Отношения Kerberos между доменами в разных лесах AD


При ручном создании схемы доверительных отношений можно выбрать один из протоколов аутентификации.

· Kerberos. Протокол Kerberos v5 используется по умолчанию для аутентификации в Windows, то есть при проверке подлинности пользователя/компьютера. Протокол предназначен для создания схемы доверительных отношений между доменами в дереве доменов и между корневыми доменами в лесу доменов.

· NTLM (NT LAN Manager). Протокол NTLM используется по умолчанию для сетевой аутентификации в Windows NT 4.0 и более ранних версиях, однако все еще поддерживается в Windows более новых версий, где изначально отключен. Протокол NTLM построен на базе модели аутентификации запрос–ответ.

Транзитивные доверительные отношения Kerberos связывают домены внутри леса. Таким образом, при организации доверительных отношений между доменами различных лесов можно выбрать только протокол аутентификации NTLM, поскольку Kerberos не позволяет реализовывать такую схему доверия между различными лесами. Это ограничение относится не к протоколу Kerberos, а к его ограниченной реализации от компании Microsoft. В свою очередь, модели Kerberos сторонних компаний (например, MIT) дают возможность создавать доверительные между доменами различных лесов.

Оставьте комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *