Cómo añadir una capa de seguridad extra a las Relaciones de Confianza habilitando Autenticación Selectiva

  • Article

Hola a todos. Soy Paula, del equipo de Directorio Activo. Hoy trataremos sobre cómo configurar una relación de confianza de tal manera que podamos restringir qué usuarios acceden a qué recursos.

La manera de restringir el acceso a recursos de un dominio a determinados usuarios de otro dominio con el que se tiene una relación de confianza externa (external trust) o de bosque (forest trust) es configurando dicha relación de confianza para que realice una Autenticación Selectiva. La siguiente imagen procedente de aqui muestra gráficamente la diferencia en el acceso a los recursos dependiendo del tipo de autenticación que se configure (en todo el dominio/bosque o selectiva):

Autenticación en todo el dominio/bosque:

domain auth

Autenticación selectiva:

autenticación selectiva

Sólo puede habilitarse este tipo de autenticación en relaciones de confianza de bosque o externas. En el caso de una relación de confianza de bosque, el bosque donde residen los recursos (trusting forest) debe tener el nivel funcional del bosque establecido a Windows Server 2003. Si la relación es externa, el dominio donde residen los recursos (trusting domain) debe tener el nivel funcional del dominio establecido a Windows Server 2000 nativo.

Para habilitar la Autenticación Selectiva pueden seguirse estos pasos con un usuario que sea miembro del grupo Domain Admins del dominio (del dominio root si es una relación de confianza de bosque) o Enterprise Admins:

  1. Abrir la consola Dominios y Relaciones de confianza de Directorio Activo
  2. Hacer click derecho sobre el nodo del dominio que tiene la relación de confianza (si es un forest trust, el nodo será el dominio raíz del bosque) y seleccionar Propiedades
  3. En la pestaña Confía, seleccionar la relación de confianza que queramos configurar y hacer click sobre el botón Propiedades
  4. En la pestaña Autenticación, seleccionar Autenticación Selectiva

Para que un usuario de un dominio en el que se confía (trusted) pueda acceder a los recursos del dominio que “confía” (trusting) con este tipo de autenticación es necesario dar permisos explícitos a los usuarios del dominio trusted en los recursos determinados del dominio trusting a los que se quiera dar acceso. Este permiso se configura en Directorio Activo en las propiedades del objeto Computer del servidor de recursos concreto y se denomina Allowed to Authenticate (Permitido Autenticarse) .

  1. Abrir la consola Usuarios y Equipos de Directorio Activo del dominio donde se encuentra la máquina con el recurso al que los usuarios del otro dominio deben acceder
  2. Hacer click derecho sobre la cuenta de máquina y seleccionar Propiedades
  3. En la pestaña Seguridad, otorgar el permiso de Permitido Autenticarse

Si la relación de confianza que se establece entre dos dominios es unidireccional, para poder agregar a los usuarios del dominio trusted a la seguridad de la cuenta de máquina del servidor a través de la consola de Usuarios y Equipos de Active Directory, se solicita un usuario con permisos para realizar consultas en el dominio trusted. El artículo KB 263956 (You cannot browse users in a trusted domain) describe este escenario y especifica que se necesita un usuario del otro dominio para poder realizar las búsquedas en el dominio trusted  desde el dominio trusting cuando existe una relación de confianza de un solo sentido. Para esta operación es suficiente con un Domain User.

Los artículos que recopilan la información sobre Selective Authentication y el permiso Allowed to Authenticate que hay que darle a los usuarios del dominio en el que se confía son los siguientes:

Enable selective authentication over an external trust

Grant the Allowed to Authenticate permission on computers in the trusting domain or forest

Información interesante sobre consideraciones de seguridad a tener en cuenta a la hora de establecer una relación de confianza y sobre cómo funciona, cómo afecta a los DCs y qué ventajas presenta en cuanto a seguridad una Relación de Confianza con Autenticación Selectiva:

Security Considerations for Trusts

Más información sobre Relaciones de Confianza:

How Domain and Forest Trusts Work

Tener acceso a los recursos entre bosques

 

- Paula Tomás Galed