第 11 章 对其他林中的服务进行客户端访问进行故障排除
在 Identity Management(IdM)和 Active Directory(AD)环境之间配置信任后,您可能会遇到以下问题:一个域中的客户端无法访问其他域中的服务。使用以下示意图对问题进行故障排除。
11.1. 当 AD 林根域请求来自 IdM 服务器的主机请求时,信息流
下图显示了当 Active Directory(AD)客户端请求 Identity Management(IdM)域中服务时的信息流。
如果您在 AD 客户端访问 IdM 服务时遇到问题,您可以使用此信息缩小故障排除工作并识别问题源。
- AD 客户端联系 AD Kerberos 分发中心(KDC)以在 IdM 域中为该服务执行 TGS 请求。
- AD KDC 识别该服务属于可信 IdM 域。
- AD KDC 将客户端发送跨域票据(TGT),以及引用可信 IdM KDC。
- AD 客户端使用跨域 TGT 向 IdM KDC 请求 ticket。
- IdM KDC 验证通过跨域 TGT 传输的权限属性证书(MS-PAC)。
- IPA-KDB 插件可能会检查 LDAP 目录,以查看是否允许外部主体获取所请求服务的票据。
- IPA-KDB 插件对 MS-PAC、验证和过滤数据进行解码。它会在 LDAP 服务器中执行查找,以检查是否需要使用附加信息(如本地组)增加 MS-PAC。
- IPA-KDB 插件随后对 PAC 进行编码,为它签名,将其附加到服务票据,并将其发送到 AD 客户端。
- AD 客户端现在可以使用 IdM KDC 发布的服务票据联系 IdM 服务。