Trust در اکتیودایرکتوری چیست

اکتیودایرکتوری از ارتباطات Trust (trust relationships) برای دسترسی بین چندین دامنه و یا جنگل، چه در یک جنگل تنها و یا در چندین شبکه سازمانی استفاده می کند. همان طور که از نام trust پیداست به مدیران شبکه اجازه می دهد تا به کاربران یک دامنه خاص امکان دسترسی به منابع یک دامنه دیگر را بدهد.

Trust در اکتیودایرکتوری چیست ؟ ارتباطی است که شما بین دامنه ها برقرار می کنید، که به کاربران یک دامنه امکان احراز هویت به وسیله یک دامین کنترلر در دامنه دیگر را می دهد. در سیستم عامل ویندوز NT 0.4، trust ها محدود به دامنه ها بودند، و این ارتباط یک طرفه و غیر مجازی بود.

برای درک بهتر این ارتباطات، به مثال زیر توجه کنید: یک آموزشگاه کامپیوتر، به نام آموزشگاه ابرسرور با یک شرکت طراحی های کامپیوتری وارد یک معامله وتجارت می شود. بخش تحقیق و توسعه شرکت طراحی برای دسترسی به فایل های طراحی نیازمند دسترسی به سرورهای فایل آن آموزشگاه دارد، لذا مدیران آن شبکه، نیازمند ایجاد یک ارتباطات trust با شبکه اکتیودایرکتوری شرکت طراحی می باشند. برای سهولت مدیریت اکتیودایرکتوری، از ساخت ارتباطات trust در زمان نصب اکتیودایرکتوری باید مطمئن شوید.

با شروع از اولین دامنه که در جنگل ساخته می شود، هر دامنه جدید ایجاد شده دارای یک ارتباط امن دوطرفه مجازی

(two-way Transitive Trust) با دیگر دامنه ها در جنگل می باشد. ارتباط دوطرفه یعنی کاربران دامنه A می توانند به منابع دامنه B دسترسی داشته باشند و به طور مشابه کاربران دامنه B نیز می توانند هم زمان امکان دسترسی به منابع دامنه A را داشته باشند. منظور از ارتباط مجازی امن این است که هرگاه دامنه A با دامنه B و همچنین دامنه B با دامنه C ارتباط امنی داشته باشند آنگاه دامنه A با دامنه C به طور خودکار ارتباط trust دارد. این ارتباط در جنگل اکتیودایرکتوری دارای ساختاری به شرح زیر می باشند:

• وقتی که یک دامنه فرزند ایجاد می شود به صورت خودکار یک ارتباط امن دوطرفه مجازی با والد آن ایجادمی شود. بنابراین دامنه فرزند tehran.abrserver.com با دامن والد tehran.abrserver.com یک ارتباط امن دوطرفه مجازی خواهد داشت و به دلیل ارتباط مجازی دوطرفه بین دامنه فرزند Tehran.abrserver.com با دامنه والد abrserver.com، کاربران دامنه فرزند sales می توانند به منابع دامنه والد و اصلی دسترسی داشته باشند و بالعکس.
• زمانی که یک دامنه درختی جدید ایجاد می شود، دامنه ریشه در درخت جدید به صورت خودکار ارتباط امن بین دو طرفه مجازی را با دامنه ریشه تمامی دامنه های ریشه مربوط به درخت دامنه در جنگل به دست می آورد. بنابراین اگر جنگل com شامل درخت دامنه جداگانه ای به نام fineartschool.net باشد، ارتباط امن دوطرفه مجازی بین دامنه های ریشه تنظیم شده می باشد. با توجه به ماهیت رابطه مجازی این ارتباط، هر دامنه فرزند در درخت compgraphicplan.com، قادر خواهد بود تا به منابع دامنه های فرزند در درخت fineartschool.net دسترسی داشته باشند و بالعکس.

اگر یک کاربر در دامنه sales.abrserver.com نیازمند دسترسی به منابع موجود در دامنه qm.marketing.abrserver.com باشد. درخواست از دامنه فرزند sales به سمت دامنه ریشه یعنی abrserver ارسال می شود و از آنجا به سمت دامنه فرزند marketing و در نهایت به سمت مقصدش یعنی دامنه qm.marketing.abrserver.com فرستاده می شود که این فرآیند گردش درختی (tree-walking) نامیده می شود.

حال آنکه اگر اتصالات wan در جنگل دارای سرعت کمی باشد و فرآیند گردش درختی نیازمند زمان بسیار طولانی برای احراز هویت کاربران در هر دامنه باشد، لازم است یک ارتباط میانبر (shortcut trust) را پیکربندی کنید که در اصطلاح رایج به آن “مسیر مطمئن” گفته می شود. بنابراین اگر کاربران tehran.abrserver.com نیازمند دسترسی متعددی به منابع marketing.qm.abrserver.com داشته باشند شما می توانید یک ارتباط میانبر را به عنوان مداری برای کوتاه کردن فرآیند گردش درختی ایجاد کنید و از یک مسیر مطمئن و مستقیم بین دو دامنه استفاده کنید.

این ارتباطات میانبر دارای رابطه غیرمجازی (nontansitive) می باشند و به این معنی است که فقط بین دو دامنه که به صورت خاص در داخل ارتباط میانبر پیکربندی شده اند، برقرار می شوند. به طور مثال، هرگاه کاربری از دامنه qm.sales.abrserver.com نیازمند دسترسی به منابع دامنه qm.marketing.abrserver.com باشد، آن کاربر نمی تواند از ارتباط میانبر بین دامنه های قرزند qm.sales و qm.marketing استفاده کند و مجبور است از مسیر مطمئن گردش درختی پیش فرض بهره ببرد.

نکته دیگر اینکه ارتباطات میانبر یک ارتباط یک طرفه می باشند و به این معنا است که ایجاد چنین رابطه ای از sales به سمت qm.marketing تنها اجازه احراز هویت qm.marketing را به کاربران sales می دهد، ولی کاربران qm.marketing اجازه استفاده از میانبر مذکور را ندارند مگر اینکه یک ارتباط میانبر دیگری در جهت مخالف ایجاد شود.

نوع دیگری از trust یک ارتباطtrust خارجی (external trust) مورد اطمینان است که با یک دامنه ویندوز NT یا ویندوز2000 در یک جنگل مجزا ایجاد می شود و همانند ارتباطات میانبر یک ارتباط، یک طرفه و غیر مجازی می باشد. اگر کاربران دامنه شما به منابع یک دامنه راه دور دسترسی داشته باشند، کاربران دامنه دور دست به منابع موجود در دامنه شما دسترسی نخواهند داشت مگر اینکه ارتباطات امن ثانویه را در جهت مخالف ایجاد کنید. اگر شما یک ارتباط امن با دامنه Tehran.abrserver.com داشته باشید، بدون تنظیم یک ارتباط مجزا به طور مستقیم با abrserver.com، آن ها قادر نخواهند بود به منابع این دامنه دسترسی پیدا کنند.

در ویندوز سرور 2008 شما می توانید با استفاده از ویزارد New Trust یا ابزار خط فرمان Netdom به ایجاد چهار نوع trust بپردازید: trustهای خارجی، trustهای relam، trustهای جنگل و trustهای میانبر. جدول زیر این چهار نوع را به طور مختصر توضیح می دهد.

زمانی که شما یکی از ارتباطات را ایجاد می کنید، برای ایجاد ارتباط trust به طور جداگانه و یا هر دو طرف به طور هم زمان مختار هستید.

با داشتن سطح عملکرد ویندوز سرور 2003، نوع دیگری از Trust قابل ایجاد استکه برقرار کننده ارتباط trust بین جنگل ها می باشد و به نام Cross-Forest Trust شناخته می شود. با دامین کنترلر های ویندوز2000 یا NT امکان ایجاد یک مسیر ارتباط مجازی بین جنگل ها وجود ندارد و دسترسی منابع از یک جنگل به جنگل دیگر امکان پذیر نمی باشد. زمان ایجاد یک ارتباط بین دو جنگل که هر دو دارای سطح عملکرد جنگل ویندوز 2003 یا بالتر می باشند، trust cross-forest یک ارتباط با ماهیت مجازی می باشد که هم به صورت یک طرفه و هم دو طرفه قابل ایجاد می باشد. این بذ=دان معناست که هر دامنه در جنگل A به تمام منابع جنگل B دسترسی داشته و بالعکس.

زمانی که یک trust ایجاد می شود مدیران شبکه می توانند کاربران و گروه هایی را انتخاب کرده و در ACL مربوط به یک شیء قرار دهند. هنگامی که یک منبع با استفاده از یک ارتباط trust بین جنگل ها در دسترسی قرار می گیرد نیازی نیست که کاربران برای هر بار ورود دوباره شناسایی شوند و تنها با یک بار وارد شدن می توانند به سراسر محدوده جنگل دسترسی داشته باشند. این ویژگی پیشرفته به سازمان ها امکان به اشتراک گذاشتن منابع را با دیگر شرکای خویش، بدون تغییر در برنامه ریزی های خود می دهد.

Trust در اکتیودایرکتوری چیست