Vertrauensstellung unter den Domänen

Domänen innerhalb eines Trees oder Forests sind untereinander mit Vertrauensstellungen miteinander verbunden. So schafft man die Voraussetzung, dass ein Benutzer von beispielsweise frankfurt.tochter.com auf die Ressourcen von hamburg.firma.com zugreifen kann. Diese Vertrauensstellung wird auch bidirektionale und transitive Vertrauensstellung genannt.

Bidirektionale Vertrauensstellung

Eine bidirektionale Vertrauensstellung besteht aus zwei unidirektionalen Vertrauensstellungen. Das bedeutet, beide Domänen vertrauen sich gegenseitig, indem beide Seiten von sich ausgehend der anderen Domäne vertrauen.

Auf dem Bild haben wir ein Beispiel, in dem berlin.firma.com der Domäne firma.com vertraut und umgekehrt firma.com der Domäne berlin.firma.com vertraut.

Auf beiden Domänen ist die Vertrauensstellung zur jeweils anderen Domäne eingerichtet worden. Nachdem die expliziten Zugriffsberechtigungen erteilt sind, können die Benutzer auf die Ressourcen der anderen Domäne zugreifen.

Bidirektionale Vertrauensstellung
Bidirektionale Vertrauensstellung

Transitive Vertrauensstellung

Die Vertrauensstellungen unter den Domänen sind nicht nur bidirektional, sondern auch transitiv. Das bedeutet, dass eine Domäne eine Vertrauensstellung weiterleitet.

Transitive Vertrauensstellung
Transitive Vertrauensstellung

Auf dem Bild sehen Sie, dass es eine Vertrauensstellung zwischen hamburg.firma.com und firma.com gibt. Die Domäne firma.com hat dazu noch eine Vertrauensstellung zu berlin.firma.com. Zwischen hamburg.firma.com und berlin.firma.com existiert keine direkte Vertrauensstellung.

Durch die Tatsache, dass beide eine Vertrauensstellung mit firma.com haben, existiert auch eine Vertrauensstellung zwischen hamburg.firma.com und berlin.firma.com. In diesem Fall fungiert die Domäne firma.com als weiterleitende Domäne, sie leitet also das Vertrauen an die beiden anderen Domänen weiter.

Das bedeutet etwa so viel wie, ich vertraue dir, du vertraust dem anderen. Weil du dem anderen vertraust, vertrau ich ihm auch. Oder anders ausgedrückt: Der Freund meines Freundes ist auch mein Freund. :-)

Dadurch, dass die Vertrauensstellungen transitiv sind, erspart man sich Arbeit bei der Einrichtung von Vertrauensstellungen. Stellen Sie sich vor, innerhalb einer Unternehmensgruppe gibt es 100 Domänen. Wenn die Vertrauensstellungen nicht transitiv wären, müsste man auf allen 100 Domänen die Vertrauensstellungen zu den anderen 99 Domänen einrichten. Das würde bedeutet, man müsste (100 x 99) insgesamt 9900 Vertrauensstellungen einrichten.

Zum Glück sind die Vertrauensstellungen aber transitiv. Man braucht daher nur zur übergeordneten Domäne eine Vertrauensstellung einzurichten. Man hat dann automatisch die Vertrauensstellungen, die die übergeordnete Domäne hat. Das verringert die Einrichtung der Vertrauensstellungen erheblich.