第 2 章 使用 Active Directory 作为 SSSD 的身份提供程序
系统安全服务后台程序(SSSD)是一种用于访问远程目录和身份验证机制的系统服务。它将本地系统(SSSD 客户端 )连接到外部后端系统(域)。这为 SSSD 客户端提供了使用 SSSD 供应商访问身份和身份验证远程服务的权限。例如,这些远程服务包括:LDAP 目录、身份管理(IdM)或 Active Directory(AD)域,或者 Kerberos 域。
当用作 AD 集成的身份管理服务时,SSSD 是 NIS 或 Winbind 等服务的替代选择。本章论述了 SSSD 如何与 AD 配合工作。有关 SSSD 的详情,请查看 系统级身份验证指南。
2.1. AD 提供程序如何处理受信任的域
本节论述了当您在
/etc/sssd/sssd.conf
文件中设置 id_provider = ad 时,SSSD 如何处理可信域。
- SSSD 只支持单个 ActiveActive Directorynbsp 中的域,Directory 林。如果 SSSD 需要从多个地区访问多个域,请考虑使用带有信任(首选)的 IdM 或
winbindd
服务而不是 SSSD。 - 默认情况下,SSSD 会发现林中的所有域,如果可信域中的对象请求到达,SSSD 会尝试解析它。如果可信域无法访问或在地理位置上造成速度较慢,您可以在
/etc/sssd/sssd.conf
中设置ad_enabled_domains
参数来限制从哪些可信域 SSSD 解析对象。 - 默认情况下,您必须使用完全限定用户名从可信域解析用户。