PAM vs LDAP vs SSSD vs Kerberos


10

Zasadniczo jestem świadomy tego, co te usługi oddzielają od siebie. Co chcę wiedzieć: co dokładnie dzieje się po udanym logowaniu w sieci opartej na systemie Linux, która korzysta ze wszystkich tych usług? W jakiej kolejności konsultowane są te usługi? Jaka usługa mówi do jakiej usługi?

Odpowiedzi:


19

sssdDemon działa jak pająk w sieci, kontrolowanie procesu logowania i więcej. Program logowania komunikuje się ze skonfigurowanymi pami nssmodułami, które w tym przypadku są dostarczane przez pakiet SSSD. Moduły te komunikują się z odpowiednimi obiektami odpowiadającymi SSSD, które z kolei komunikują się z monitorem SSSD. SSSD wyszukuje użytkownika w katalogu LDAP, a następnie kontaktuje się z KDC Kerberos w celu uwierzytelnienia i uzyskania biletów.

(PAM i NSS mogą również komunikować się bezpośrednio z LDAP przy użyciu odpowiednio pam_ldap i nss_ldap. Jednak SSSD zapewnia dodatkową funkcjonalność).

Oczywiście wiele z tego zależy od konfiguracji SSSD; istnieje wiele różnych scenariuszy. Na przykład można skonfigurować dysk SSSD, aby przeprowadzał uwierzytelnianie bezpośrednio przy użyciu protokołu LDAP lub uwierzytelniał się za pośrednictwem protokołu Kerberos.

sssdDemon nie faktycznie dużo, że nie można zrobić z systemem, który został „montowane ręcznie”, ale ma tę zaletę, że obsługuje wszystko w scentralizowanym miejscu. Inną ważną zaletą SSSD jest to, że buforuje dane uwierzytelniające, co zmniejsza obciążenie serwerów i umożliwia przejście do trybu offline i nadal logowanie. W ten sposób nie potrzebujesz lokalnego konta na komputerze do uwierzytelnienia offline.


2
Zaskakujące jest to, że sssd wydaje się być koordynatorem tego procesu. Pomyślałem, że będzie to zadanie PAM, ponieważ streszcza szczegóły implementacji.
2017

1
Tak, ale twórcy SSSD postanowili na nowo wymyślić „koordynację” ... głównie. Wynika to ze starego, uniksowego powiedzenia „rób wszystko, głównie dobrze”.
user2066657,
Korzystając z naszej strony potwierdzasz, że przeczytałeś(-aś) i rozumiesz nasze zasady używania plików cookie i zasady ochrony prywatności.
Licensed under cc by-sa 3.0 with attribution required.