Linux SSSD 身份验证、授权服务介绍

发布时间: 更新时间: 总字数:597 阅读时间:2m 作者: IP上海 分享 网址

SSSD(System Security Services Daemon) 是一个集中式身份管理解决方案的客户端组件,支持对接FreeIPA、Microsoft Active Directory、OpenLDAP、Kerberos等

介绍

  • SSSD 是一组守护进程,用于处理来自各种网络源的身份验证、授权以及用户和组信息
  • SSSD 是介于本地用户和数据存储之间的进程,实现本地缓存认证信息。本地客户端首先连接 SSSD,由 SSSD 链接外部认证提供者,为主机提供身份、验证和授权服务
    • 避免本地服务器对认证服务器大量连接,减少压力
    • 允许离线授权
    • 单一用户帐户:提高身份验证过程的一致性
  • SSSD 同时也为一些Linux系统服务提供认证缓存,比 Name Service Switch (NSS)PAM
logo

图片来自

安装

  • Ubuntu
apt install sssd sssd-tools -y

使用

  • 默认配置文件 /etc/sssd/sssd.conf,示例文件
[sssd]
domains=xiexianbin.cn
config_file_version=2
services=nss,pam

[nss]
filter_users=root,ldap

[pam]

[domain/xiexianbin.cn]
auth_provider=ldap
id_provider=ldap
chpass_provider=ldap
ldap_schema=rfc2307
ldap_uri=ldap://10.10.10.10:389  # LDAP 服务器地址

ldap_search_base=dc=cn,dc=xiexianbin
ldap_access_filter=(&(objectclass=dcObject)(objectclass=organization))
ldap_tls_reqcert=never
ldap_id_use_start_tls=False
ldap_tls_cacertdir=/etc/openldap/certs
cache_credentials=True
entry_cache_timeout=600
ldap_network_timeout=3
use_fully_qualified_names = False  # 不带域名用户被识别

# apt install sssd-ad sssd-tools realmd adcli
# [domain/ad.xiexianbin.cn]
# default_shell = /bin/bash
# krb5_store_password_if_offline = True
# cache_credentials = True
# krb5_realm = ad.xiexianbin.cn
# realmd_tags = manages-system joined-with-adcli
# id_provider = ad
# fallback_homedir = /home/%u@%d
# ad_domain = ad.xiexianbin.cn
# use_fully_qualified_names = True
# ldap_id_mapping = True
# access_provider = ad
  • 启动服务
    • 命令行 sssd -c /etc/sssd/sssd.conf
    • systemctl
systemctl status sssd
systemctl start sssd
systemctl stop sssd

sssctl

sssctl domain-list 命令可以用来检查域拓扑问题

sssctl --help
sssctl domain-list

集成

SSSD 支持对接第三方认证服务包括:

  • sssd-ad: System Security Services Daemon – Active Directory back end
  • sssd-ipa: System Security Services Daemon – IPA back end
  • sssd-kcm: System Security Services Daemon – Kerberos KCM server implementation
  • sssd-krb5: System Security Services Daemon – Kerberos back end
  • sssd-krb5-common: System Security Services Daemon – Kerberos helpers
  • sssd-ldap: System Security Services Daemon – LDAP back end
  • sssd-proxy: System Security Services Daemon – proxy back end
apt install sssd-ad sssd-tools realmd adcli

FreeIPA

FreeIPA 是一个运行在 Linux/Unix 环境的、开源的身份管理系统,它提供集中式帐户管理和身份验证,与 Windows Active DirectoryLDAP 的功能类似

NSS

$ cat /etc/nsswitch.conf
...
passwd:     sss files
group:      sss files

参考

  1. https://github.com/sssd/sssd
  2. https://sssd.io/docs/introduction.html
  3. https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/7/html/system-level_authentication_guide/sssd
  4. https://cloud.google.com/managed-microsoft-ad/docs/quickstart-domain-join-linux?hl=zh-cn
Home Archives Categories Tags Statistics
本文总阅读量 次 本站总访问量 次 本站总访客数