はじめに
Azure上でADサーバ構築をしながら、信頼関係について勉強する機会がありましたので備忘録として残します。
構築手順などは一切なく、概念の理解が中心となります。
信頼関係
ADサーバを構築し、ドメインが複数できあがると信頼関係を結ばないといけないことがあります。
※ADサーバや、各ADサーバ関係の用語については以下で説明しています。
信頼関係とは、信頼先のドメインからのアクセスを信頼元に許可するようなイメージです。
信頼の方向は双方向か、片方向かはユーザが選択可能です。
信頼関係を結ぶと具体的にどういう動作をするのか確認したことをまとめました。
信頼先⇒信頼元へのアクセス
信頼元「A.local」
信頼先「B.local」だとすると
B⇒Aには「B.local」配下のドメイン情報(ユーザID/PASS)さえ知っていればAへログイン可能となります。便利。
注意する点
ただし、ファイルサーバなどでアクセス制御をしている場合は話が少し違います。
通常ファイルサーバでは例えば
・X部署のOUはX部署用のフォルダのみアクセス可能
・Y部署のOUはY部署用のフォルダのみアクセス可能
という制御をしているケースが多いかと思います。
この場合、Bドメインの情報だけでAドメインで制御しているファイルサーバにはアクセスできません。
Aドメインのアクセス制御にて、Bドメイン情報が見えますので適切に許可してあげる必要があります。
例:AドメインのX部署用OUにBドメインのX部署OUに所属してよいユーザ情報を追加する
その他
信頼関係を構築する際には
「ドメイン全体の認証」と「認証の選択」を選ぶことが可能です。
「ドメイン全体の認証」は信頼先のドメインにすぐにアクセスできますが、「認証の選択」にすると認証画面がでてきます。
また、信頼関係を相互にすることも可能です。
(AからもBからもお互いにアクセス可能とできる)
制御がやや複雑になるため、信頼関係を構築する際は何かドキュメントにまとめるのがよさそうですね。
まとめ
信頼関係について書いてみました。
間違えがあれば優しく教えていただけると嬉しいです。