Menu Close

11.2. 当来自 IdM 服务器的 AD 子域请求服务时的信息流

下图显示了当子域中的 Active Directory(AD)主机请求 Identity Management(IdM)域中的服务时的信息流。在这种情况下,AD 客户端联系子域中的 Kerberos 分发中心(KDC),然后联系 AD 林根中的 KDC,最后联系 IdM KDC 以请求对 IdM 服务的访问。

如果您在 AD 客户端访问 IdM 服务时遇到问题,并且您的 AD 客户端属于 AD 林根的子域,您可以使用这些信息缩小故障排除工作并识别问题源。

diagram showing how an AD client in a chile domain communicates with multiple layers of AD Domain Controllers and an IdM server

  1. AD 客户端在其自己的域中联系 AD Kerberos Distribution Center(KDC),以执行 IdM 域中该服务的 TGS 请求。
  2. child.ad.example.com 中的 AD KDC(子域)可识别该服务所属的可信 IdM 域。
  3. 子域中的 AD KDC 向客户端发送 AD 林根域 ad.example.com 的推荐票据。
  4. AD 客户端与 IdM 域中服务的 AD 林根域中的 KDC 联系。
  5. 林根域中的 KDC 识别该服务属于可信 IdM 域。
  6. AD KDC 将客户端发送跨域票据(TGT),以及引用可信 IdM KDC。
  7. AD 客户端使用跨域 TGT 向 IdM KDC 请求 ticket。
  8. IdM KDC 验证通过跨域 TGT 传输的权限属性证书(MS-PAC)。
  9. IPA-KDB 插件可能会检查 LDAP 目录,以查看是否允许外部主体获取所请求服务的票据。
  10. IPA-KDB 插件对 MS-PAC、验证和过滤数据进行解码。它会在 LDAP 服务器中执行查找,以检查是否需要使用附加信息(如本地组)增加 MS-PAC。
  11. IPA-KDB 插件随后对 PAC 进行编码,为它签名,将其附加到服务票据,并将其发送到 AD 客户端。
  12. AD 客户端现在可以使用 IdM KDC 发布的服务票据联系 IdM 服务。