AD Trust

AD 트러스트는 서로 다른 도메인/포레스트 간 인증 정보를 신뢰하고 리소스를 공유할 수 있도록 돕는 서비스입니다.

정보 수집

# 트러스트 모델 수집
Get-ADTrust -Filter * | Select-Object Name, Direction

트러스트 모델

모델

관계

Forest trust

서로 다른 포레스트의 루트 트리 간에 이어지며 해당 루트 트리 하위 간에는 전이적 신뢰 관계

Root Tree Trust

같은 포레스트 내 다른 트리 루트 간 전이적 신뢰 관계

Parent/Child Trust

기존 상위 도메인 하위에 새로운 도메인이 조인될 경우 자동으로 부모/자식 관계가 맺어지는 양방향 전이적 신뢰 관계

External Trust

서로 다른 포레스트 내부 도메인 간의 비전이적 신뢰 관계

Shortcut Trust

커버로스 인증 경로를 단축하기 위한 포레스트 내부 도메인 간의 전이적 신뢰 관계

커버로스 인증 체계

외부 도메인에 대한 리소스 접근 시, 커버로스 8단계 인증을 거쳐야 합니다.

사용자는 도메인에 인증하여 TGT 발급 요청(AS-REQ)
KDC는 사용자의 자격 증명을 확인 후 TGT 발급(AS-REP)
사용자는 외부 도메인 서비스에 대한 서비스 티켓을 요청(TGS-REQ)
KDC는 요청한 서비스가 외부 도메인임을 인지하고 레퍼럴 티켓 발급(TGS-REP)
사용자는 레퍼럴 티켓을 통해 외부 도메인 KDC에 서비스 티켓 요청
외부 도메인은 레퍼럴 티켓을 복호화하여 확인 후 서비스 티켓 발급
사용자는 외부 서비스 이용

내부 도메인에 대한 TGS-REQ에서는 realm 필드를 내부 도메인으로 지정하되 sname-string 필드는 외부 SPN으로 지정합니다. 만약 외부 도메인이 같은 포레스트 내에 존재한다면 클라이언트가 요청한 sname-string이 실제로 유효한지 검증하고, 포레스트 외부에 존재한다면 트러스트 관계의 이름 접미사만 같다면 레퍼럴 티켓을 발급합니다.