第 11 章 对其他林中的服务进行客户端访问进行故障排除

在 Identity Management(IdM)和 Active Directory(AD)环境之间配置信任后,您可能会遇到以下问题:一个域中的客户端无法访问其他域中的服务。使用以下示意图对问题进行故障排除。

11.1. 当 AD 林根域请求来自 IdM 服务器的主机请求时,信息流

下图显示了当 Active Directory(AD)客户端请求 Identity Management(IdM)域中服务时的信息流。

如果您在 AD 客户端访问 IdM 服务时遇到问题,您可以使用此信息缩小故障排除工作并识别问题源。

diagram showing how an AD client communicates with an AD Domain Controller and an IdM server

  1. AD 客户端联系 AD Kerberos 分发中心(KDC)以在 IdM 域中为该服务执行 TGS 请求。
  2. AD KDC 识别该服务属于可信 IdM 域。
  3. AD KDC 将客户端发送跨域票据(TGT),以及引用可信 IdM KDC。
  4. AD 客户端使用跨域 TGT 向 IdM KDC 请求 ticket。
  5. IdM KDC 验证通过跨域 TGT 传输的权限属性证书(MS-PAC)。
  6. IPA-KDB 插件可能会检查 LDAP 目录,以查看是否允许外部主体获取所请求服务的票据。
  7. IPA-KDB 插件对 MS-PAC、验证和过滤数据进行解码。它会在 LDAP 服务器中执行查找,以检查是否需要使用附加信息(如本地组)增加 MS-PAC。
  8. IPA-KDB 插件随后对 PAC 进行编码,为它签名,将其附加到服务票据,并将其发送到 AD 客户端。
  9. AD 客户端现在可以使用 IdM KDC 发布的服务票据联系 IdM 服务。