3.4. SSSD 的身份和验证供应商
您可以将 SSSD 客户端连接到外部身份和身份验证供应商,如 LDAP 目录、身份管理 (IdM)、Active Directory(AD)域或 Kerberos 域。然后,SSSD 客户端使用 SSSD 供应商访问身份和身份验证远程服务。您可以将 SSSD 配置为使用不同的身份和身份验证供应商或它们的组合。
身份识别和身份验证提供程序作为 SSSD 域
身份和身份验证提供程序在 SSSD 配置文件 /etc/sssd/sssd.conf
中配置为 domains(域)。提供程序在文件的 [domain/name of the domain]
或 [domain/default]
部分中列出。
可将单个域配置为以下供应商之一:
一个身份供应商,它提供用户信息,如 UID 和 GID。
-
使用
/etc/sssd/sssd.conf
文件的[domain/name of the domain]
部分中的id_provider
选项将域指定为 身份提供程序。
-
使用
一个身份验证供应商,用于处理身份验证请求。
-
使用
/etc/sssd/sssd.conf
的[domain/name of the domain]
部分中的auth_provider
选项将域指定为 身份验证提供程序。
-
使用
访问控制提供程序,负责处理授权请求。
-
使用
/etc/sssd/sssd.conf
的[domain/name of the domain ]
部分中的access_provider
选项将域指定为 访问控制提供程序。默认情况下,选项设置为permit
,这将始终允许所有访问。详情请查看 sssd.conf(5)man page。
-
使用
组合这些供应商,例如,所有对应的操作都是在单一服务器中执行的。
-
在本例中,
id_provider
、auth_provider
和access_provider
选项都列在/etc/sssd/sssd.conf
的相同的[domain/name of the domain]
或[domain/default]
部分。
-
在本例中,
您可以为 SSSD 配置多个域。您必须至少配置一个域,否则 SSSD 不会启动。
代理供应商
代理供应商充当 SSSD 和 SSSD 资源之间的中间中继。使用代理供应商时,SSSD 会连接到代理服务,代理会加载指定的库。
您可以将 SSSD 配置为使用代理提供商,以启用:
- 其他验证方法,如指纹扫描仪
- 传统系统,如 NIS
-
在
/etc/passwd
文件中定义的本地系统帐户作为身份提供程序和远程身份验证提供程序,如 Kerberos - 使用智能卡验证本地用户
身份供应商可以和认证服务商组合使用
您可以将 SSSD 配置为使用以下身份和验证供应商的组合。
身份供应商 | 验证供应商 |
---|---|
身份管理 [a] | 身份管理 |
Active Directory | Active Directory |
LDAP | LDAP |
LDAP | Kerberos |
Proxy | Proxy |
Proxy | LDAP |
Proxy | Kerberos |
[a]
LDAP 供应商类型的扩展。
|