A PKI infrastruktúra szolgáltatásai, elemei és működése. A hitelesítés szolgáltató (CA) kialakítása. A tanúsítványkezelés folyamata

Question 1

Nyilvános kulcsú infrastruktúra

Answer 1

Az elektronikus aláírás alapfeltétele (kétkulcsos titkosítás), kulcs menedzsmentjének eszköze számos Internet/Intranet alkalmazásban, mint pl. a biztonságos üzenetkezelés és az elektronikus kereskedelem.

Question 2

Nyilvános kulcsú infrastruktúra szolgáltatásai

Answer 2

Szolgáltatásai az azonosítás, jogosítás, titkosítás.

Question 3

Nyilvános kulcsú infrastruktúra célja

Answer 3

Célja: az adatvagyon védelme a hitelesítés, a bizalmasság, a letagadhatatlanság, a teljesség és a rendelkezésre állás megteremtésével.

Question 4

Nyilvános kulcsú infrastruktúra alkalmazása

Answer 4

PKI alkalmazása: Java és ActiveX szoftverek digitális aláírás ellenőrzése, stb.
A nagyvállalatok, központi költségvetési szervek biztonságos, elosztott alkalmazásai, a biztonságos elektronikus üzenetkezelés, az e-kormányzat, az e-kereskedelem, a virtuális privát hálózatok és intranet alkalmazások alapeleme. Megteremti a hálózat biztonságosságának, a megbízható és hiteles távoli szolgáltatások feltételeit. Titkosító kódolás + digitális aláírás  szigorú felhasználói azonosítás (authentication), az adatok védelme (confidentiality and privacy) és teljessége (integrity), valamint a letagadhatatlanság (non-repudiation).
Lehetővé teszi a nyilvános v. kétkulcsos, aszimmetrikus titkosítás és szabványos tanúsítványok használatát az elosztott információs rendszerekben és biztosítja a kulcsok, tanúsítványok, és használati irányelveik (policy) menedzsmentjét. A nyilvános kulcsokat a kulcskibocsátó digitális tanúsítványba csomagolja, mely védi a nyilvános kulcs sértetlenségét, hitelesíti. A nyilvános kulcs hitelességét a kulcskibocsátó, a tanúsító hatóság (CA, Certificate Authority), saját privát kulcsával képzett digitális aláírása bizonyítja a tanúsítványon. A CA szigorú biztonsági feltételeket támaszt, az épület és az üzemeltetés terén.

Question 5

A PKI leglényegesebb feladatai

Answer 5

• tanúsítványgenerálás,
• tanúsítványterjesztés
• tanúsítványmenedzsment.

Question 6

PKI feladatok környezetei

Answer 6

1. Szervezeti környezet: A szervezet által meghatározott környezetben a végfelhasználói alkalmazásokig bezárólag konzisztens és átlátható biztonságot kell teremteni.
2. Szervezetek közötti környezet: Azok a szervezetek közötti kapcsolatok, amelyekkel biztosítják a szervezetek közötti e-kereskedelemhez szükséges hiteles és biztonságos infrastruktúrát. Minden szervezet a saját erőforrásai felett rendelkezik, mind az infrastruktúra, mind a végfelhasználói alkalmazások együtt kell működjenek más PKI-kkal.
3. A fogyasztói környezet: Fogyasztóikkal internetes e-kereskedelem - B2C - kialakítása, e-kormányzat, v. az e-demokrácia különböző, az állampolgár és a közigazgatási szervek között kialakítandó kapcsolatok. A szervezetnek együtt kell működnie fogyasztóival az alkalmazások széles körét – WEB böngészőket és e-levelezést – támogatva.

Question 7

PKI-val szemben támasztott követelmények

Answer 7

• Megbízható PKI technológia: a tanúsítvány kibocsátás és életciklus menedzsment, a különféle tanúsítvány típusok előállítása és működtetése, a megfelelő nyilvántartási tevékenységek, a rekordok tárolása, a címtárak integrálása és a kulcsok menedzselése a legkritikusabb üzemeltetési és terhelési viszonyok között is.
• A nemzetközi piac legjobb alkalmazásaira épülő Nyílt architektúra: Biztosítani kell valamennyi régi és bármilyen új alkalmazással az együttműködést, és lehetőséget kell adni a szükséges együttműködésre a szervezeten kívüli rendszerekkel.
• Magas fokú rendelkezésre állás és méretezhetőség: 7x24 órán át rendelkezésre kell állnia, minden felhasználó számára beleértve a rendszereket, hálózatokat, a felhasználók segítését, a folyamatos, katasztrófatűrő működést, jelentős többlet beruházások nélkül.
• Biztonságos üzemeltetési infrastruktúra: a szervezet jó hírnevét sem erkölcsi, jogi, sem anyagi vonatkozásban ne veszélyeztesse az internet kapcsolat és a szervezet információi a legmegbízhatóbb PKI védelmet megkapják.
• Alkalmasság a külső kapcsolatok kezelésére: különböző szervezeteket, közösségeket szolgálhat ki egy zárt hálózaton belül, több privát hálózat között és azokon kívül az internetről is.

Question 8

PKI szolgáltatások

Answer 8

1. Kulcsok menedzselése: új kulcs kibocsátása, a meglévők frissítése v. visszavonása, és a különböző kulcs kibocsátóktól származókhoz kapcsolt biztonsági szintek menedzselése.
2. Kulcsok nyilvánossága: ügyfelei számára a nyilvános kulcsok megtalálására és letöltésére, valamint az adott kulcs érvényességére jól meghatározott eljárást ajánl.
3. Kulcsok használata: a felhasználónak rendelkezésére bocsátja a szükséges kulcsot, és könnyen kezelhető alkalmazásokat is biztosít, amelyekkel végrehajthatók a nyilvános kulcsú titkosítási műveletek.
4. Kiegészítő szolgáltatások: Pl. az időbélyegző, a privilégiumok menedzselése, v. az automatikus regisztrációs hatóságok.

Question 9

PKI modellek

Answer 9

A tanúsítványok és kulcs menedzsment szempontjából:

• hálózati (Entrust)
• WEB központú (PGP)
• hierarchikus (VeriSign, Netscape, Microsoft), napjainkra ez a megoldás kerül előtérbe.

Question 10

A hierarchikus megoldáson belüli megoldások

Answer 10

• A független megoldás: a piacon kínált szoftverrel önálló PKI szolgáltatás kialakítása. Az üzemeltető szervezet teljes felelősséget vállal, és a PKI kialakítás teljes költségét is maga fedezi.
• Integrált PKI: felelősség megosztása, megtartja az adott szervezet által használt PKI szoftver és hardver állomány saját felelősségű ellenőrzött működtetését, de kompatibilis kapcsolatban áll más bevált alkalmazásokból, tanúsítvány kibocsátó szolgáltatásokból és infrastruktúrákból kialakított, magas fokú rendelkezésre állással és nagy biztonsággal jellemezhető PKI gerinchálózattal.
  Az előbbi modellek tovább alakulhatnak:
  ‒ Az önálló, vállalati tanúsító hatóság esetében akár a szervezeten kívüli cég is elláthatja a CA feladatait.
  ‒ A nagyvállalati tanúsító hatóság esetén alárendelt regisztrációs és elosztó központok, v. alárendelt tanúsító hatóságok is lehetnek a vállalaton belül a funkcionális és földrajzi megosztottság szerint.
  ‒ A heterogén modell külső kapcsolatokat, kölcsönös tanúsítást is lehetővé tesz, a felelősségi viszony megállapodások függvényében.

Question 11

PKI architektúra elemei

Answer 11

1. Tanúsítvány alanya és használója
2. Tanúsító hatóságok (CA)
3. Regisztrációs hatóságok (RA)
4. PKI adattárak (repository)
5. Tanúsítvány kibocsátó pontok
6. Kulcs és tanúsítványmenedzselési eszközök
7. Alkalmazások a kulcs használatának biztosítására
8. Hardvertámogatás
9. A hatóságok fizikai és hálózati védelme

Question 12

Tanúsítvány alanya és használója

Answer 12

A legalapvetőbb elem, többnyire (minősített esetben kizárólag) egy személy, de bármely jogi személyiségnek - beleértve egy céget, rendszert és alkalmazást - lehet tanúsított nyilvános kulcsa (pl. a szervernek). A személy v. szoftver lehet a tanúsítvány alanya, ugyanakkor más egyedekkel együtt a felhasználója is, amikor ellenőrzi a nyilvános kulcs használatával egy digitális aláírás valódiságát.

Question 13

Tanúsító hatóságok (CA)

Answer 13

A felhasználókat biztosítani kell, hogy kapcsolatuk biztonságos, azaz a felek azonossága és kulcsai érvényesek és hitelt érdemlőek. A PKI minden felhasználója digitális formában tárolt nyilvános kulcsú tanúsítvánnyal (regisztrált azonosítóval) kell, hogy rendelkezzen.
- Egy személy is lehet, általában egy feljebb álló hatósági feladatot ellátó intézmény.
- A tanúsítvány előállításakor a CA játssza a biztonsági hatóság szerepét a PKI-ban, majd betölti a hiteles harmadik fél (Trusted Third Party) funkcióját.
- Digitális aláírása a tanúsítványon biztosítja, hogy a tartalom bármilyen hamisítása könnyen észrevehető.
- A felhasználók közössége alkotja az un. biztonsági tartomány (security domain).
- Minden CA maga dönti el (bizonyos szabványok, ill. jogszabályok és ajánlások betartása mellett), milyen attribútumokat vesz fel a tanúsítványba, ill., hogy ezek valódiságát miként ellenőrzi.
Előfizetője számára tanúsítványokat bocsát ki, saját privá kulcsú digitális aláírásával hiteles információt nyújt:
‒ Az előfizető un. megkülönböztetett neve (Distinguished Name (DN) ): név + valami kiegészítő attribútum, amely segítségével az előfizető egyértelműen azonosítható.
‒ Az előfizető nyilvános kulcsa: az előfizetőnek szánt üzenetek kódolására, ill. digitális aláírásának és üzenetei teljességének ellenőrzésére.
‒ A tanúsítvány érvényességének tartama (pl. a kibocsátás és a lejárat napja).
‒ A felhasználási céloknak a tanúsítása, amikre a nyilvános kulcs használható

Question 14

Regisztrációs hatóságok (RA)

Answer 14

Jobbára a CA egy alárendelt szerveréről van szó, amelyre a CA a felhasználók regisztrációjával kapcsolatos menedzselési funkciót delegálja. Elosztott WAN környezetben hasznos lehet az egy CA tanúsításos felügyelete melletti LAN-onkénti RA telepítése, bár ez a biztonsági láncot megnyújtja.

Question 15

PKI adattárak (repository)

Answer 15

Alapesetben legalább két fontos adattárat alkalmaz a PKI architektúra:
‒ A kibocsátott, érvényes kulcsok biztonsági másolatainak tárolására és a lejárt, visszavont kulcsok archiválására magas védettségi fokon, hálózatról el nem érhető, külön elzárt helyiségben, épületben.
Logikailag ötféle adattár:
‒ MY a használó saját, v. gépének tanúsítványát és a hozzá tartozó privát kulcsot tárolja.
‒ CA a tanúsítási láncban a kibocsátó v. közbenső hatóságok által kiadott tanúsítványokat tárolja.
‒ TRUST a minősített CA-k nyilvántartását biztosító CTL-eket (Certificate Trust List) őrzi, melyek digitális aláírással vannak ellátva, így nyílt hálózatokon is továbbíthatóak.
‒ ROOT a minősített, gyökér CA által aláírt tanúsítványokat tárolja.
‒ UserDS a tanúsítvány adattárak logikai szerkezetét tárolja a külső adattárak elérésének egyszerűsítése céljából.
Név / címtár (directory) integráció: a kulcsok tárolására, elosztására, keresésére, letöltésére használják. A CA-k a név/címtárba többféle adatot jegyeznek be (pl. hol tartja karban az általa irányított biztonsági tartományt, kik a kereszttanúsítók, hol vannak a saját, ill. más tartományok visszavonási listái, de bejegyzi a felhasználók tanúsítványát is, mint a felhasználó objektumának attribútumát, stb.), és mindezeket a napi gyakorlat szerint módosítani is szükséges. Alapkövetelmény az LDAP támogatása.
Visszavonási listák (CRL). A hitelességüket elvesztett tanúsítványokat a CA köteles visszavonni. Pl. a tanúsítványnak megfelelő nyílt kulcshoz tartozó valamelyik privát kulcsot - akár az aláíró, akár a megfejtő privát kulcsot - kompromittálják, a cégtől kilépők tanúsítványait vissza kell vonni. A CA által kibocsátott minden tanúsítványra a visszahívási információk terjesztésének egyik módja a biztonságos tanúsítvány visszavonási lista fenntartása és terjesztése a címtár segítségével. Másik módszer az Online Certificate Status Protocol (OCSP) alkalmazása, főként nagy értékű tranzakciók esetére.

Question 16

Tanúsítvány kibocsátó pontok

Answer 16

A CA alapesetben a név/címtárból biztosítja a tanúsítványok és a visszavonási listák szervezeten belüli és kívüli elérhetőségét. A kibocsátó pont bármilyen fajta név/címtár szolgáltatást használhat pl. gyártófüggő operációs rendszerhez kapcsolt, X.500, LDAP szabványos megoldás, de a tanúsítványokat és a visszavonási listákat közzé teheti WEB lapokon, intelligens kártyákon, hajlékony vagy CD-ROM lemezeken is.

Question 17

Kulcs és tanúsítványmenedzselési eszközök

Answer 17

Biztosítják a kiadott tanúsítványok különböző adatainak kötelező nyilvántartását. A lejárt v. visszavont kulcsokat tartalmazó tanúsítványokat hosszú időre archiválni kell, melyet a biztonsági másolatok és a visszaállíthatóság segítenek. Biztosítani kell a tanúsító és kibocsátó tevékenységének felügyeletére a lehetőséget a menedzsment, az adminisztráció és az audit eszközeinek használatával. Fontos a kulcs és tanúsítvány menedzsment központosítása, jelentősen csökkentheti a biztonsági kockázatot.
Területei:
o Kulcsok visszaállíthatóságának biztosítása: a megfejtő kulcsok biztonságos tárolását kell megoldani, hogy használható legyen a tanúsítvány érvényességének lejártakor a megújításhoz (a kérelmező meglévő, már ellenőrzött adatai), esetleg új nyilvános kulcs generálásához v. a kulcs pár visszaállíthatóságához pl. elvesztés, jelszó elfelejtése, megsemmisülés esetén. Ettől eltérően, ha a kulcsot cég/intézmény felhatalmazásából hivatalos dokumentumokra, stb. használták, illetve bírósági, ügyészi intézkedésre nemzetbiztonsági v. más súlyos büntetőeljárás során.
o A letagadhatatlanság biztosítása: a felek nem tudják eredményesen megtagadni, ill. letagadni a részvételüket a tranzakcióban. Az aláíró kulcsról nem készíthető másolat és a kulcs minden pillanatban a felhasználó kizárólagos ellenőrzése alatt kell, legyen. Ha a felhasználó elfelejti jelszavát, v. elveszíti, tönkre teszi aláíró kulcsait, a felhasználó számára új aláíró kulcsokat generálnak, és attól kezdve azokat használja.
o A kulcsok és tanúsítványok frissítése: egy idő múlva a felhasználóknak számos kulcs párja lehet, melyeket megfelelő módon menedzselni kell, időről időre frissíteni kell. Biztosítani kell az automatikus frissítést a lejárati idő előtt, hogy a kulcs lejárta miatt ne legyen megtagadható az igényelt szolgáltatás. A titkosító kulcs pár frissítésekor a korábbi kulcs pár történetét meg kell őrizni, hogy a felhasználó bármelyik régi kulcsával titkosított adatát vissza tudja fejteni. A kulcs történetet biztonságosan kell üzemeltetni, a lejárt aláíró kulcsot biztonságos módon meg kell semmisíteni.
o Kereszttanúsítás: A harmadik tanúsító fél felelősségi viszonyainak kiterjesztése a különböző tanúsítási tartományok között. Pl. két, különböző tanúsítóhoz tartozó kereskedelmi partner azt kívánja, hogy a másik CA által kibocsátott tanúsítványt kölcsönösen ellenőrizni lehessen a kétoldalú kapcsolatban. A két CA biztonságosan kicseréli ellenőrző kulcsait, amelyeket a tanúsítványon lévő elektronikus aláírás valódiságának ellenőrzésére használnak, és egy kereszttanúsítványt bocsátanak ki, amelyet mindegyik CA a másik ellenőrző kulcsával ír alá. Hierarchikus kereszttanúsítás esetén, a magasabban álló CA tanúsítja az alacsonyabban állót, az alacsonyabban álló ellenőrző kulcsával. “a bizalmi lánc végig járása”

Question 18

Alkalmazások a kulcs használatának biztosítására

Answer 18

Könnyen kezelhető, szabványos megoldásokkal lehetővé kell tenni a digitális tanúsítványokkal a titkosítást, elektronikus aláírást, illetve más CA-k által kibocsátott tanúsítvány hitelesítésének ellenőrzését. A PKI-nak tartalmaznia kell egy olyan szoftvert, amely a felhasználó asztali, személyi számítógépes környezetében konzisztensen és átláthatóan használható (akár elektronikus levelezéshez, böngészéshez, fájlok, könyvtárak titkosításához), a PKI minden elemével együtt kell tudni működnie.

Question 19

Ügyfél oldali szoftverrel szemben támasztott követelmények

Answer 19

Nyilvános kulcsú tanúsítványok: Az ügyfél oldali szoftvernek kell ellenőriznie a tanúsító hatóság, a CA tanúsítványon lévő elektronikus aláírásának hitelességét, és meggyőződni arról, hogy az érvényességi tartamán belül van.
Biztonsági kulcs másolat és visszaállítás: Az alkalmazás együtt kell tudjon működni egy közös rendszerrel, ne használjon saját tárolási és visszaállító rendszert. Az ügyfél oldali szoftver és a közös biztonsági másolattároló és visszaállító rendszer közötti kapcsolatnak biztonságosnak kell lennie.
A letagadhatatlanság megvalósításának támogatása: az ügyfél oldali szoftvernek kell generálnia az elektronikus aláíráshoz szükséges kulcs párt, biztosítania kell, hogy az aláíró kulcsokat semmilyen körülmények között se lehessen másolni, és mindig a felhasználó ellenőrzése alatt maradjanak.
A kulcs párok automatikus frissítése: az ügyfél oldali szoftvernek kell kezdeményeznie a felhasználó kulcsainak automatikus frissítését az adott szervezet biztonsági irányelveivel (policy) összhangban. Ne a felhasználónak kelljen nyilvántartania, mikor kell frissíteni kulcsait.
A kulcstörténetek menedzselése: az ügyfél oldali szoftvernek képesnek kell lennie a felhasználó történeti kulcs adatainak reprodukálására a közös adattárból.
Méretezhető tanúsítvány adattár: minden PKI alkalmazásnak közös, méretezhető tanúsítvány adattárat kell használnia. Drága és bonyolult, ha az alkalmazások különböző tanúsítvány adattárakat igényelnek.
Tanúsítvány visszavonás: együtt kell működniük egy közös és méretezhető tanúsítvány visszavonási rendszerrel.
A kereszttanúsítás támogatása: minden PKI alkalmazásnak közös kereszttanúsítási modell alapján kell működnie, hogy a kereszthivatkozásra meghatározottak teljesüljenek. Az ügyféloldali szoftvernek kell leellenőriznie, hogy biztosan nincs egyetlen kereszttanúsítvány sem a “hitelességi láncban”, amelyet visszavontak.
További az infrastruktúra architektúrális elemeitől független követelmények lehetnek, pl. biztosítania kell, hogy a felhasználó titkosíthassa, vagy visszafejthesse információit még akkor is, ha nem áll online kapcsolatban a PKI elemeivel. Többféle kulcstároló hardvereszköz típust kell támogasson.

Question 20

Hardvertámogatás

Answer 20

Alapvető követelmény, hogy a CA-t támogató kritikus alkalmazások a tanúsítványok aláírásához hardveres kriptográfiai modulokat használjanak, mivel a szoftveres alkalmazások ki vannak téve a beavatkozásnak és a visszaéléseknek. A különböző kriptográfiai hardver eszközök: pl. intelligens kártyák, PC kártyák, PCI kártyák, melyek a szoftveres megoldásoknál gyorsabb, nagyobb kapacitású és biztonságosabb műveletekre képesek.

Question 21

A hatóságok fizikai és hálózati védelme

Answer 21

A CA-k, RA-k és az archív adattárak fizikai elkülönítésének (helyiség, épület és berendezések), védelmének biztosítása úgy, hogy csak a felhatalmazott személyek férhessenek hozzá (személyi állomány átfogó ellenőrzése és a különleges képzés). A biztonságos objektum tipikusan 7x24 órás alapon kell üzemeljen, és katasztrófa utáni teljes helyreállítást biztosító mentésekkel kell rendelkezzen. A privát kulcsok tárolására biztonságos, nem hálózatra kapcsolt hardveregységet kell alkalmazni. A CA tanúsítvány kiadási és a kulcs aláírási folyamat szigorúan ellenőrzött és auditált kell legyen, melyhez elengedhetetlen a megosztott kulcs, azaz több, meghatározó, hatósági kulcstulajdonos.

Question 22

A tanúsítvány

Answer 22

Digitális nyilatkozat, amit egy, a tanúsítvány tulajdonosának kilétét szavatoló szervezet bocsát ki. A nyilvános kulcsot a hozzá tartozó titkos kulcsot birtokló személyhez, számítógéphez v. szolgáltatáshoz köti. Olyan nyilvános kulcsú titkosítást használó szolgáltatás és program alkalmazza, amely a hálózatokon, pl. az interneten keresztül folytatott kommunikáció hitelesítéséről, biztonságáról, valamint az adatok integritásáról gondoskodik.
A felhasználók a Microsoft Management Console (MMC) segítségével kezelhetik tanúsítványaikat. A kiállító bármikor visszavonhatja a tanusítványt.
Tanúsítványok használata: Webfelhasználó és webkiszolgáló hitelesítéséhez, E-mail védelmére (az S/MIME kódolás használatával), stb…

Question 23

A tanúsítványok összetevői

Answer 23

1. A tulajdonos nyilvános kulcsa
2. A tulajdonost azonosító adatok (név, e-mail cím stb.)
3. Az érvényesség ideje (érvényességi periódus kezdő és lezáró dátuma, az érvényét vesztett tanúsítvány tulajdonosának új tanúsítványt kell igényelnie).
4. A kibocsátó azonosító adatai
5. A kibocsátó digitális aláírása, amely igazolja a nyilvános kulcs és a tulajdonos azonosítója közötti kapcsolat érvényességét

Question 24

A tanusítvány (2)

Answer 24

A rendszer fenntartás nélkül megbízik a megbízható legfelső szintű hitelesítésszolgáltató (saját tanúsítványtárában elhelyezi a kiállító által aláírt és annak nyilvános kulcsát tartalmazó tanúsítványt a legfelső szintű hitelesítésszolgáltatók tanúsítványai számára fenntartott tárolóban) kiállítással kapcsolatos szabályzatában, hogy a kibocsátó ellenőrizte a tanúsítvány alanyának kilétét.
A közép- vagy alsószintű (alárendelt) hitelesítő szervezetek csak akkor tekinthetők megbízhatónak, ha azok rendelkeznek egy legfelső szintű hitelesítő szervezettől származó érvényes tanúsítvánnyal vagy tanúsítványlánccal.
A nyilvános kulcsú infrastruktúra legegyszerűbb modellje mindössze egyetlen, legfelső szintű hitelesítés-szolgáltatót tartalmaz.
A Windows támogatja az intelligens kártyán tárolt tanúsítvány használatával végzett bejelentkezést, ill. az intelligens kártyák tanúsítványok és titkos kulcsok tárolására történő használatát.
A webes hitelesítéshez, biztonságos levelezéshez, vezeték nélküli hálózati kapcsolatokhoz és egyéb nyilvános kulcsú titkosítással összefüggő műveletekhez egyaránt használhatók.

Question 25

Bizalmi kapcsolatok

Answer 25

Ω A Windows Server család tartományi és erdő szinten támogatja a bizalmi kapcsolatokat.
Ω A tartományok közötti bizalmi kapcsolat lehetővé teszi a felhasználó hitelesítését más tartományban lévő erőforrások használatához.

Question 26

A bizalmi kapcsolatok iránya

Answer 26

 Jelentős hatással van a hitelesítésre használt bizalmi útvonalak működésére.

Question 27

A bizalmi útvonal

Answer 27

Bizalmi kapcsolatok sorozata, amelyet a hitelesítési kérelemnek be kell járnia a tartományok között

Question 28

A bizalmi kapcsolatok típusai

Answer 28

Egyirányú bizalmi kapcsolat

Kétirányú bizalmi kapcsolat

Question 29

Egyirányú bizalmi kapcsolat

Answer 29

Két tartomány között létrejött egyirányú hitelesítési útvonal. Az A tartomány felhasználói elérhetik a B tartomány erőforrásait, ám a B tartomány felhasználói nem férhetnek hozzá az A tartományéhoz.
o Bizonyos egyirányú bizalmi kapcsolatok a kapcsolat típusától függően tranzitívak és nem tranzitívak lehetnek. Tranzitív: az A tartomány megbízik a B tartományban, a B tartomány megbízik a C tartományban, az A tartomány is megbízik a C tartományban.
o A tranzitív bizalom egy- és kétirányú is lehet
o A tranzitív kapcsolatokra a Kerberosszal végzett hitelesítésnél és az Active Directory-replikálásnál van szükség.
o Nem tranzitív bizalmi kapcsolatban csak két tartomány vehet részt.

Question 30

Kétirányú bizalmi kapcsolat

Answer 30

Az A tartomány megbízik a B tartományban, és a B tartomány megbízik az A tartományban. A hitelesítési kérelmek mindkét irányban továbbíthatók a két tartomány között.
o Adott Windows erdőn belül minden tartományi bizalmi kapcsolat kétirányú és tranzitív.
o Ha új gyermektartomány jön létre, akkor közte és a szülőtartomány között automatikusan kétirányú tranzitív bizalmi kapcsolat jön létre.
o Bizonyos kétirányú kapcsolatok nem tranzitívak és tranzitívak is lehetnek, a létrejött bizalmi kapcsolat típusától függően.