출처 : https://docs.microsoft.com/ko-kr/azure/active-directory-domain-services/concepts-resource-forest
Organizations that have more than one domain often need users to access shared resources in a different domain. Access to these shared resources requires that users in one domain authenticate to another domain. To provide these authentication and authorization capabilities between clients and servers in different domains, there must be a trust between the two domains.
With domain trusts, the authentication mechanisms for each domain trust the authentications coming from the other domain. Trusts help provide controlled access to shared resources in a resource domain (the trusting domain) by verifying that incoming authentication requests come from a trusted authority (the trusted domain). Trusts act as bridges that only allow validated authentication requests to travel between domains.
How a trust passes authentication requests depends on how it's configured. Trusts can be configured in one of the following ways:
- One-way - provides access from the trusted domain to resources in the trusting domain.
- Two-way - provides access from each domain to resources in the other domain.
Trusts are also be configured to handle additional trust relationships in one of the following ways:
- Nontransitive - The trust exists only between the two trust partner domains.
- Transitive - Trust automatically extends to any other domains that either of the partners trusts.
In some cases, trust relationships are automatically established when domains are created. Other times, you must choose a type of trust and explicitly establish the appropriate relationships. The specific types of trusts used and the structure of those trust relationships depend on how the Active Directory directory service is organized, and whether different versions of Windows coexist on the network.
도메인이 둘 이상 있는 조직에서는 사용자가 다른 도메인의 공유 리소스에 액세스 해야 하는 경우가 종종 있습니다. 이러한 공유 리소스에 액세스 하려면 한 도메인의 사용자가 다른 도메인에 인증 해야 합니다. 서로 다른 도메인의 클라이언트와 서버 간에 이러한 인증 및 권한 부여 기능을 제공 하려면 두 도메인 간에 트러스트가 있어야 합니다.
도메인 트러스트를 사용 하는 경우 각 도메인에 대 한 인증 메커니즘은 다른 도메인에서 들어오는 인증을 신뢰 합니다. 트러스트를 통해 들어오는 인증 요청을 신뢰할 수 있는 기관 ( 트러스트 된 도메인)에서 가져온 것인지 확인 하 여 리소스 도메인 ( 트러스팅 도메인)의 공유 리소스에 대 한 제어 된 액세스를 제공할 수 있습니다. 트러스트는 유효성 검사 된 인증 요청만 도메인 간에 이동 하도록 허용 하는 브리지 역할을 합니다.
트러스트는 인증 요청을 통과 하는 방법은 구성 방법에 따라 달라 집니다. 트러스트는 다음 중 한 가지 방법으로 구성할 수 있습니다.
- 단방향-트러스트 된 도메인에서 트러스팅 도메인의 리소스로의 액세스를 제공 합니다.
- 양방향 -각 도메인에서 다른 도메인의 리소스에 대 한 액세스를 제공 합니다.
다음 방법 중 하나를 통해 트러스트 관계를 추가로 처리 하도록 트러스트를 구성할 수도 있습니다.
- 비 전이적 -트러스트는 두 트러스트 파트너 도메인 간에만 존재 합니다.
- 전이적 트러스트는 파트너 트러스트 중 하나가 다른 모든 도메인으로 자동 확장 됩니다.
도메인을 만들 때 트러스트 관계가 자동으로 설정 되는 경우도 있습니다. 다른 경우에는 신뢰 유형을 선택 하 고 명시적으로 적절 한 관계를 설정 해야 합니다. 사용 되는 특정 트러스트 유형 및 이러한 트러스트 관계의 구조는 Active Directory Directory 서비스를 구성 하는 방법 및 서로 다른 버전의 Windows가 네트워크에 공존 하는지 여부에 따라 달라 집니다.
0 Comments