第 7 章规划 IdM 和 AD 间的跨林信任

Active Directory (AD) 和身份管理 (IdM) 是管理各种核心服务（如 Kerberos、LDAP、DNS 和证书服务）的两个替代环境。跨林信任关系通过使所有核心服务无缝交互，以透明的方式集成这两种不同环境。以下小节提供了有关如何计划和设计跨林信任部署的建议。

7.1. IdM 和 AD 之间的跨林信任和外部信任

在纯 Active Directory (AD) 环境中，跨林信任连接两个单独的 AD 林根域。当您在 AD 和 IdM 间创建跨林信任时，IdM 域会作为一个单独的域单独进入 AD。然后在 AD 林根域和 IdM 域间建立了信任关系。因此，来自 AD 林的用户可以访问 IdM 域中的资源。

IdM 可以与一个 AD 林或多个不相关的论坛建立信任。

注意

可以在跨域信任中连接两个单独的 Kerberos 域。但是，Kerberos 域仅涉及身份验证，而不涉及身份和授权操作中涉及的其他服务和协议。因此，建立 Kerberos 跨域信任不足以让一个域的用户访问另一个域中的资源。

外部信任是指 IdM 和 Active Directory 域之间的信任关系。虽然地理信任始终需要在 IdM 和 Active Directory 林的根域之间建立一个信任,但外部信任可以从 IdM 到林内的任何域建立。