3.4. SSSD 的身份和验证供应商

您可以将 SSSD 客户端连接到外部身份和身份验证供应商，如 LDAP 目录、身份管理 (IdM)、Active Directory(AD)域或 Kerberos 域。然后，SSSD 客户端使用 SSSD 供应商访问身份和身份验证远程服务。您可以将 SSSD 配置为使用不同的身份和身份验证供应商或它们的组合。

身份识别和验证供应商作为 SSSD 域

身份和身份验证提供程序在 SSSD 配置文件 /etc/sssd/sssd.conf 中配置为 domains（域）。供应商在文件的 [domain/ <domain_name> ] 或 [domain/default] 部分中列出。

您可以将单个域配置为以下供应商之一：

一个身份供应商，它提供用户信息，如 UID 和 GID。
- 使用 /etc/sssd/sssd.conf 文件的 [domain/ <domain_name> ] 部分中的 id_provider 选项将域指定为 身份提供程序。
一个身份验证供应商，用于处理身份验证请求。
- 使用 /etc/sssd/sssd.conf 的 [domain/ <domain_name> ] 部分中的 auth_provider 选项将域指定为身份验证提供程序。
访问控制提供程序，负责处理授权请求。
- 使用 /etc/sssd/sssd.conf 的 [domain/ <domain_name> ] 部分中的 access_provider 选项将域指定为 访问控制 提供程序。默认情况下，选项设置为 permit，这将始终允许所有访问。详情请查看 sssd.conf(5)man page。
组合这些供应商，例如，所有对应的操作都是在单一服务器中执行的。
- 在这种情况下，id_provider、auth_provider 和 access_provider 选项都列在 /etc/sssd/sssd.conf 的同一 [domain/ <domain_name > ] 部分或 [domain/default] 部分。

注意

您可以为 SSSD 配置多个域。您必须至少配置一个域，否则 SSSD 不会启动。

代理供应商

代理供应商充当 SSSD 和 SSSD 无法直接访问的资源之间的中介中继。使用代理供应商时，SSSD 会连接到代理服务，代理会加载指定的库。

您可以将 SSSD 配置为使用代理提供商来启用：

其他验证方法，如指纹扫描仪
传统系统，如 NIS
在 /etc/passwd 文件中定义的本地系统帐户作为身份提供程序和远程身份验证提供程序，如 Kerberos
使用智能卡验证本地用户

身份供应商可用组合使用

您可以将 SSSD 配置为使用以下身份和验证供应商的组合。

表 3.1. 身份供应商可用组合使用
身份供应商	验证供应商
身份管理 ^[a]	身份管理
Active Directory	Active Directory
LDAP	LDAP
LDAP	Kerberos
Proxy	Proxy
Proxy	LDAP
Proxy	Kerberos
^[a] LDAP 供应商类型的扩展。

^[1] 要使用 sssctl 实用程序列出并验证域的状态，您的主机应注册为与 Active Directory (AD) 林信任协议中的身份管理 (IdM)。

返回顶部

3.4. SSSD 的身份和验证供应商

身份识别和验证供应商作为 SSSD 域

代理供应商

身份供应商可用组合使用

学习

尝试、购买和销售

社区

关于红帽文档

让开源更具包容性

關於紅帽

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links