SSSD(System Security Services Daemon)
是一个集中式身份管理解决方案的客户端组件,支持对接FreeIPA、Microsoft Active Directory、OpenLDAP、Kerberos等
介绍
SSSD
是一组守护进程,用于处理来自各种网络源的身份验证、授权以及用户和组信息SSSD
是介于本地用户和数据存储之间的进程,实现本地缓存认证信息。本地客户端首先连接 SSSD,由 SSSD 链接外部认证提供者,为主机提供身份、验证和授权服务- 避免本地服务器对认证服务器大量连接,减少压力
- 允许离线授权
- 单一用户帐户:提高身份验证过程的一致性
SSSD
同时也为一些Linux系统服务提供认证缓存,比 Name Service Switch (NSS) 、PAM
图片来自
安装
apt install sssd sssd-tools -y
使用
- 默认配置文件
/etc/sssd/sssd.conf
,示例文件
[sssd]
domains=xiexianbin.cn
config_file_version=2
services=nss,pam
[nss]
filter_users=root,ldap
[pam]
[domain/xiexianbin.cn]
auth_provider=ldap
id_provider=ldap
chpass_provider=ldap
ldap_schema=rfc2307
ldap_uri=ldap://10.10.10.10:389 # LDAP 服务器地址
ldap_search_base=dc=cn,dc=xiexianbin
ldap_access_filter=(&(objectclass=dcObject)(objectclass=organization))
ldap_tls_reqcert=never
ldap_id_use_start_tls=False
ldap_tls_cacertdir=/etc/openldap/certs
cache_credentials=True
entry_cache_timeout=600
ldap_network_timeout=3
use_fully_qualified_names = False # 不带域名用户被识别
# apt install sssd-ad sssd-tools realmd adcli
# [domain/ad.xiexianbin.cn]
# default_shell = /bin/bash
# krb5_store_password_if_offline = True
# cache_credentials = True
# krb5_realm = ad.xiexianbin.cn
# realmd_tags = manages-system joined-with-adcli
# id_provider = ad
# fallback_homedir = /home/%u@%d
# ad_domain = ad.xiexianbin.cn
# use_fully_qualified_names = True
# ldap_id_mapping = True
# access_provider = ad
- 启动服务
- 命令行
sssd -c /etc/sssd/sssd.conf
- systemctl
systemctl status sssd
systemctl start sssd
systemctl stop sssd
sssctl
sssctl domain-list
命令可以用来检查域拓扑问题
sssctl --help
sssctl domain-list
集成
SSSD
支持对接第三方认证服务包括:
sssd-ad
: System Security Services Daemon – Active Directory back endsssd-ipa
: System Security Services Daemon – IPA back endsssd-kcm
: System Security Services Daemon – Kerberos KCM server implementationsssd-krb5
: System Security Services Daemon – Kerberos back endsssd-krb5-common
: System Security Services Daemon – Kerberos helperssssd-ldap
: System Security Services Daemon – LDAP back endsssd-proxy
: System Security Services Daemon – proxy back end
AD
apt install sssd-ad sssd-tools realmd adcli
FreeIPA
FreeIPA 是一个运行在 Linux/Unix
环境的、开源的身份管理系统,它提供集中式帐户管理和身份验证,与 Windows Active Directory
或 LDAP
的功能类似
NSS
$ cat /etc/nsswitch.conf
...
passwd: sss files
group: sss files