Red Hat SummitChapitre 11. Dépannage de l'accès des clients aux services dans l'autre forêt
Après avoir configuré une confiance entre vos environnements Identity Management (IdM) et Active Directory (AD), vous pouvez rencontrer des problèmes lorsqu'un client d'un domaine n'est pas en mesure d'accéder à un service dans l'autre domaine. Utilisez les diagrammes suivants pour résoudre le problème.
11.1. Flux d'informations lorsqu'un hôte du domaine racine de la forêt AD demande des services à un serveur IdM
Le diagramme suivant explique le flux d'informations lorsqu'un client Active Directory (AD) demande un service dans le domaine Identity Management (IdM).
Si vous avez des difficultés à accéder aux services IdM à partir de clients AD, vous pouvez utiliser ces informations pour limiter vos efforts de dépannage et identifier la source du problème.
- Le client AD contacte le centre de distribution Kerberos AD (KDC) pour effectuer une requête TGS pour le service dans le domaine IdM.
- Le KDC AD reconnaît que le service appartient au domaine IdM de confiance.
- Le KDC AD envoie au client un ticket d'attribution de ticket inter-royaumes (TGT), ainsi qu'une référence au KDC IdM de confiance.
- Le client AD utilise le TGT inter-royaumes pour demander un ticket au KDC IdM.
- La KDC IdM valide le certificat d'attribut privilégié (MS-PAC) transmis avec le TGT inter-royaumes.
- Le plugin IPA-KDB peut vérifier l'annuaire LDAP pour voir si des mandants étrangers sont autorisés à obtenir des tickets pour le service demandé.
- Le plugin IPA-KDB décode le MS-PAC, vérifie et filtre les données. Il effectue des recherches dans le serveur LDAP pour vérifier s'il est nécessaire d'ajouter des informations supplémentaires au MS-PAC, telles que des groupes locaux.
- Le plugin IPA-KDB encode alors le PAC, le signe, l'attache au ticket de service et l'envoie au client AD.
- Le client AD peut maintenant contacter le service IdM en utilisant le ticket de service émis par le KDC IdM.
Ressources supplémentaires
