Approbation transitive

automatiquement des approbations en tant que parties intégrantes
du processus de construction de la hiérarchie des domaines et en introduisant
l’approbation transitive.

L’approbation transitive signifie que si europe.entreprise.com et us.entreprise.com
approuvent entreprise.com, europe.entreprise.com approuve implicitement us.entreprise.com.
L’approbation transitive réduit le nombre d’approbations nécessaires pour l’authentification.
Pour un exemple illustrant comment l’approbation transitive simplifie l’authentification,
voir l’encadré “ Examen de l’approbation transitive de Kerberos ”.

L’approbation transitive n’est qu’un concept logique, il n’existe aucun secret
partagé entre les contrôleurs de domaines des domaines qui la partagent. Elle
signifie que pour que l’authentification ait lieu entre des entités aux extrémités
opposées d’une approbation transitive, le processus d’authentification ne passe
pas par l’approbation transitive, mais par le chemin d’approbation (c’est-à -dire
l’arborescence des entités se trouvant dans une approbation transitive).
Selon Microsoft ce processus d’orientation n’affecte pas le trafic du réseau et
le trafic qu’il génère est comparable à  celui du processus d’authentification
par traversée de NT 4.0. Toutefois ce processus prouve bien que Kerberos ne convient
pas à  de grands environnements distribués tels que l’Internet. C’est un protocole
d’authentification d’intranet.Windows 2000 contient cinq types de relations d’approbation
de base, visibles sur le Tableau 1.
On peut visualiser les relations d’approbation dans les propriétés de chaque objet
de domaine, comme sur l’écran 3, ou bien employer l’utilitaire d’invite de commande
trustdom.exe. On peut également utiliser ces outils pour créer explicitement des
approbations. Les utilisateurs finaux qui travaillent à  partir de postes de travail
compatibles Kerberos peuvent voir l’effet des approbations transitives lorsqu’ils
se connectent. Ils peuvent choisir chaque domaine avec lequel leur domaine a une
approbation directe ou indirecte. Un utilisateur final NT 4.0 ne voit que les
approbations directes de son domaine.

Les approbations Kerberos de Windows 2000 créées implicitement ou explicitement
dans la même forêt sont transitives par défaut. Microsoft a inclus une case à 
cocher dans la beta 2 de Windows 2000 qui permet de désactiver la transitivité,
mais pas dans la beta 3. Les approbations explicites entre forêts ou les approbations
à  des domaines autres que Windows 2000, telles qu’un domaine Kerberos UNIX, ne
sont pas transitives par défaut. Par conséquent, pour l’interopérabilité de l’authentification
entre deux domaines appartenant à  des forêts différentes, il faut établir manuellement
une relation d’approbation entre les deux domaines.