Active Directory 如何处理跨域的安全身份验证？

Active Directory (AD) 是 Microsoft 开发的目录服务，用于处理 Windows Server 环境中跨域的安全身份验证。它提供了一种集中且标准化的方式来管理和控制对网络资源（包括用户帐户、计算机、组和其他网络对象）的访问。 AD 利用分层结构和各种组件来确保安全的身份验证和授权过程。

Active Directory 安全身份验证的核心是域的概念。域是网络资源的逻辑分组，包括共享公共安全策略和信任关系的用户、计算机和设备。在域内，AD 使用多个组件来处理安全身份验证：

1. 域控制器 (DC)：这些服务器负责对用户进行身份验证并在域内执行安全策略。每个域至少有一个DC，多个DC提供冗余和负载均衡。 DC 存储 AD 数据库的副本，其中包含有关用户、组及其各自安全设置的信息。

2. Active Directory 数据库：AD 数据库存储在每个域控制器上，包含用户、组、计算机和组织单位 (OU) 等对象。这些对象以称为目录树的分层结构进行组织，根域位于顶部。数据库存储每个对象的属性，包括与安全相关的信息，例如密码和访问控制列表（ACL）。

3. 安全主体：用户、计算机和组统称为安全主体。每个安全主体都有一个称为安全标识符 (SID) 的唯一标识符，用于身份验证和授权目的。当用户登录到域时，他们的凭据将由 DC 进行验证，DC 会根据 AD 数据库检查用户名和密码。

4.身份验证协议：AD支持各种身份验证协议，包括Kerberos和NTLM（NT LAN Manager）。 Kerberos 是现代 Windows 环境中使用的默认身份验证协议。它通过使用由受信任的机构（称为密钥分发中心 (KDC)）颁发的票证来提供安全身份验证。 NTLM 虽然安全性较差，但仍支持与旧系统兼容。

5.信任关系：AD允许在域之间建立信任关系，使一个域的用户能够访问另一个域的资源。信任关系定义域之间的访问和身份验证级别，例如单向或双向信任。信任对于实现不同领域的协作和资源共享至关重要。

当用户尝试访问域中的资源时，以下步骤概述了安全身份验证过程：

1. 用户身份验证：用户提供用户名和密码来登录域。客户端工作站将身份验证请求发送到域控制器。

2. 凭据验证：域控制器通过将提供的密码与 AD 数据库中存储的密码哈希进行比较来验证用户的凭据。

3. 票证授予票证 (TGT) 颁发：如果凭据有效，域控制器会为用户生成票证授予票证 (TGT)。 TGT 使用用户密码进行加密，用于请求访问特定资源的服务票据。

4. 服务票证请求：当用户请求访问特定资源时，客户端工作站将 TGT 提交给域控制器以获得该资源的服务票证。

5. 服务票证验证：域控制器验证用户的 TGT 并颁发服务票证以授予对所请求资源的访问权限。该票证使用资源的密钥进行加密。

6. 资源访问：客户端工作站向资源服务器提供服务票证，资源服务器使用其密钥对票证进行解密。如果票证有效，则用户将被授予对所请求资源的访问权限。

Active Directory 的安全身份验证机制为管理 Windows Server 环境中的网络资源访问提供了强大且可扩展的解决方案。通过集中身份验证和授权流程，AD 通过在整个域中实施一致的策略和控制来简化管理并增强安全性。