Qual'è la differenza tra domain e realm


2

Non ho potuto ottenere una risposta chiara quindi chiedendo su questo forum. Voglio sapere la differenza tra dominio e regno. Ho provato a cercarlo in diversi posti su Internet. Sono uguali, diversi, correlati o uno è un sottoinsieme dell'altro?

Risposte:


5

Individualmente, i termini "dominio" e "regno" significano quasi la stessa cosa, ma per sistemi diversi. I regni e i nomi dei regni provengono dal protocollo di autenticazione Kerberos, dove hanno praticamente lo stesso scopo di domini e nomi di dominio. Non hanno una relazione diretta, a rigor di termini, ma in pratica quasi tutti i regni Kerberos prendono il nome dal dominio DNS corrispondente.

All'interno di Active Directory, i "domini" di Active Directory sono un sistema integrato di DNS, LDAP, Kerberos e vari altri componenti. Un dominio AD utilizza un dominio DNS per le ricerche del server e il nome del dominio DNS funge da spazio dei nomi per gli account utente. In genere, un controller di dominio AD funge anche da server DNS per il dominio DNS corrispondente.

Ad esempio, gli account utente hanno UPN come fred@ad.example.com, che sono fatti dal semplice nome utente con il suffisso del nome di dominio DNS senza distinzione tra maiuscole e minuscole (o una scelta di diversi "suffissi UPN" personalizzati). Gli SPN di servizio sono formati allo stesso modo.

Ma internamente questi nomi vengono convertiti nel "nome principale Kerberos" equivalente, che ha un formato simile e sembra fred@AD.EXAMPLE.COM. Il nome del realm Kerberos fa sempre distinzione tra maiuscole e minuscole e per convenzione sempre maiuscolo. Ogni dominio di Active Directory funge da dominio di Kerberos e ha esattamente un nome di dominio (anche se sono configurati più suffissi UPN). Ogni controller di dominio AD funge anche da KDC Kerberos per il regno Kerberos corrispondente.

(Normalmente, l'unica volta che vedrai direttamente i regni Kerberos è quando si lavora con l'autenticazione utente, ad esempio la configurazione di SSO per un server Linux.)

Gli account hanno anche nomi legacy in stile NT4, ad esempio EXAMPLE\fred, preceduti dal nome di dominio NT4 che è anche in maiuscolo ma senza punti. Non confondere questo con un nome del regno Kerberos.

Quindi qual è la relazione tra domini AD, domini DNS e regni Kerberos?

  • Ogni dominio AD è un regno Kerberos e ogni account AD è l'entità Kerberos. Quindi il regno Kerberos è un sottoinsieme del dominio AD. (Tuttavia, Kerberos può anche essere utilizzato autonomamente senza annuncio.)
  • Ogni dominio AD si basa su un dominio DNS, ma nessuno dei due è un sottoinsieme dell'altro (il DNS può esistere al di fuori di AD).
  • Kerberos utilizza (ma non richiede) il DNS. I regni Kerberos sono generalmente denominati in base ai domini DNS, ma per il resto nessuno dei due è un sottoinsieme dell'altro.
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.