PAM gegen LDAP gegen SSSD gegen Kerberos

10

Grundsätzlich ist mir bewusst, was diese Dienste voneinander trennen. Was ich wissen möchte: Was genau passiert bei einer erfolgreichen Anmeldung in einem Linux-basierten Netzwerk, das alle diese Dienste nutzt? In welcher Reihenfolge werden diese Dienste konsultiert? Welcher Dienst spricht mit welchem ​​Dienst?

tfh
quelle

Antworten:

19

Der sssdDämon fungiert als Spinne im Web und steuert den Anmeldevorgang und vieles mehr. Das Anmeldeprogramm kommuniziert mit den Konfigurierten pamund nssModulen, die in diesem Fall vom SSSD-Paket bereitgestellt werden. Diese Module kommunizieren mit den entsprechenden SSSD-Respondern, die wiederum mit dem SSSD-Monitor kommunizieren. SSSD sucht den Benutzer im LDAP-Verzeichnis und kontaktiert dann das Kerberos KDC zur Authentifizierung und zum Erwerb von Tickets.

(PAM und NSS können auch direkt über pam_ldap bzw. nss_ldap mit LDAP kommunizieren. SSSD bietet jedoch zusätzliche Funktionen.)

Vieles davon hängt natürlich davon ab, wie SSSD konfiguriert wurde. Es gibt viele verschiedene Szenarien. Beispielsweise können Sie SSSD so konfigurieren, dass die Authentifizierung direkt mit LDAP oder über Kerberos erfolgt.

Der sssdDaemon macht eigentlich nicht viel, was mit einem System, das "von Hand zusammengebaut" wurde, nicht möglich ist, hat aber den Vorteil, dass er alles an einem zentralen Ort erledigt. Ein weiterer wichtiger Vorteil von SSSD besteht darin, dass die Anmeldeinformationen zwischengespeichert werden, wodurch die Server entlastet werden und es möglich wird, offline zu gehen und sich weiterhin anzumelden. Auf diese Weise benötigen Sie kein lokales Konto auf dem Computer für die Offline-Authentifizierung.

Johan Myréen
quelle
2
Sehr überraschend zu sehen, dass sssd der Koordinator des Prozesses zu sein scheint. Ich dachte, das wäre die Aufgabe von PAM, da es über Implementierungsdetails abstrahiert.
tfh
1
Ja, aber die Entwickler von SSSD haben beschlossen, die 'Koordination' neu zu erfinden ... meistens. Es folgt dem alten Unix-Sprichwort "Mach alles, meistens in Ordnung".
user2066657