PAM vs LDAP vs SSSD vs Kerberos


10

私は基本的にこれらのサービスが互いに分離していることを認識しています。私が知りたいこと:これらのサービスをすべて使用するLinuxベースのネットワークでログインが成功した場合、正確にはどうなりますか?これらのサービスはどの順序で相談されますか?どのサービスがどのサービスと通信しますか?

回答:


19

sssdデーモンは、ログインプロセスを制御し、より多くの、ウェブでのクモとして機能します。ログインプログラムは、設定済みのモジュールpamと通信しnssます。この場合、SSSDパッケージによって提供されます。これらのモジュールは、対応するSSSDレスポンダーと通信し、SSSDモニターと通信します。SSSDはLDAPディレクトリーでユーザーを検索し、Kerberos KDCにアクセスして認証を取得し、チケットを取得します。

(PAMとNSSは、それぞれpam_ldapとnss_ldapを使用して直接LDAPと通信することもできます。ただし、SSSDは追加機能を提供します。)

もちろん、これの多くはSSSDの設定方法に依存します。さまざまなシナリオがたくさんあります。たとえば、LDAPで直接認証を行うように、またはKerberosを介して認証するようにSSSDを設定できます。

sssd実際に多くのことをしないデーモンは「手で組み立て」されているシステムで行われ、それが中心的な場所ですべてを処理するという利点を有することはできません。SSSDのもう1つの重要な利点は、資格情報をキャッシュすることです。これにより、サーバーの負荷が軽減され、オフラインにしてもログインできるようになります。この方法では、オフライン認証のためにマシンにローカルアカウントは必要ありません。


2
sssdがプロセスのコーディネーターであるように見えることを見て、非常に驚​​くべきことです。それは実装の詳細を抽象化するPAMのタスクだと思いました。
tfh

1
ええ、でもSSSDの開発者たちは「調整」を再発明することを決めました...主に。これは、「すべてを行う、大部分は大丈夫」という古いUNIX格言に従っています。
user2066657
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.