External Trust

외부 신뢰 관계는 서로 다른 포레스트 내부 도메인 간의 비전이성 신뢰 관계입니다. 외부 신뢰 관계이기 때문에 서로의 도메인에 대해서만 신뢰 관계가 성립하고, 같은 포레스트나 부모-자식 관계에 영향을 받지 않습니다. 주로 회사 합병으로 인해 포레스트에 넣지 못하는 상황이나, 보안 경계, 특정 도메인 간에만 리소스 접근이 필요한 경우 사용됩니다.

신뢰 계정의 패스워드는 서로 공유하며 TDO에 저장되기 때문에, 신뢰받는 도메인은 신뢰 계정을 사용하여 신뢰하는 도메인에 사용자로써 인증하고 리소스에 접근이 가능합니다.

포레스트는 Microsoft에서 보안 경계로 주장하는 모델이며 일방향 신뢰는 신뢰하는 도메인에서 신뢰받는 도메인으로의 접근이 논리적으로 불가능합니다. 또한 외부 신뢰 모델은 커버로스 인증을 지원하지 않기 때문에, 신뢰받는 도메인이라 할 지라도 신뢰하는 도메인에 대한 커버로스 인증은 불가능 합니다.

아래는 신뢰받는 계정에서 신뢰하는 계정의 SPN을 이용하기 위해 레퍼럴 티켓을 요청했으나, KDC는 이를 현재 도메인 안에서만 확인하여 없는 SPN이라는 오류를 응답한 패킷입니다.

현재 실습 환경에서 신뢰 구성은 다음과 같습니다.

1. PENTEST.LOCAL → CONTOSO.COM 일방향 외부 신뢰

2. CONTOSO.COM에는 PENTEST$ 객체가 생성됨

3. 양 도메인은 TDO에 영역 간 공유 키가 있음

일반적인 신뢰 관계에서 도메인 간의 레퍼럴 티켓을 요청하는 과정이 외부 신뢰 관계에서도 가능하다면, 서로의 도메인 객체를 통해 외부 도메인 SPN을 요청하는 것이 가능할 것입니다.

하지만 위 패킷에서 보다시피 TGS-REQ에서 외부 도메인 SPN을 요청 시 TGS-REP는 트러스트 관계가 있다고 하더라도 SPN 이름을 찾을 수 없어 오류를 반환합니다.

References