第 3 章 信任如何工作

身份管理 IdM 和 Active Directory(AD)之间的信任是建立在跨域 Kerberos 信任上的。这个解决方案使用 Kerberos 功能在不同的身份源间建立信任。因此，所有 AD 用户都可以：

所有 IdM 对象都在 IdM 中的信任中管理。

所有 AD 对象都在信任的 AD 中管理。

在复杂的环境中，单个 IdM 林可以连接到多个 AD 林。这个设置可以为机构的不同功能更好地分离任务。AD 管理员可以专注于用户和与用户相关的策略，而 Linux 管理员对 Linux 基础架构完全控制。在这种情况下，IdM 控制的 Linux 领域类似于 AD 资源域或领域，但其中包含 Linux 系统。

从 AD 的角度来看，身份管理代表一个独立的 AD 域。当 AD 林根域和 IdM 域之间建立了跨林信任时，AD 林域中的用户可以与 IdM 域中的 Linux 机器和服务进行交互。