11.2. 当来自 IdM 服务器的 AD 子域请求服务时的信息流
下图显示了当子域中的 Active Directory(AD)主机请求 Identity Management(IdM)域中的服务时的信息流。在这种情况下,AD 客户端联系子域中的 Kerberos 分发中心(KDC),然后联系 AD 林根中的 KDC,最后联系 IdM KDC 以请求对 IdM 服务的访问。
如果您在 AD 客户端访问 IdM 服务时遇到问题,并且您的 AD 客户端属于 AD 林根的子域,您可以使用这些信息缩小故障排除工作并识别问题源。
- AD 客户端在其自己的域中联系 AD Kerberos Distribution Center(KDC),以执行 IdM 域中该服务的 TGS 请求。
-
child.ad.example.com
中的 AD KDC(子域)可识别该服务所属的可信 IdM 域。 -
子域中的 AD KDC 向客户端发送 AD 林根域
ad.example.com
的推荐票据。 - AD 客户端与 IdM 域中服务的 AD 林根域中的 KDC 联系。
- 林根域中的 KDC 识别该服务属于可信 IdM 域。
- AD KDC 将客户端发送跨域票据(TGT),以及引用可信 IdM KDC。
- AD 客户端使用跨域 TGT 向 IdM KDC 请求 ticket。
- IdM KDC 验证通过跨域 TGT 传输的权限属性证书(MS-PAC)。
- IPA-KDB 插件可能会检查 LDAP 目录,以查看是否允许外部主体获取所请求服务的票据。
- IPA-KDB 插件对 MS-PAC、验证和过滤数据进行解码。它会在 LDAP 服务器中执行查找,以检查是否需要使用附加信息(如本地组)增加 MS-PAC。
- IPA-KDB 插件随后对 PAC 进行编码,为它签名,将其附加到服务票据,并将其发送到 AD 客户端。
- AD 客户端现在可以使用 IdM KDC 发布的服务票据联系 IdM 服务。