11.3. IdM 클라이언트가 AD 서버에서 서비스를 요청할 때 정보 흐름

다음 다이어그램에서는 IdM(Identity Management) 클라이언트가 IdM과 AD 간 양방향 신뢰를 구성한 경우 AD(Active Directory) 도메인의 서비스를 요청할 때 정보 흐름을 설명합니다.

IdM 클라이언트의 AD 서비스에 액세스하는 데 문제가 있는 경우 이 정보를 사용하여 문제 해결 노력을 좁히고 문제 소스를 확인할 수 있습니다.

참고

기본적으로 IdM은 AD에 대한 단방향 트러스트를 설정하여 AD의 리소스에 대해 TGT(cross-realm ticket-granting ticket)를 발행할 수 없음을 의미합니다. 신뢰할 수 있는 AD 도메인에서 서비스에 티켓을 요청하려면 양방향 트러스트를 구성합니다.

diagram showing how an IdM client communicates with an IdM server and an AD Domain Controller

  1. IdM 클라이언트는 연락처를 원하는 AD 서비스를 위해 IdM KDC(Keranting Center)에서 티켓 통합 티켓(TGT)을 요청합니다.
  2. IdM EgressIP은 서비스가 AD 영역에 속하고, 영역이 알려진지, 신뢰할 수 있고 클라이언트가 해당 영역에서 서비스를 요청할 수 있는지 확인합니다.
  3. IdM Directory Server의 사용자 주체에 대한 정보를 사용하여 IdM EgressIP은 사용자 주체에 대한 권한 있는 속성 인증서(MS-PAC) 레코드가 포함된 교차 실제 TGT를 생성합니다.
  4. IdM key는 IdM 클라이언트에 교차 실제 TGT를 다시 보냅니다.
  5. IdM 클라이언트는 AD EgressIP에 연결하여 IdM XX에서 제공하는 MS-PAC가 포함된 교차 영역 TGT를 제공하는 AD 서비스 티켓을 요청합니다.
  6. AD 서버는 PAC의 유효성을 검증 및 필터링하고 AD 서비스에 대한 티켓을 반환합니다.
  7. IPA 클라이언트에서 이제 AD 서비스에 연결할 수 있습니다.

추가 리소스