2024年6月11日发(作者:)

AD域认证问题日常定位方法 内部公开

AD域认证问题日常定位方法

1 引子

目前TSM的AD域认证过程中经常出现问题,由于AD系统庞大而且终端代理使用第三

方库执行主要认证业务,所以AD域认证过程中的问题很难定位和解决。鉴于此,特将之前

用于定位AD域认证问题的一些经验总结一下,方便今后开发和测试的同事在现场定位问题。

2 AD域认证过程介绍

TSM系统的AD域认证过程主要涉及到三个角色,分别是:TSM服务器、AD域控、终端代理。

TSM和AD的联动认证是基于标准的Kerberos协议,标准的Kerberos认证流程如下:

TSM在此基础上做了一些调整,主要是第5步和第6步的交互,其交互信息是通过SSL来加密

的。具体交互流程图如下所示:

3/26/2013

华为机密,未经许可不得扩散 第1页, 共7页

AD域认证问题日常定位方法 内部公开

从上面的交互流程图可以看出来,整个交互过程分为3个阶段分别是:AS(Authentication

Service Exchange )、TGS(Ticket Granting Service Exchange )、AP(Client/Server Exchange )。

在AS阶段,主要验证的是当前用于进行AD域认证的用户是当前AD域控上的合法用户。所

以一般如果用户名或者密码错误时将会在这个阶段得到AD返回的错误信息。此外如果出现

TSM服务器和AD上的时间偏差较大的时候也会在这个阶段出错。

在TGS阶段,主要是终端代理获取其要请求的认证服务的票证的过程,如果这个时候请求的

认证服务不存在,则在第4步返回的错误信息中指示

KDC_ERR_S_PRINCIPAL_UNKNOWN,表明当前请求的服务不存在。之前在大足的AD域

联动测试中就出现了这个问题。

在AP阶段,服务器将会验证终端代理发送的TGS,来决定当前认证用户是否具有访问当前

请求的认证服务的权限。

3 基本问题定位方法

3.1 验证网络是否可达

在定位AD域认证相关的问题时,首先第一点是验证网络是否可达即,是否能够访问你当前

AD域控。

3/26/2013

华为机密,未经许可不得扩散 第2页, 共7页