11.2. AD 하위 도메인의 호스트가 IdM 서버에서 서비스를 요청하는 경우 정보 흐름

다음 다이어그램에서는 하위 도메인의 AD(Active Directory) 호스트가 IdM(Identity Management) 도메인의 서비스를 요청할 때 정보 흐름을 설명합니다. 이 시나리오에서는 AD 클라이언트가 하위 도메인의 KDC(Kerberos 배포 센터)에 접속한 다음, AD forest root의 EgressIP에 연결하고, 마지막으로 IdM 서비스에 대한 액세스를 요청하도록 IdM()에 연결합니다.

AD 클라이언트에서 IdM 서비스에 액세스하는 데 문제가 있고 AD 클라이언트가 AD forest root의 하위 도메인인 도메인에 속하는 경우 이 정보를 사용하여 문제 해결 작업을 좁히고 문제 소스를 확인할 수 있습니다.

diagram showing how an AD client in a chile domain communicates with multiple layers of AD Domain Controllers and an IdM server

  1. AD 클라이언트는 자체 도메인에서 AD Kerberos Distribution Center(KDC)에 연결하여 IdM 도메인에서 서비스에 대한 TGS 요청을 수행합니다.
  2. 하위 도메인인 child.ad.example.com 의 AD EgressIP은 해당 서비스가 신뢰할 수 있는 IdM 도메인에 속하는지 인식합니다.
  3. 하위 도메인의 AD EgressIP은 클라이언트에 AD forest root 도메인 ad.example.com 에 대한 추천 티켓을 보냅니다.
  4. AD 클라이언트는 IdM 도메인의 서비스에 대한 AD forest 루트 도메인의 EgressIP에 연결합니다.
  5. est 루트 도메인의 EgressIP은 서비스가 신뢰할 수 있는 IdM 도메인에 속하는 것을 인식합니다.
  6. AD EgressIP은 클라이언트에 신뢰할 수 있는 IdM key에 대한 참조와 함께 TGT(cross-realm ticket-granting ticket)를 클라이언트에 보냅니다.
  7. AD 클라이언트는 cross-realm TGT를 사용하여 IdM EgressIP에 티켓을 요청합니다.
  8. IdM EgressIP은 교차 실제 TGT와 함께 전송된 Privileged Attribute Certificate (MS-PAC)의 유효성을 검사합니다.
  9. IPA-KDB 플러그인은 LDAP 디렉토리를 확인하여 요청된 서비스에 대한 티켓을 받을 수 있는 외부 주체가 허용되는지 확인할 수 있습니다.
  10. IPA-KDB 플러그인은 MS-PAC를 디코딩하고, 데이터를 확인하고, 필터링합니다. 로컬 그룹과 같은 추가 정보로 MS-PAC를 보강해야 하는지 확인하기 위해 LDAP 서버에서 조회를 수행합니다.
  11. 그런 다음 IPA-KDB 플러그인은 PAC를 인코딩하고 서명하여 서비스 티켓에 연결한 다음 AD 클라이언트로 보냅니다.
  12. 이제 AD 클라이언트에서 IdM requirements에서 발행한 서비스 티켓을 사용하여 IdM 서비스에 연결할 수 있습니다.