11.3. IdM 客户端从 AD 服务器请求服务时的信息流

下图显示了当您在 IdM 和 AD 之间配置了双向信任时,Identity Management(IdM)客户端请求 Active Directory(AD)域中的服务时的信息流。

如果您从 IdM 客户端访问 AD 服务时遇到问题,您可以使用此信息缩小故障排除工作并识别问题源。

注意

默认情况下,IdM 为 AD 建立单向信任,这意味着无法为 AD 林中的资源发出跨 realm ticket-granting ticket(TGT)。为了能够向来自可信 AD 域的服务请求 ticket,请配置双向信任。

diagram showing how an IdM client communicates with an IdM server and an AD Domain Controller

  1. IdM 客户端从 IdM Kerberos 分发中心(KDC)请求一个 ticket-granting ticket(TGT)用于所需的 AD 服务。
  2. IdM KDC 识别该服务属于 AD 域,验证域是否已知并可信,以及客户端是否允许从该域请求服务。
  3. 使用 IdM Directory Server 关于用户主体的信息,IdM KDC 创建一个跨域 TGT,其中包含有关用户主体的 Privileged Attribute 证书(MS-PAC)记录。
  4. IdM KDC 向 IdM 客户端发送跨域 TGT。
  5. IdM 客户端联系 AD KDC 来请求 AD 服务的票据,显示包含 IdM KDC 提供的 MS-PAC 的跨域 TGT。
  6. AD 服务器验证和过滤 PAC,并返回 AD 服务的 ticket。
  7. IPA 客户端现在可以联系 AD 服务。

其他资源