我们有 50 台 RH-5 机器和 70 台 RH-6 机器。我正在考虑应该使用什么来安装 LDAP:
- nscd/nslcd 适用于所有 RH-5/RH-6 服务器
- nscd/nslcd 用于 RH-5 服务器,sssd 用于 RH-6 服务器
- 适用于所有 RH-5/RH-6 服务器的 sssd
SSSD 适用于两个版本 (RHEL5 - sssd 1.5 和 RHEL6 - sssd 1.9+)
最后一个选项意味着 RHEL5 机器将运行 sssd 1.5。
我尽可能喜欢具有相同软件和配置的环境,除非有人说 sssd 真的更适合 RH-6,而 nscd/nslcd 真的更适合 RH-5。
最好的选择是什么?
答案1
sssd 可能是更“有远见”的选择。从这个意义上讲,其他答案是正确的。话虽如此,与普遍的看法相反,sssd 并没有完全取代 nslcd 的功能。
nslcd 相对于 sssd 的主要(情境)优势在于您可以使用参数替换编写自定义 authz 查询:
pam_authz_search FILTER
This option allows flexible fine tuning of the authorisation check that should be performed. The search filter specified is executed and if any entries
match, access is granted, otherwise access is denied.
The search filter can contain the following variable references: $username, $service, $ruser, $rhost, $tty, $hostname, $dn, and $uid. These references
are substituted in the search filter using the same syntax as described in the section on attribute mapping expressions below.
For example, to check that the user has a proper authorizedService value if the attribute is present: (&(objectClass=posixAccount)(uid=$username)
(|(authorizedService=$service)(!(authorizedService=*))))
The default behaviour is not to do this extra search and always grant access.
上次我查看 sssd 文档时(过去六个月内),仍然没有替代此功能的产品。因此,这实际上取决于此功能是否重要到足以让 sssd 整合解决方案的优势置之不理。
答案2
我尽可能喜欢具有相同软件和配置的环境,除非有人说 sssd 真的更适合 RH-6,而 nscd/nslcd 真的更适合 RH-5。
SSSD 是未来,如果您的 LDAP 服务器是这样的,那么您将获得 Kerberos 身份验证并且与 AD 有更好的兼容性。
否则我看不出有任何理由不使用 nslcd,它在我的环境中运行良好,假设您使用的版本足够新,它支持嵌套组 - 请参阅“nss_nested_groups”选项(假设您使用它们,否则你应该没问题)。
答案3
SSSD 代表着未来,并且比 nslcd 强大得多。
SSSD 可以在离线机器中提供 SSO 等附加功能,因此您可以在笔记本电脑工作站中使用 SSSD,即使没有连接到身份验证服务器,用户也将能够通过单一 Sigo-On 守护程序登录。
没有理由在游戏中使用 sssd 实现 nslcd 以及 nslcd 所需的所有依赖项。
最后,SSSD 是一个 Fedora 托管项目。因此它应该可以与 RHEL 很好地配合使用。
更多信息请访问以下网站:http://fedoraproject.org/wiki/Features/SSSD
网络上有大量的 AD、LDAP 和多种身份验证后端的操作方法。