linux的sssd服务,系统安全服务后台程序 (SSSD)

SSSD是自红帽企业版Linux6起新加入的一个守护进程,该进程可以用来访问多种验证服务器,如LDAP,Kerberos等,并提供授权。

介于本地用户和数据存储之间的进程,本地客户端首先连接SSSD,再由SSSD联系外部资源提供者(一台远程服务器)。

这样做有一些几点优势:

1.避免了本地每个客户端程序对认证服务器大量连接,所有本地程序仅联系SSSD,由SSSD连接认证服务器或SSSD缓存,有效的降低了负载。

2.允许离线授权。SSSD可以缓存远程服务器的用户认证身份,这允许在远程认证服务器宕机是,继续成功授权用户访问必要的资源。

SSSD无需特殊设置即可运行,当你配置完system-configure-authentication后该服务会自己运行。

 

系统安全服务后台程序 (SSSD) 是一种系统服务,可让您访问远程目录和身份验证机制。您可以把一个本地系统(一个 SSSD 客户端 )连接到外部后端系统(一个 provider)。

例如:

  • 一个 LDAP 目录
  • 一个 Identity Management(IdM)域
  • 一个 Active Directory(AD)域
  • 一个 Kerberos realm

SSSD 分为两个阶段:

  1. 它将客户端连接到远程供应商以检索身份和验证信息。
  2. 它使用获得的验证信息来创建客户端用户和凭证的本地缓存。

然后,本地系统中的用户可以使用保存在远程供应商的用户帐户进行身份验证。

SSSD 不会在本地系统上创建用户帐户。但是,可将 SSSD 配置为为 IdM 用户创建主目录。创建后,当用户注销时,IdM 用户主目录及其在客户端中的内容不会被删除。

图 2.1. SSSD 如何工作

在左侧显示带有"SSSD 缓存"的本地系统(SSSD 缓存)和右侧的远程系统 (provider) 的流图。来自远程系统并指向本地系统的 SSSD 缓存中的箭头被标记来解释 SSSD 从远程系统检索并存储用户信息。

SSSD 还可以为多个系统服务提供缓存,如名称服务交换机 (NSS) 或可插拔验证模块 (PAM)。

 

参考:https://blog.csdn.net/weixin_39851279/article/details/116786724

https://blog.csdn.net/weixin_39851279/article/details/116786724

posted @ 2023-03-28 23:24  FrantiChow  阅读(856)  评论(0编辑  收藏  举报