Вопрос или проблема
У меня есть пользователь, вошедший в домен A, и IIS сервер в домене B.
Между этими доменами установлено двустороннее доверие.
Теперь пользователь из домена A входит в веб-приложение, размещенное на IIS в домене B, с использованием интегрированной аутентификации Windows.
Независимо от того, используется ли NTLM или Kerberos, будет ли IIS напрямую обращаться к домену пользователя “A” для проверки его билета, или он отправит его в домен “B” для проверки его контроллером домена? Или это будет работать совершенно иначе?
Спасибо за разъяснение.
Ответ или решение
Вопрос о том, как IIS (Internet Information Services) взаимодействует с Active Directory (AD) для проверки пользователей в условиях доверительных отношений между доменами, требует глубокого понимания механизмов аутентификации, таких как NTLM и Kerberos. В данной ситуации у нас есть пользователь, работающий в домене A, и сервер IIS в домене B, причем между этими доменами настроена двусторонняя доверительная связь.
Общая Схема Аутентификации
Когда пользователь из домена A пытается получить доступ к веб-приложению на IIS сервера в домене B с использованием встроенной аутентификации Windows, механизм проверки подлинности может действовать следующим образом:
-
Запрос на аутентификацию: При обращении к приложению на сервере IIS, сервер посылает запрос на аутентификацию к пользователю. Если пользователь настроил браузер на использование встроенной аутентификации (например, в Internet Explorer или Edge), браузер автоматически предоставляет доступный Kerberos билет или NTLM токен.
-
Выбор механизма аутентификации:
- Kerberos: Это предпочтительный и более безопасный вариант. Когда пользователь получает Kerberos билет из контроллера домена (DC) домена A, он будет содержать информацию, необходимую для аутентификации на сервере IIS в домене B.
- NTLM: Если Kerberos не доступен, процесс аутентификации будет происходить с использованием протокола NTLM, который менее безопасен по сравнению с Kerberos.
Взаимодействие Domene и Проверка
С точки зрения того, какая доменная служба контактируется для проверки, важно учитывать, что в случае Kerberos:
- Kerberos и доверительные отношения: При наличии двусторонней доверительной связи между доменами A и B, проверка будет передаваться в домен B. Сервер IIS в домене B отправляет запрос на аутентификацию в контроллер домена (DC) домена A. Поскольку существует доверительная связь, DC в домене B сможет распознать билеты от домена A. Этот процесс обычно не требует непосредственного обращения к DC в домене A, поскольку вся необходимая информация о доверии и учетной записи будет уже доступна в домене B.
- NTLM: При использовании NTLM сервер в домене B может обрабатывать запросы от пользователей домена A, не всегда непосредственно обращаясь к DC домена A. Вместо этого NTLM может привести к повторным запросам к DC домена A, что менее эффективно, чем Kerberos.
Рекомендации по Aутентификации
- Настройка доменных связей: Убедитесь, что доверие между доменами настроено правильно. Это включает в себя проверку прав и привилегий на обеих сторонах.
- Использование Kerberos: Поскольку Kerberos более безопасен и предпочтителен для использования, рекомендуется подерживать и настраивать безопасность и доступ пользователей через этот протокол.
- Мониторинг и аудит: Включите механизмы мониторинга аутентификации на IIS и в структуре AD, чтобы отслеживать успешные и неуспешные попытки аутентификации.
Заключение
В завершение, процесс аутентификации между IIS и AD в условиях двустороннего доверия между доменами A и B в значительной степени зависит от используемого механизма аутентификации. В большинстве случаев аутентификация происходит через домен B, когда билет пользователя из домена A может быть проверен через доверительные отношения. Настройка и управление этими доменными отношениями играют важную роль в успешной аутентификации пользователей и защите корпоративных ресурсов.