PAM、LDAP、SSSD、Kerberos

Question

守护sssd进程充当网络中的蜘蛛，控制登录过程等。登录程序与配置的模块进行通信pam，nss在本例中这些模块由 SSSD 包提供。这些模块与相应的 SSSD 响应器通信，而响应器又与 SSSD 监视器通信。 SSSD 在 LDAP 目录中查找用户，然后联系 Kerberos KDC 进行身份验证并获取票证。

（PAM 和 NSS 还可以分别使用 pam_ldap 和 nss_ldap 直接与 LDAP 通信。但是 SSSD 提供了附加功能。）

当然，这很大程度上取决于 SSSD 的配置方式；有很多不同的场景。例如，您可以将 SSSD 配置为直接使用 LDAP 进行身份验证，或通过 Kerberos 进行身份验证。

该sssd守护进程实际上并没有做太多“手工组装”的系统无法完成的事情，但它的优点是它可以在集中的地方处理所有事情。 SSSD 的另一个重要好处是它可以缓存凭据，从而减轻服务器的负载，并使脱机后仍然可以登录。这样您就不需要机器上的本地帐户来进行离线身份验证。

Answer 1

守护sssd进程充当网络中的蜘蛛，控制登录过程等。登录程序与配置的模块进行通信pam，nss在本例中这些模块由 SSSD 包提供。这些模块与相应的 SSSD 响应器通信，而响应器又与 SSSD 监视器通信。 SSSD 在 LDAP 目录中查找用户，然后联系 Kerberos KDC 进行身份验证并获取票证。

（PAM 和 NSS 还可以分别使用 pam_ldap 和 nss_ldap 直接与 LDAP 通信。但是 SSSD 提供了附加功能。）

当然，这很大程度上取决于 SSSD 的配置方式；有很多不同的场景。例如，您可以将 SSSD 配置为直接使用 LDAP 进行身份验证，或通过 Kerberos 进行身份验证。

该sssd守护进程实际上并没有做太多“手工组装”的系统无法完成的事情，但它的优点是它可以在集中的地方处理所有事情。 SSSD 的另一个重要好处是它可以缓存凭据，从而减轻服务器的负载，并使脱机后仍然可以登录。这样您就不需要机器上的本地帐户来进行离线身份验证。

PAM、LDAP、SSSD、Kerberos

答案1

相关内容