Menu Close

Red Hat Training

A Red Hat training course is available for RHEL 8

32.10. 他のフォレスト内のサービスへのクライアントアクセスのトラブルシューティング

Identity Management(IdM)環境と Active Directory(AD)環境間で信頼を設定したら、1 つのドメインのクライアントが他のドメインのサービスにアクセスできない場合に問題が発生する可能性があります。以下の図を使用して問題のトラブルシューティングを行います。

32.10.1. AD フォレストルートドメインのホストが IdM サーバーからサービスを要求する場合の情報フロー

以下の図は、Active Directory(AD)クライアントが Identity Management(IdM)ドメインでサービスを要求する際の情報のフローを示しています。

AD クライアントから IdM サービスにアクセスできない場合は、この情報を使用してトラブルシューティング作業を制限し、問題の原因を特定することができます。

diagram showing how an AD client communicates with an AD Domain Controller and an IdM server

  1. AD クライアントは、AD Kerberos Distribution Center(KDC)に問い合わせて、IdM ドメインのサービスの TGS 要求を実行します。
  2. AD KDC は、サービスが信頼できる IdM ドメインに属することを認識します。
  3. AD KDC は、信頼された IdM KDC への参照と共にクライアントをレルム間の TGT(Ticket-Granting Ticket)に送信します。
  4. AD クライアントはレルム間の TGT を使用して、IdM KDC にチケットを要求します。
  5. IdM KDC は、レルム間の TGT で送信される Privileged Attribute Certificate(MS-PAC)を検証します。
  6. IPA-KDB プラグインは LDAP ディレクトリーを確認して、要求されたサービスの外部プリンシパルを取得できるかどうかを確認します。
  7. IPA-KDB プラグインは MS-PAC をデコードし、データを検証し、フィルターします。LDAP サーバーでルックアップを実行して、MS-PAC をローカルグループなどの追加情報で拡張する必要があるかどうかを確認します。
  8. 次に IPA-KDB プラグインは PAC をエンコードし、これに署名し、サービスチケットに割り当て、AD クライアントに送信します。
  9. AD クライアントは、IdM KDC が発行するサービスチケットを使用して IdM サービスに接続できるようになりました。