Red Hat Summit Red Hat SummitSupportConsoleDéveloppeursCommencer un essaiContact

11.2. Flux d'informations lorsqu'un hôte d'un domaine enfant AD demande des services à un serveur IdM

Le diagramme suivant explique le flux d'informations lorsqu'un hôte Active Directory (AD) dans un domaine enfant demande un service dans le domaine Identity Management (IdM). Dans ce scénario, le client AD contacte le centre de distribution Kerberos (KDC) du domaine enfant, puis le KDC de la racine de la forêt AD et enfin le KDC IdM pour demander l'accès au service IdM.

Si vous avez des difficultés à accéder aux services IdM à partir de clients AD et que votre client AD appartient à un domaine qui est un domaine enfant de la racine d'une forêt AD, vous pouvez utiliser ces informations pour limiter vos efforts de dépannage et identifier la source du problème.

diagramme montrant comment un client AD dans un domaine chilien communique avec plusieurs couches de contrôleurs de domaine AD et un serveur IdM

  1. Le client AD contacte le centre de distribution Kerberos AD (KDC) dans son propre domaine pour effectuer une demande de TGS pour le service dans le domaine IdM.
  2. Le KDC AD de child.ad.example.com, le domaine enfant, reconnaît que le service appartient au domaine IdM de confiance.
  3. Le KDC AD du domaine enfant envoie au client un ticket de renvoi pour le domaine racine de la forêt AD ad.example.com.
  4. Le client AD contacte le KDC dans le domaine racine de la forêt AD pour le service dans le domaine IdM.
  5. Le KDC du domaine racine de la forêt reconnaît que le service appartient au domaine IdM de confiance.
  6. Le KDC AD envoie au client un ticket d'attribution de ticket inter-royaumes (TGT), ainsi qu'une référence au KDC IdM de confiance.
  7. Le client AD utilise le TGT inter-royaumes pour demander un ticket au KDC IdM.
  8. La KDC IdM valide le certificat d'attribut privilégié (MS-PAC) transmis avec le TGT inter-royaumes.
  9. Le plugin IPA-KDB peut vérifier l'annuaire LDAP pour voir si des mandants étrangers sont autorisés à obtenir des tickets pour le service demandé.
  10. Le plugin IPA-KDB décode le MS-PAC, vérifie et filtre les données. Il effectue des recherches dans le serveur LDAP pour vérifier s'il est nécessaire d'ajouter des informations supplémentaires au MS-PAC, telles que des groupes locaux.
  11. Le plugin IPA-KDB encode alors le PAC, le signe, l'attache au ticket de service et l'envoie au client AD.
  12. Le client AD peut maintenant contacter le service IdM en utilisant le ticket de service émis par le KDC IdM.

Ressources supplémentaires

Red Hat logoGithubRedditYoutubeTwitter

Apprendre

Essayez, achetez et vendez

Communautés

À propos de la documentation Red Hat

Nous aidons les utilisateurs de Red Hat à innover et à atteindre leurs objectifs grâce à nos produits et services avec un contenu auquel ils peuvent faire confiance. Découvrez nos récentes mises à jour.

Rendre l’open source plus inclusif

Red Hat s'engage à remplacer le langage problématique dans notre code, notre documentation et nos propriétés Web. Pour plus de détails, consultez le Blog Red Hat.

À propos de Red Hat

Nous proposons des solutions renforcées qui facilitent le travail des entreprises sur plusieurs plates-formes et environnements, du centre de données central à la périphérie du réseau.

© 2024 Red Hat, Inc.