从树枝的子域顺寻到根域(Forest Root), 然后从根域继续顺寻到另外一个子域,而跨域链接相当于在2个子域之间建立了一个快捷方式的信任关系,
最低0.47元/天 解锁文章
1935
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
