第 7 章 配置 SSSD
7.1. SSSD 简介
7.1.1. SSSD 如何工作
系统安全服务守护程序(SSSD)是一种用于访问远程目录和身份验证机制的系统服务。它将本地系统(SSSD 客户端)连接到外部后端系统( 供应商)。这为 SSSD 客户端提供了使用 SSSD 供应商访问身份和身份验证远程服务的权限。例如,这些远程服务包括:LDAP 目录、身份管理(IdM)或 Active Directory(AD)域,或者 Kerberos 域。
为此,SSSD:
- 将客户端连接到身份存储以检索身份验证信息.
- 使用获取的身份验证信息在客户端上创建用户和凭据的本地缓存。
然后,本地系统上的用户可以使用存储在外部后端系统中的用户帐户进行身份验证。
SSSD 不会在本地系统上创建用户帐户。相反,它使用外部数据存储中的身份,并允许用户访问本地系统。
图 7.1. SSSD 如何工作
SSSD 还可以为多个系统服务提供缓存,如名称服务交换机 (NSS) 或可插拔验证模块 (PAM)。
7.1.2. 使用 SSSD 的好处
- 减少身份和身份验证服务器上的负载
- 在请求信息时,SSSD 客户端会联系 SSSD,后者检查其缓存。只有在缓存中没有这些信息时,SSSD 才会联系服务器。
- 离线验证
- SSSD 可选择性地保留从远程服务检索的用户身份和凭证缓存。在这个设置中,即使远程服务器或 SSSD 客户端离线,用户也可以成功对资源进行身份验证。
- 单一用户帐户:提高身份验证过程的一致性
- 使用 SSSD 时,不需要同时维护中央帐户和本地用户帐户进行离线身份验证。远程用户通常具有多个用户帐户。例如,要连接到虚拟专用网络(VPN),远程用户需要有一个本地系统帐户,以及另外一个 VPN 帐户。由于缓存和离线身份验证,远程用户只需通过向本地计算机进行身份验证即可连接到网络资源。然后,SSSD 维护其网络凭证。