PAM против LDAP против SSSD против Kerberos

10

Я в основном знаю, что эти службы делают отдельно друг от друга. Что я хочу знать: что именно происходит при успешном входе в сеть на основе Linux, которая использует все эти сервисы? В каком порядке предоставляются эти услуги? Какой сервис говорит с каким сервисом?

TFH
источник

Ответы:

19

sssdДемон действует как паук в паутине, контролируя процесс входа в систему и многое другое. Программа входа в систему связывается с настроенными модулями pamи nssмодулями, которые в этом случае предоставляются пакетом SSSD. Эти модули связываются с соответствующими респондентами SSSD, которые, в свою очередь, общаются с монитором SSSD. SSSD ищет пользователя в каталоге LDAP, затем связывается с Kerberos KDC для аутентификации и получения билетов.

(PAM и NSS также могут напрямую взаимодействовать с LDAP, используя pam_ldap и nss_ldap соответственно. Однако SSSD обеспечивает дополнительную функциональность.)

Конечно, многое зависит от того, как был настроен SSSD; там много разных сценариев. Например, вы можете настроить SSSD для выполнения аутентификации непосредственно с LDAP или аутентификации через Kerberos.

sssdДемон фактически не делать , что не может быть сделано с помощью системы , которая была «собран вручную», но имеет то преимущество , что он обрабатывает все в централизованном месте. Еще одним важным преимуществом SSSD является то, что он кэширует учетные данные, что облегчает нагрузку на серверы и дает возможность перейти в автономный режим и при этом войти в систему. Таким образом, вам не нужна локальная учетная запись на компьютере для автономной аутентификации.

Йохан Мирен
источник
2
Довольно удивительно видеть, что sssd, кажется, является координатором процесса. Я думал, что это будет задачей PAM, поскольку она абстрагируется от деталей реализации.
TFH
1
Да, но разработчики SSSD решили заново изобрести «координацию» ... в основном. Это следует из старой пословицы Unix «делай все, в основном все в порядке».
user2066657