Red Hat Summit 红帽全球峰会支持控制台(Console)开发人员开始试用联系人

第 2 章 使用 authselect 配置用户身份验证

您可以使用 authselect 工具配置系统身份和身份验证源。

2.1. authselect 的作用
复制链接

authselect 提供了现成的配置文件,其为可插拔验证模块(PAM)和名称服务交换(NSS)定义了配置。当您选择一个配置文件时,authselect 会生成合适的 nsswitch.confPAM 堆栈,以使用该配置文件指定的身份和验证源。

您可以使用默认的配置文件集或创建一个自定义配置文件。请注意,您必须手动更新自定义配置文件,以使它们与您的系统保持同步。

authselect 配置文件

local
使用传统系统文件(如 /etc/passwd/etc/shadow )配置身份验证,来在不使用 SSSD 的情况下处理本地用户。这是默认配置文件。
sssd
为使用 LDAP 身份验证的系统启用 SSSD。使用此配置文件集成远程身份提供者和智能卡、GSSAPI 和会话记录等支持功能。
winbind
为直接与 Microsoft Active Directory 集成的系统启用 Winbind 工具。

为给定主机选择 authselect 配置文件后,配置文件适用于登录到主机的所有用户。

红帽建议使用 authselect 在半集中式身份管理环境中管理身份验证设置,例如,如果您的机构使用 LDAP 或 Winbind 数据库来验证用户,以便在您的域中使用服务。

如果提供的配置文件集不足,您可以创建一个自定义配置文件。

警告

如果出现以下情况,您不需要使用 authselect

  • 您的主机是 Red Hat Enterprise Linux 身份管理(IdM)的一部分。使用 ipa-client-install 命令将您的主机加入 IdM 域会自动在主机上配置 SSSD 身份验证。
  • 您的主机通过 SSSD 成为活动目录的一部分。调用 realm join 命令将您的主机加入 Active Directory 域会自动在您的主机上配置 SSSD 身份验证。

红帽建议不要更改 ipa-client-installrealm join 配置的 authselect 配置文件。如果您需要修改它们,请在进行任何修改之前显示当前的设置,以便在需要时将它们恢复回来: 

$ authselect current
Profile ID: sssd
Enabled features:
- with-sudo
- with-mkhomedir
- with-smartcard
Copy to Clipboard Toggle word wrap

2.1.1. authselect 修改的文件和目录
复制链接

authselect 只修改一组有限的配置文件,以便更轻松地管理身份验证设置并进行故障排除。

Expand

/etc/nsswitch.conf

GNU C 库和其他应用使用此名称服务交换机 (NSS) 配置文件来确定从中获取一系列类别中的名称服务信息的来源,以及顺序。每个类别的信息都由一个数据库名来标识。

/etc/pam.d/* 文件

Linux-PAM(可插拔验证模块)是处理系统中应用程序(服务)验证任务的模块系统。验证的特性是动态可配置的:系统管理员可以选择如何单独提供服务提供应用程序验证用户。

/etc/pam.d/ 目录中的配置文件列出了将执行服务所需身份验证任务的 PAM,以及在单个 PAM 失败时 PAM-API 相应行为。

这些文件还包含以下信息:

  • 用户密码锁定规则
  • 使用智能卡进行身份验证的能力
  • 使用指纹读取器进行身份验证的能力

/etc/dconf/db/distro.d/* 文件

此目录包含 dconf 实用程序的配置集,可用于管理 GNOME 桌面图形用户界面 (GUI) 的设置。

返回顶部
Red Hat logoGithubredditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。 了解我们当前的更新.

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

Theme

© 2025 Red Hat