PAM 및 LDAP 및 SSSD 및 Kerberos


10

나는 기본적으로이 서비스들이 서로 분리 된 것을 알고 있습니다. 내가 알고 싶은 것 :이 모든 서비스를 사용하는 리눅스 기반 네트워크에서 성공적으로 로그인하면 어떻게됩니까? 이 서비스들은 어떤 순서로 상담됩니까? 어떤 서비스가 어떤 서비스와 대화합니까?

답변:


19

sssd데몬은 로그인 프로세스를 제어하고 더, 웹에서 거미의 역할을합니다. 로그인 프로그램은 구성된 pamnss모듈 과 통신 하며이 경우 SSSD 패키지에서 제공됩니다. 이 모듈은 해당 SSSD 응답기와 통신하여 SSSD 모니터와 통신합니다. SSSD는 LDAP 디렉토리에서 사용자를 찾은 다음 Kerberos KDC에 연결하여 인증 및 티켓을 얻습니다.

(PAM 및 NSS는 각각 pam_ldap 및 nss_ldap을 사용하여 LDAP와 직접 통신 할 수도 있지만 SSSD는 추가 기능을 제공합니다.)

물론 이것은 SSSD가 어떻게 구성되었는지에 달려 있습니다. 다양한 시나리오가 있습니다. 예를 들어 LDAP를 통해 직접 인증하거나 Kerberos를 통해 인증하도록 SSSD를 구성 할 수 있습니다.

sssd실제로 그렇게 많이하지 않습니다 데몬은 "손으로 조립"된 시스템으로 수행하지만 중앙 장소에서 모든 것을 처리하는 장점이 될 수 없다. SSSD의 또 다른 중요한 이점은 자격 증명을 캐시하여 서버에 대한 부하를 줄이고 오프라인으로 로그인하여 로그인 할 수 있다는 것입니다. 이 방법으로 오프라인 인증을 위해 컴퓨터에 로컬 계정이 필요하지 않습니다.


2
sssd가 프로세스의 조정자 인 것 같습니다. 구현 세부 사항을 추상화하는 PAM의 임무라고 생각했습니다.
tfh

1
그러나 SSSD 개발자들은 '조정'을 재창조하기로 결정했습니다 ... 주로. 그것은 "대부분은 괜찮아요"라는 오래된 유닉스 격언을 따릅니다.
user2066657
당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.