Menu Close

Red Hat Training

A Red Hat training course is available for RHEL 8

32.10.3. IdM クライアントが AD サーバーからサービスを要求する場合の情報フロー

以下の図は、IdM と AD 間で双方向の信頼を設定した場合に、Identity Management(IdM)クライアントが Active Directory(AD)ドメインのサービスを要求する場合の情報のフローを説明します。

IdM クライアントから AD サービスにアクセスできない場合は、この情報を使用してトラブルシューティング作業を制限し、問題の原因を特定することができます。

注記

デフォルトでは、IdM は AD への一方向の信頼を確立します。つまり、AD フォレストのリソースに対してレルム間の TGT(Ticket-Granting Ticket)を発行することはできません。信頼された AD ドメインのサービスにチケットを要求できるようにするには、双方向の信頼を設定します。

diagram showing how an IdM client communicates with an IdM server and an AD Domain Controller

  1. IdM クライアントは、接続する AD サービスの IdM Kerberos Distribution Center(KDC)から TGT(Ticket-Granting Ticket)を要求します。
  2. IdM KDC はサービスが AD レルムに属することを認識し、レルムが分かっていることを確認し、クライアントがそのレルムからサービスを要求できることを確認します。
  3. ユーザープリンシパルに関する IdM Directory Server からの情報を使用して、IdM KDC はユーザープリンシパルに関する MS-PAC(Privileged Attribute Certificate)レコードでレルム間の TGT を作成します。
  4. IdM KDC はレルム間の TGT を IdM クライアントに送信します。
  5. IdM クライアントは AD KDC に連絡して AD サービスのチケットを要求します。IdM KDC が提供する MS-PAC が含まれるレルム間の TGT を提示します。
  6. AD サーバーは PAC を検証してフィルタリングし、AD サービスのチケットを返します。
  7. IPA クライアントが AD サービスに接続できるようになりました。