it-swarm-ja.com

PAM vs LDAP vs SSSD vs Kerberos

これらのサービスが互いに分離していることを基本的に認識しています。私が知りたいこと:これらのサービスをすべて使用するLinuxベースのネットワークでログインが成功した場合、正確にはどうなりますか?これらのサービスはどの順序で参照されますか?どのサービスがどのサービスと通信しますか?

10
tfh

sssdデーモンはWebのスパイダーとして機能し、ログインプロセスなどを制御します。ログインプログラムは、設定されたpamおよびnssモジュールと通信します。この場合、SSSDパッケージによって提供されます。これらのモジュールは、対応するSSSDレスポンダーと通信し、SSSDモニターと通信します。 SSSDはLDAPディレクトリーでユーザーを検索し、認証およびチケットの取得のためにKerberos KDCにアクセスします。

(PAMおよびNSSは、それぞれpam_ldapおよびnss_ldapを使用してLDAPと直接通信することもできます。ただし、SSSDは追加の機能を提供します。)

もちろん、これの多くはSSSDの設定方法に依存します。さまざまなシナリオがたくさんあります。たとえば、LDAPで直接認証を行うように、またはKerberosを介して認証するようにSSSDを設定できます。

sssdデーモンは、「手動で組み立てられた」システムでは実行できないことを実際には実行しませんが、一元化された場所ですべてを処理できるという利点があります。 SSSDのもう1つの重要な利点は、資格情報をキャッシュすることです。これにより、サーバーの負荷が軽減され、オフラインにしてログインすることが可能になります。この方法では、オフライン認証のためにマシンにローカルアカウントは必要ありません。

19
Johan Myréen