PAM vs LDAP vs SSSD vs Kerberos


10

Sono sostanzialmente consapevole di ciò che questi servizi si separano l'uno dall'altro. Quello che voglio sapere: cosa succede esattamente con un login riuscito in una rete basata su Linux che utilizza tutti questi servizi? In quale ordine vengono consultati questi servizi? Quale servizio parla con quale servizio?

Risposte:


19

Il sssddemone funge da ragno nel web, controllando il processo di accesso e altro. Il programma di accesso comunica con i moduli configurati pame nss, che in questo caso sono forniti dal pacchetto SSSD. Questi moduli comunicano con i corrispondenti risponditori SSSD, che a loro volta parlano con il monitor SSSD. SSSD cerca l'utente nella directory LDAP, quindi contatta il KDC Kerberos per l'autenticazione e l'acquisizione dei ticket.

(PAM e NSS possono anche parlare direttamente con LDAP usando rispettivamente pam_ldap e nss_ldap. Tuttavia SSSD fornisce funzionalità aggiuntive.)

Naturalmente, molto di questo dipende da come è stato configurato SSSD; ci sono molti scenari diversi. Ad esempio, è possibile configurare SSSD per eseguire l'autenticazione direttamente con LDAP o eseguire l'autenticazione tramite Kerberos.

Il sssddemone in realtà non fa molto che non può essere fatto con un sistema che è stato "assemblato a mano", ma ha il vantaggio di gestire tutto in un luogo centralizzato. Un altro importante vantaggio di SSSD è la memorizzazione nella cache delle credenziali, che semplifica il carico sui server e rende possibile passare offline e continuare ad accedere. In questo modo non è necessario un account locale sulla macchina per l'autenticazione offline.


2
Piuttosto sorprendente vedere che sssd sembra essere il coordinatore del processo. Ho pensato che sarebbe stato il compito di PAM in quanto si astrasse sui dettagli di implementazione.
fino al

1
Sì, ma gli sviluppatori di SSSD hanno deciso di reinventare il "coordinamento" ... per lo più. Segue il vecchio adagio unix di "fai tutto, per lo più ok".
user2066657
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.