E.2 Fonctionnement de GSSAPI avec eDirectory

Le schéma ci-dessous illustre le fonctionnement de GSSAPI avec un serveur LDAP.

Figure E-1 Fonctionnement de GSSAPI

Sur la figure ci-dessus, les numéros correspondent aux éléments suivants :

  1. Un utilisateur eDirectory envoie une requête via un client LDAP au serveur KDC (Key Distribution Center) Kerberos concernant un ticket initial appelé TGT (Ticket Granting Ticket).

    Un KDC Kerberos peut être de type MIT ou Microsoft*.

  2. En réponse, le KDC envoie un TGT au client LDAP.

  3. Le client LDAP renvoie le TGT au KDC et demande un ticket de service LDAP.

  4. En réponse, le KDC envoie le ticket de service LDAP au client LDAP.

  5. Le client LDAP établit une liaison ldap_sasl_bind avec le serveur LDAP et envoie le ticket de service LDAP.

  6. Le serveur LDAP valide le ticket de service LDAP à l'aide du mécanisme GSSAPI et, en fonction du résultat, renvoie la liaison ldap_sasl_bind réussie ou échouée au client LDAP.