Red Hat Summit 红帽全球峰会支持控制台(Console)开发人员开始试用联系人

3.4. SSSD 的身份和验证供应商

您可以将 SSSD 客户端连接到外部身份和身份验证供应商,如 LDAP 目录、身份管理 (IdM)、Active Directory(AD)域或 Kerberos 域。然后,SSSD 客户端使用 SSSD 供应商访问身份和身份验证远程服务。您可以将 SSSD 配置为使用不同的身份和身份验证供应商或它们的组合。

3.4.1. 身份识别和验证提供者作为 SSSD 域
复制链接

身份和身份验证提供程序在 SSSD 配置文件 /etc/sssd/sssd.conf 中配置为 domains(域)。提供者在文件的 [domain/<domain_name>][domain/default] 部分中列出。

您可以将单个域配置为以下提供者之一:

  • identity provider,它提供用户信息,如 UID 和 GID。

    • 使用 /etc/sssd/sssd.conf 文件的 [domain/<domain_name>] 部分中的 id_provider 选项将一个域指定为 identity provider

  • authentication provider,其处理身份验证请求。

    • 使用 /etc/sssd/sssd.conf[domain/<domain_name>] 部分中的 auth_provider 选项将一个域指定为 authentication provider

  • access control provider,其处理授权请求。

    • 使用 /etc/sssd/sssd.conf[domain/<domain_name>] 部分中的 access_provider 选项将一个域指定为 access control provider。默认情况下,选项设置为 permit,这将始终允许所有访问。详情请查看 sssd.conf(5)man page。

  • 这些提供者的组合,例如,如果所有相应的操作都是在一个服务器中执行的。

    • 在这种情况下,id_providerauth_provideraccess_provider 选项都列在 /etc/sssd/sssd.conf 的同一 [domain/<domain_name>][domain/default] 部分中。
注意

您可以为 SSSD 配置多个域。您必须至少配置一个域,否则 SSSD 不会启动。

3.4.2. 代理提供者
复制链接

代理提供者充当 SSSD 和 SSSD 无法直接访问的资源之间的中介中继。使用代理供应商时,SSSD 会连接到代理服务,代理会加载指定的库。

您可以将 SSSD 配置为使用代理提供商来启用:

  • 其他验证方法,如指纹扫描仪
  • 传统系统,如 NIS
  • /etc/passwd 文件中定义的本地系统帐户作为身份提供程序和远程身份验证提供程序,如 Kerberos
  • 使用智能卡验证本地用户

3.4.3. 身份和身份验证提供者的可用组合
复制链接

您可以将 SSSD 配置为使用以下身份和验证供应商的组合。

Expand
表 3.1. 身份和身份验证提供者的可用组合
身份供应商验证供应商

身份管理 [a]

身份管理

Active Directory

Active Directory

LDAP

LDAP

LDAP

Kerberos

Proxy

Proxy

Proxy

LDAP

Proxy

Kerberos

[a] LDAP 供应商类型的扩展。

[1] 要使用 sssctl 实用程序列出并验证域的状态,您的主机应注册为与 Active Directory (AD) 林信任协议中的身份管理 (IdM)。
返回顶部
Red Hat logoGithubredditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。 了解我们当前的更新.

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

Theme

© 2025 Red Hat