Login
PAM、LDAP、SSSD、Kerberos
我基本上知道這些服務彼此分開做什麼。我想知道的是:在使用所有這些服務的基於 linux 的網路中成功登錄後究竟會發生什麼?諮詢這些服務的順序是什麼?什麼服務與什麼服務對話?
守護
sssd程序充當網路中的蜘蛛,控制登錄過程等等。登錄程序與配置的模組通信pam,nss在這種情況下,這些模組由 SSSD 包提供。這些模組與相應的 SSSD 響應器通信,後者又與 SSSD 監視器通信。SSSD 在 LDAP 目錄中查找使用者,然後聯繫 Kerberos KDC 進行身份驗證並獲取票證。(PAM 和 NSS 也可以分別使用 pam_ldap 和 nss_ldap 直接與 LDAP 對話。但是 SSSD 提供了額外的功能。)
當然,這在很大程度上取決於 SSSD 的配置方式。有很多不同的場景。例如,您可以將 SSSD 配置為直接使用 LDAP 進行身份驗證,或通過 Kerberos 進行身份驗證。
守護
sssd程序實際上並沒有做很多“手工組裝”的系統無法完成的事情,但它的優勢是它可以在一個集中的地方處理所有事情。SSSD 的另一個重要好處是它可以記憶體憑據,這可以減輕伺服器上的負載,並可以在離線時仍然登錄。這樣您就不需要機器上的本地帳戶來進行離線身份驗證。