eDirectoryにおけるGSSAPIの動作

次の図は、GSSAPIがLDAPサーバとともにどのように動作するかを示しています。

図 7
GSSAPIの動作

この図の数字は、それぞれ次のことを示しています。

1. eDirectoryユーザは、チケット認可チケット(TGT)と呼ばれる初期チケットの要求を、LDAPクライアントを通してKerberos KDC(Key Distribution Center)サーバに送信します。

   Kerberos KDCとしては、MIT、Microsoft*、またはHeimdalのいずれかのものを使用できます。

2. KDCは、TGTを送ってLDAPクライアントに応答します。

3. LDAPクライアントはTGTをKDCに返信し、LDAPサービスチケットを要求します。

4. KDCは、LDAPサービスチケットを送ってLDAPクライアントに応答します。

5. LDAPクライアントはLDAPサーバに対してldap_sasl_bindを実行し、LDAPサービスチケットを送信します。

6. LDAPサーバはGSSAPIメカニズムを利用してLDAPサービスチケットを確認し、その結果に基づいて、ldap_sasl_bindが成功したか失敗したかをLDAPクライアントに返信します。