我基本上知道这些服务彼此之间的区别。我想知道的是:在使用所有这些服务的基于 Linux 的网络中成功登录时到底会发生什么?以什么顺序咨询这些服务?什么服务与什么服务对话?
答案1
守护sssd
进程充当网络中的蜘蛛,控制登录过程等。登录程序与配置的模块进行通信pam
,nss
在本例中这些模块由 SSSD 包提供。这些模块与相应的 SSSD 响应器通信,而响应器又与 SSSD 监视器通信。 SSSD 在 LDAP 目录中查找用户,然后联系 Kerberos KDC 进行身份验证并获取票证。
(PAM 和 NSS 还可以分别使用 pam_ldap 和 nss_ldap 直接与 LDAP 通信。但是 SSSD 提供了附加功能。)
当然,这很大程度上取决于 SSSD 的配置方式;有很多不同的场景。例如,您可以将 SSSD 配置为直接使用 LDAP 进行身份验证,或通过 Kerberos 进行身份验证。
该sssd
守护进程实际上并没有做太多“手工组装”的系统无法完成的事情,但它的优点是它可以在集中的地方处理所有事情。 SSSD 的另一个重要好处是它可以缓存凭据,从而减轻服务器的负载,并使脱机后仍然可以登录。这样您就不需要机器上的本地帐户来进行离线身份验证。