7장. SSSD 구성
7.1. SSSD 소개
7.1.1. SSSD 작동 방식
SSSD(시스템 보안 서비스 데몬)는 원격 디렉터리 및 인증 메커니즘에 액세스하기 위한 시스템 서비스입니다. 로컬 시스템(SSSD 클라이언트)을 외부 백엔드 시스템( 프로바이더)에 연결합니다. 이렇게 하면 SSSD 클라이언트가 SSSD 공급자를 사용하여 ID 및 인증 원격 서비스에 액세스할 수 있습니다. 예를 들어, 이러한 원격 서비스에는 LDAP 디렉터리, IdM(Identity Management) 또는 AD(Active Directory) 도메인 또는 Kerberos 영역이 포함됩니다.
이 목적을 위해 SSSD:
- 클라이언트를 ID 저장소에 연결하여 인증 정보를 검색합니다.
- 가져온 인증 정보를 사용하여 클라이언트에서 사용자 및 자격 증명의 로컬 캐시를 생성합니다.
그런 다음 로컬 시스템의 사용자는 외부 백엔드 시스템에 저장된 사용자 계정을 사용하여 인증할 수 있습니다.
SSSD는 로컬 시스템에서 사용자 계정을 생성하지 않습니다. 대신 외부 데이터 저장소의 ID를 사용하고 사용자가 로컬 시스템에 액세스할 수 있도록 합니다.
그림 7.1. SSSD 작동 방식
SSSD는 NSS(Name Service Switch) 또는 PAM(Pluggable Authentication Modules)과 같은 여러 시스템 서비스에 대한 캐시를 제공할 수도 있습니다.
7.1.2. SSSD 사용의 이점
- ID 및 인증 서버에 대한 로드 감소
- 정보를 요청할 때 SSSD 클라이언트는 캐시를 확인하는 SSSD에 문의합니다. SSSD는 캐시에서 정보를 사용할 수 없는 경우에만 서버에 연결합니다.
- 오프라인 인증
- SSSD는 선택적으로 원격 서비스에서 검색된 사용자 ID 및 자격 증명의 캐시를 유지합니다. 이 설정에서는 원격 서버 또는 SSSD 클라이언트가 오프라인 상태인 경우에도 사용자가 리소스에 성공적으로 인증할 수 있습니다.
- 단일 사용자 계정: 인증 프로세스의 일관성 향상
- SSSD에서는 오프라인 인증을 위해 중앙 계정과 로컬 사용자 계정을 모두 유지 관리할 필요가 없습니다.원격 사용자에게는 종종 여러 사용자 계정이 있습니다. 예를 들어 VPN(가상 사설 네트워크)에 연결하려면 원격 사용자는 로컬 시스템을 위한 하나의 계정과 VPN 시스템의 다른 계정을 보유합니다.원격 사용자는 캐싱 및 오프라인 인증으로 간단하게 로컬 시스템에 인증하여 네트워크 리소스에 연결할 수 있습니다. 그런 다음 SSSD에서 네트워크 자격 증명을 유지합니다.
