Relaciones de Confianza: SID de organización y Autenticación Selectiva

Si pasas el enlace de donde lo estás leyendo trato de ver el tema
Porque es ambigua la forma que lo dice, y a veces es culpa de las
traducciones :-)


Guillermo Delprato
MVP - MCT - MCSE
Buenos Aires, Argentina
http://w2k8-server.spaces.live.com/

Este mensaje se proporciona "como está" sin garantías de ninguna clase,y no
otorga ningún derecho. Ud. asume los riesgos
This posting is provided "AS IS" with no warranties, and confer no rights.
You assume all risk for your use.



"zubero" wrote in message
news:

Buenas noches,

Estoy leyendo información sobre acceso a recursos en dominios unidos por
relaciones de confianza y me encuentro con el siguiente concepto:

"Cuando un usuario se autentica en una confianza con la opción
Autenticación selectiva activada, se agrega otro SID de organización a los
datos de autorización del usuario. La presencia de este SID comprueba el
dominio del recurso para asegurar que el usuario puede autenticarse a ese
servicio particular. Después de autenticar al usuario, si el otro SID de
organización no está presente, el servidor al que se autentica el usuario
agrega este SID de organización. Sólo uno de estos SID especiales puede
estar presente en el contexto de un usuario autenticado."


Y no acabo de entenderlo, en especial las referencias a SID's de
organización. ¿Crea un SID para cada dominio de la relación? ¿El usuario
se
presenta con un SID con el que se autentica y, una vez hecho esto, el DC
que lo valida le asigna otro SID? En tal caso, ¿qué SID utilizará cuando
quiera acceder a recursos en su propio dominio?

Agradecería que alguien me pudiera aclarar este concepto.


Gracias de antemano.

Carlos Jiménez
CCNA, CEH
Microsoft Certified Professional

"Guilermo Delprato [MS-MVP]"
wrote in news:eNHsr#:

Si pasas el enlace de donde lo estás leyendo trato de ver el tema
Porque es ambigua la forma que lo dice, y a veces es culpa de las
traducciones :-)

Gracias, Guillermo.

Lo he leído en varios sitios:
- Libro "Planning, Implementing and Maintaining a Microsoft Windows Server
2003 Active Directory Infrastructure", en la pág.232, cap. 4
- http://msdn.microsoft.com/es-es/library/ms180941(VS.80).aspx (en el
párrafo de Autenticación selectiva)
- http://technet2.microsoft.com/windo...eae6-ff36-
4a1b-9895-75f0eacfe94c3082.mspx?mfr=true (em el párrafo de Autenticación
selectiva entre dominios en una confianza externa)


Saludos,

Carlos Jiménez
CCNA, CEH
Microsoft Certified Professional

Si, son esas traducciones "no técnicas" :-)

Si más o menos te las rebuscas con inglés, el párrafo correcto está en
http://technet2.microsoft.com/windo...x?mfr=true

Pego el párrafo en cuestión:
When a user authenticates across a trust with the Selective authentication
option enabled, an Other Organizationsecurity ID (SID) is added to the
user's authorization data. The presence of this SID prompts a check on the
resource domain to ensure that the user is allowed to authenticate to the
particular service. Once the user is authenticated, if the Other
Organization SID is not already present, then the server adds the This
Organization SID. Only one of these special SIDs can be present in an
authenticated user's context. For more detailed information about how
selective authentication works, see Security Considerations for Trusts .

Cuando un usuario se autentica a través de una relación con "Autenticación
Selectiva" habilitada, el SID "Otra Organización" es agregado a los datos de
autenticación del usuario (el Access Token que se llama). La prescencia de
este SID dispara un chequeo en el dominio de recursos para asegurarse que el
usuario esté autorizado para autenticarse a este particular servicio (en
este caso es el servidor). Una vez autenticado, si el SID "Otra
Organización" no está ya presente, entonces el servidor agrega el SID "Esta
Organización". Sólo uno de estos SIDs especiales pueden estar presentes en
el contexto de un usuario autenticado. Para más detalles vea... (el link no
dirige a un sitio en particular...)


Guillermo Delprato
MVP - MCT - MCSE
Buenos Aires, Argentina
http://w2k8-server.spaces.live.com/

Este mensaje se proporciona "como está" sin garantías de ninguna clase,y no
otorga ningún derecho. Ud. asume los riesgos
This posting is provided "AS IS" with no warranties, and confer no rights.
You assume all risk for your use.



"zubero" wrote in message
news:

"Guilermo Delprato [MS-MVP]"
wrote in news:eNHsr#:

Si pasas el enlace de donde lo estás leyendo trato de ver el tema
Porque es ambigua la forma que lo dice, y a veces es culpa de las
traducciones :-)

Gracias, Guillermo.

Lo he leído en varios sitios:
- Libro "Planning, Implementing and Maintaining a Microsoft Windows Server
2003 Active Directory Infrastructure", en la pág.232, cap. 4
- http://msdn.microsoft.com/es-es/library/ms180941(VS.80).aspx (en el
párrafo de Autenticación selectiva)
- http://technet2.microsoft.com/windo...eae6-ff36-
4a1b-9895-75f0eacfe94c3082.mspx?mfr=true (em el párrafo de Autenticación
selectiva entre dominios en una confianza externa)


Saludos,

Carlos Jiménez
CCNA, CEH
Microsoft Certified Professional

"Guilermo Delprato [MS-MVP]"
wrote in
news::

Si, son esas traducciones "no técnicas" :-)

Si más o menos te las rebuscas con inglés, el párrafo correcto está en
http://technet2.microsoft.com/windo...eae6-ff36-

4a

1b-9895-75f0eacfe94c1033.mspx?mfr=true

Pego el párrafo en cuestión:
When a user authenticates across a trust with the Selective
authentication option enabled, an Other Organizationsecurity ID (SID)
is added to the user's authorization data. The presence of this SID
prompts a check on the resource domain to ensure that the user is
allowed to authenticate to the particular service. Once the user is
authenticated, if the Other Organization SID is not already present,
then the server adds the This Organization SID. Only one of these
special SIDs can be present in an authenticated user's context. For
more detailed information about how selective authentication works,
see Security Considerations for Trusts .

Cuando un usuario se autentica a través de una relación con
"Autenticación Selectiva" habilitada, el SID "Otra Organización" es
agregado a los datos de autenticación del usuario (el Access Token que
se llama). La prescencia de este SID dispara un chequeo en el dominio
de recursos para asegurarse que el usuario esté autorizado para
autenticarse a este particular servicio (en este caso es el servidor).
Una vez autenticado, si el SID "Otra Organización" no está ya
presente, entonces el servidor agrega el SID "Esta Organización". Sólo
uno de estos SIDs especiales pueden estar presentes en el contexto de
un usuario autenticado. Para más detalles vea... (el link no dirige a
un sitio en particular...)

Muchas gracias, Guillermo. Veo que la traducción de Microsoft da pie a
confusiones. Agradezco la molestia que te has tomado para traducir el
texto y poner las aclaraciones. La verdad que me ha quedado mucho más
claro.

Sólo unas pequeñas aclaraciones al respecto:
- El SID "Otra Organización" es añadido por el DC del dominio de
confianza (el de origen del usuario), ¿no?
- ¿De qué depende que una vez autenticado en el servicio particular el
SID "Otra Organización" esté o no?
- En diversas ocasiones hacen referencia al término SID para referirse a
diferentes datos (SID Otra/Esta Organización). Quizás no tengo claro el
concepto del todo, pero el SID de un principal de seguridad permanece
constante (y es único), por lo tanto, como comentas en la traducción,
esos SID's de Organización no son más que Access Token, ¿correcto?


Saludos,

Carlos Jiménez
CCNA, CEH
Microsoft Certified Professional

El Access Token, es "la credencial" que presenta el cliente cuando tiene que
ser *autorizado* (que no es lo mismo que autenticado)

En el Access Token se encuentran los SIDs. Estos incluyen los SIDs de:
- La cuenta de usuario
- Grupos de dominio
- Grupos locales
Resumiendo, los SIDs que hayan provisto el controlador de dominio que
autentica.

O sea, que un Access Token contiene varios SIDs

Tengo dudas sobre cuál DC provee el SID "Other Organization", pero entiendo
que es el DC del dominio de cuentas, que luego el DC del dominio analizará
para ver si puede darle acceso al servidor que tiene el recurso en cuestión.

Utilizando autenticación Kerberos, todo está basado en un sistema de
Tickets. La complejidad se da porque un cliente sólo puede pedirle Tickets a
SU propio DC. Pero sólo un DC del dominio de recursos puede dar un Ticket
para un servidor suyo. Entonces hay varios pasos intermedios involucrados.

El cliente le pide un Ticket a un DC de su dominio, para acceder a un
servicio en otro dominio. Este DC le provee de un Ticket para acceder a otro
DC de un dominio que esté en el "path" pero más cercano. Con este Ticket el
cliente le pide otro Ticket para acceder al servicio en cuestión, pero
recibirá otro Ticket para acceder a un DC "más cercano", ... hasta que al
final le podrá pedir un Ticket al DC del servidor en cuestión, y que le
permitirá al servidor validar al usuario.


Guillermo Delprato
MVP - MCT - MCSE
Buenos Aires, Argentina
http://w2k8-server.spaces.live.com/

Este mensaje se proporciona "como está" sin garantías de ninguna clase,y no
otorga ningún derecho. Ud. asume los riesgos
This posting is provided "AS IS" with no warranties, and confer no rights.
You assume all risk for your use.



"zubero" wrote in message
news:

"Guilermo Delprato [MS-MVP]"
wrote in
news::

Si, son esas traducciones "no técnicas" :-)

Si más o menos te las rebuscas con inglés, el párrafo correcto está en
http://technet2.microsoft.com/windo...eae6-ff36-

4a

1b-9895-75f0eacfe94c1033.mspx?mfr=true

Pego el párrafo en cuestión:
When a user authenticates across a trust with the Selective
authentication option enabled, an Other Organizationsecurity ID (SID)
is added to the user's authorization data. The presence of this SID
prompts a check on the resource domain to ensure that the user is
allowed to authenticate to the particular service. Once the user is
authenticated, if the Other Organization SID is not already present,
then the server adds the This Organization SID. Only one of these
special SIDs can be present in an authenticated user's context. For
more detailed information about how selective authentication works,
see Security Considerations for Trusts .

Cuando un usuario se autentica a través de una relación con
"Autenticación Selectiva" habilitada, el SID "Otra Organización" es
agregado a los datos de autenticación del usuario (el Access Token que
se llama). La prescencia de este SID dispara un chequeo en el dominio
de recursos para asegurarse que el usuario esté autorizado para
autenticarse a este particular servicio (en este caso es el servidor).
Una vez autenticado, si el SID "Otra Organización" no está ya
presente, entonces el servidor agrega el SID "Esta Organización". Sólo
uno de estos SIDs especiales pueden estar presentes en el contexto de
un usuario autenticado. Para más detalles vea... (el link no dirige a
un sitio en particular...)

Muchas gracias, Guillermo. Veo que la traducción de Microsoft da pie a
confusiones. Agradezco la molestia que te has tomado para traducir el
texto y poner las aclaraciones. La verdad que me ha quedado mucho más
claro.

Sólo unas pequeñas aclaraciones al respecto:
- El SID "Otra Organización" es añadido por el DC del dominio de
confianza (el de origen del usuario), ¿no?
- ¿De qué depende que una vez autenticado en el servicio particular el
SID "Otra Organización" esté o no?
- En diversas ocasiones hacen referencia al término SID para referirse a
diferentes datos (SID Otra/Esta Organización). Quizás no tengo claro el
concepto del todo, pero el SID de un principal de seguridad permanece
constante (y es único), por lo tanto, como comentas en la traducción,
esos SID's de Organización no son más que Access Token, ¿correcto?


Saludos,

Carlos Jiménez
CCNA, CEH
Microsoft Certified Professional