שאלות שבהן נעסוק:
- מהו TRUST?
- באילו סיטואציות נכון להגדיר TRUST?
- מהם היתרונות בהגדרת TRUST?
- מהו TRUST?
- עד כה דיברנו על תהליכים, התקנות, חיבורים בין שרתים או זהויות בתוך אותו ה – DOMAIN. למשל: ניהול של כמה DCS משמעותו ניהול של כמה שרתי הזדהות בתוך אותו הDOMAIN.
- השלב הבא יהיה לבחון את האופן שבו שרתים מתקשרים אחד עם השני כאשר מדובר על שרתים המצורפים ל – DOMAINS נפרדים.
למשל:
- כאשר משתמש מצטרף ל – DOMAIN קיים , המשמעות היא שהארגון מכיר בו כזהות מאושרת כלומר ( מוכרת ) וניתן לסמוך עלייה ע"י הקצאת הרשאות מתאימות לפי הצרכים הארגוניים.
- כאשר נדרש לבצע תהליך דומה בין DOMAINS – נדרש למעשה להגדיר TRUST.
TRUST – משמעותו הבעת אמון ורצון לשיתוף מידע ומשאבים בין DOMAINS
כאשר מוגדר TRUST משתמשים ב-DOMAIN אחד יכולים לפנות ( להתחבר ) למשאבים בDOMAIN שני.
- ישנם 2 סוגים של TRUST:
- One-way trust: הגדרה זו קובעת כי DOMAIN A יכל לתת אמון ב- DOMAIN B אבל לא לקבל אמון חזרה מ – DOMAIN B
2. Two-way trust: המשמעות של TRUST דו כיווני היא היכולת של 2 ה-DOMAINS לשתף מידע וגישה למשאבים באופן הדדי כלומר, כל המשתמשים מ – 2 ה – DOMAINS יכולים להזדהות בכל אחד מהם ולקבל גישה למידע והמשאבים בכל אחד.
2 . באילו סיטואציות נכון להגדיר TRUST ?
1. אבטחת מידע:
כאשר נדרשת תקשורת בין משתמשים ומשאבים בין DOMAINS עולה השאלה באיזה אופן ההתקשרות תתבצע. כאשר אין TRUST בין 2 הDOMAINS – לרוב נדרש להתחבר לרשת האינטרנט ולבצע פעולות הגנה שיגנו על התקשורת.
כאשר יש TRUST ע"פ רוב ניתן להתחבר להתנהל בתוך רשתות פנימיות ולייתר את הצורך ביציאה לרשת האינטרנט. הימנעות מיציאה לרשת האינטרנט ע"פ רוב מאבטחת טוב יותר את התקשורת.
לדוגמא:
2. יעילות במיגרציה ( נדידה/התממשקות) ארגונית:
כאשר נדרש להעביר ( זהויות ) בין שני DOMAINS או יותר – ברירת המחדל תהיה ליצור את אותן הזהויות מחדש בכל DOMAIN. אולם, כאשר יש TRUST לא נדרש לייצר אותן מחדש , אלה רק!!!! להגדיר את ה – TRUST עצמו.
3. חסכון בעלויות ובתפעול:
כאשר מוגדר שיש TRUST בין DOMAINS , כל שרת/משתמש יוכל לגשת למשאבים ב – DOMAIN השני (בכפוף להרשאות) באופן נגיש וקל כאשר מוגדר ש אין TRUST , לרוב קיימת האופציה לשכפל את המידע והמשאבים מ ה-DOMAIN השני ובכך להגדיל את הוצאות הארגון משמעותית.
3. מהם היתרונות בהגדרת TRUST?
- חסכון בעלויות: הרבה יותר זול להגדיר TRUST מאשר לבצע שכפולים של שרתים מה- DOMAIN השני.
- יותר נגיש וקל: אופן ההזדהות מול ה – DOMAIN השני נשאר אותו הדבר רק שבתחילת שם משתמש יופיע שם ה – DOMAIN השני.
- יותר מאובטח: ההתקשרות בין DOMAINS שיש ביניהם TRUST יכולה להתבצע בתוך רשתות פנימיות, ללא יציאה לאינטרנט.
- מיגרציה פשוטה: הזהויות והמשאבים הארגוניים נשארים אותו הדבר ולא נדרש לייצר זהויות חדשות.