13.9. Modèles de communication SSSD
Le System Security Services Daemon (SSSD) est un service système qui permet d'accéder aux répertoires distants et aux mécanismes d'authentification. S'il est configuré sur un client IdM de gestion d'identité, il se connecte au serveur IdM, qui fournit l'authentification, l'autorisation et d'autres informations relatives à l'identité et à la stratégie. Si le serveur IdM est en relation de confiance avec Active Directory (AD), SSSD se connecte également à AD pour effectuer l'authentification des utilisateurs AD à l'aide du protocole Kerberos. Par défaut, SSSD utilise Kerberos pour authentifier tout utilisateur non local. Dans des situations particulières, SSSD peut être configuré pour utiliser le protocole LDAP à la place.
Le SSSD peut être configuré pour communiquer avec plusieurs serveurs. Les tableaux ci-dessous présentent les schémas de communication courants pour le SSSD dans l'IdM.
| Fonctionnement | Protocole utilisé | Objectif |
|---|---|---|
| Résolution DNS par rapport aux résolveurs DNS configurés sur le système client | DNS | Pour découvrir les adresses IP des serveurs IdM |
| Requêtes vers les ports 88 (TCP/TCP6 et UDP/UDP6), 464 (TCP/TCP6 et UDP/UDP6) et 749 (TCP/TCP6) sur une réplique de gestion des identités et des contrôleurs de domaine Active Directory | Kerberos | Pour obtenir un ticket Kerberos ; pour modifier un mot de passe Kerberos |
| Requêtes via TCP/TCP6 vers les ports 389 des serveurs IdM, en utilisant l'authentification SASL GSSAPI, LDAP simple, ou les deux | LDAP | Pour obtenir des informations sur les utilisateurs et les hôtes IdM, télécharger les règles HBAC et sudo, les cartes automount, le contexte utilisateur SELinux, les clés SSH publiques et d'autres informations stockées dans le LDAP IdM |
| (facultativement) En cas d'authentification par carte à puce, les demandes adressées au serveur OCSP (Online Certificate Status Protocol), s'il est configuré. Cela se fait souvent via le port 80, mais cela dépend de la valeur réelle de l'URL du répondeur OCSP dans le certificat du client. | HTTP | Pour obtenir des informations sur l'état du certificat installé dans la carte à puce |
| Fonctionnement | Protocole utilisé | Objectif |
|---|---|---|
| Résolution DNS par rapport aux résolveurs DNS configurés sur le système client | DNS | Pour découvrir les adresses IP des serveurs IdM |
| Requêtes vers les ports 88 (TCP/TCP6 et UDP/UDP6), 464 (TCP/TCP6 et UDP/UDP6) et 749 (TCP/TCP6) sur une réplique de gestion des identités et des contrôleurs de domaine Active Directory | Kerberos | Obtenir un ticket Kerberos ; modifier un mot de passe Kerberos ; administrer Kerberos à distance |
| Requêtes vers les ports 389 (TCP/TCP6 et UDP/UDP6) et 3268 (TCP/TCP6) | LDAP | Pour interroger les informations sur les utilisateurs et les groupes d'Active Directory ; pour découvrir les contrôleurs de domaine d'Active Directory |
| (facultativement) En cas d'authentification par carte à puce, les demandes adressées au serveur OCSP (Online Certificate Status Protocol), s'il est configuré. Cela se fait souvent via le port 80, mais cela dépend de la valeur réelle de l'URL du répondeur OCSP dans le certificat du client. | HTTP | Pour obtenir des informations sur l'état du certificat installé dans la carte à puce |
Ressources supplémentaires
