PAM vs LDAP vs SSSD vs Kerberos


10

Về cơ bản tôi nhận thức được những gì các dịch vụ này tách biệt với nhau. Những gì tôi muốn biết: chính xác những gì xảy ra khi đăng nhập thành công trong mạng dựa trên linux sử dụng tất cả các dịch vụ này? Theo thứ tự các dịch vụ này được tư vấn? Dịch vụ nào nói chuyện với dịch vụ gì?

Câu trả lời:


19

Trình sssdnền hoạt động như con nhện trong web, kiểm soát quá trình đăng nhập và hơn thế nữa. Chương trình đăng nhập giao tiếp với các cấu hình pamnssmô-đun, trong trường hợp này được cung cấp bởi gói SSSD. Các mô-đun này giao tiếp với người trả lời SSSD tương ứng, lần lượt nói chuyện với Màn hình SSSD. SSSD tra cứu người dùng trong thư mục LDAP, sau đó liên hệ với Kerberos KDC để xác thực và lấy vé.

(PAM và NSS cũng có thể nói chuyện trực tiếp với LDAP bằng pam_ldap và nss_ldap. Tuy nhiên SSSD cung cấp chức năng bổ sung.)

Tất nhiên, rất nhiều thứ này phụ thuộc vào cách SSSD đã được cấu hình; có rất nhiều kịch bản khác nhau. Ví dụ: bạn có thể định cấu hình SSSD để xác thực trực tiếp bằng LDAP hoặc xác thực qua Kerberos.

Trình sssdnền thực sự không làm được gì nhiều mà không thể thực hiện được với một hệ thống đã được "lắp ráp bằng tay", nhưng có lợi thế là nó xử lý mọi thứ ở một nơi tập trung. Một lợi ích quan trọng khác của SSSD là nó lưu trữ thông tin đăng nhập, giúp giảm tải cho các máy chủ và làm cho nó có thể ngoại tuyến và vẫn đăng nhập. Bằng cách này, bạn không cần một tài khoản cục bộ trên máy để xác thực ngoại tuyến.


2
Khá ngạc nhiên khi thấy rằng sssd dường như là người điều phối quá trình. Tôi nghĩ rằng đó sẽ là nhiệm vụ của PAM vì nó trừu tượng hóa các chi tiết thực hiện.
tfh

1
Vâng, nhưng các nhà phát triển của SSSD đã quyết định phát minh lại 'phối hợp' ... chủ yếu. Nó tuân theo câu ngạn ngữ cũ là "làm mọi thứ, chủ yếu là ổn".
dùng2066657
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.