3장. SSSD 및 이점 이해
SSSD(System Security Services Daemon)는 원격 디렉터리 및 인증 메커니즘에 액세스하는 시스템 서비스입니다. 다음 장에서는 SSSD의 작동 방식, 사용 시 얻을 수 있는 이점, 구성 파일의 처리 방법, 구성할 수 있는 ID 및 인증 프로바이더에 대해 간략하게 설명합니다.
3.1. SSSD 작동 방식
SSSD(시스템 보안 서비스 데몬)는 원격 디렉터리 및 인증 메커니즘에 액세스할 수 있는 시스템 서비스입니다. 로컬 시스템인 SSSD 클라이언트를 외부 백엔드 시스템인 프로바이더에 연결할 수 있습니다.
예를 들면 다음과 같습니다.
- LDAP 디렉토리
- IdM(Identity Management) 도메인
- AD(Active Directory) 도메인
- Kerberos 영역
SSSD는 두 단계로 작동합니다.
- 클라이언트를 원격 프로바이더에 연결하여 ID 및 인증 정보를 검색합니다.
- 가져온 인증 정보를 사용하여 클라이언트에서 사용자 및 자격 증명의 로컬 캐시를 생성합니다.
그런 다음 로컬 시스템의 사용자는 원격 프로바이더에 저장된 사용자 계정을 사용하여 인증할 수 있습니다.
SSSD는 로컬 시스템에서 사용자 계정을 생성하지 않습니다. 그러나 IdM 사용자의 홈 디렉토리를 생성하도록 SSSD를 구성할 수 있습니다. 생성되면 사용자가 로그아웃하면 IdM 사용자 홈 디렉터리와 클라이언트의 내용이 삭제되지 않습니다.
그림 3.1. SSSD 작동 방식
SSSD는 NSS(Name Service Switch) 또는 PAM(Pluggable Authentication Modules)과 같은 여러 시스템 서비스에 대한 캐시를 제공할 수도 있습니다.
사용자 정보를 캐싱하려면 SSSD 서비스만 사용합니다. 동일한 시스템에서 캐싱을 위해 NSS(Name Service Caching Daemon)와 SSSD를 모두 실행하면 성능 문제와 충돌이 발생할 수 있습니다.