Menu Close
Settings Close

Language and Page Formatting Options

Red Hat Training

A Red Hat training course is available for RHEL 8

32.10.2. AD 子域中的主机请求 IdM 服务器的服务时的信息流

下图解释了当子域中的活动目录(AD)主机请求身份管理(IdM)域中的服务时的信息流。在这个场景中,AD 客户端联系子域中的 Kerberos 分发中心(KDC),然后联系 AD 林根中的 KDC,最后联系 IdM KDC 以请求访问 IdM 服务。

如果您在访问 AD 客户端的 IdM 服务时遇到问题,并且您的 AD 客户端属于 AD 林根的子域,那么您可以使用这些信息缩小故障排除的范围,并识别问题源。

diagram showing how an AD client in a chile domain communicates with multiple layers of AD Domain Controllers and an IdM server

  1. AD 客户端在其自己的域中联系 AD Kerberos Distribution Center(KDC),以执行对 IdM 域中服务的 TGS 请求。
  2. 子域 child.ad.example.com 中的 AD KDC(子域)识别服务属于可信的 IdM 域。
  3. 子域中的 AD KDC 向客户端发送 AD 林根域 ad.example.com 的引用票据。
  4. AD 客户端联系 AD 林根域中的 KDC ,以获取 IdM 域中的服务。
  5. 林根域中的 KDC 识别服务属于可信的 IdM 域。
  6. AD KDC 向客户端发送跨域票据授予票据(TGT),以及对可信 IdM KDC 的引用。
  7. AD 客户端使用跨域 TGT 向 IdM KDC 请求票据。
  8. IdM KDC 验证通过跨域 TGT 传输的特权属性证书(MS-PAC)。
  9. IPA-KDB 插件可能会检查 LDAP 目录,以查看是否允许外部主体获取所请求的服务的票据。
  10. IPA-KDB 解码 MS-PAC、验证并过滤数据。它会在 LDAP 服务器中执行查找,以检查是否需要使用其它信息(如本地组)来扩大 MS-PAC。
  11. 然后,IPA-KDB 插件对 PAC 进行编码,为其签名,将其附加到服务票据,并将其发送给 AD 客户端。
  12. AD 客户端现在可以使用 IdM KDC 发布的服务票据联系 IdM 服务。