PAM contre LDAP contre SSSD contre Kerberos

10

Je suis fondamentalement conscient de ce que ces services font séparément les uns des autres. Ce que je veux savoir: que se passe-t-il exactement lors d'une connexion réussie dans un réseau Linux qui utilise tous ces services? Dans quel ordre ces services sont-ils consultés? Quel service parle à quel service?

tfh
la source

Réponses:

19

Le sssddémon agit comme l'araignée sur le Web, contrôlant le processus de connexion et plus encore. Le programme de connexion communique avec les modules configurés pamet nssqui, dans ce cas, sont fournis par le package SSSD. Ces modules communiquent avec les répondeurs SSSD correspondants, qui à leur tour parlent au moniteur SSSD. SSSD recherche l'utilisateur dans l'annuaire LDAP, puis contacte Kerberos KDC pour l'authentification et pour acheter des tickets.

(PAM et NSS peuvent également communiquer directement avec LDAP en utilisant respectivement pam_ldap et nss_ldap. Cependant, SSSD fournit des fonctionnalités supplémentaires.)

Bien sûr, cela dépend en grande partie de la façon dont SSSD a été configuré; il y a beaucoup de scénarios différents. Par exemple, vous pouvez configurer SSSD pour effectuer l'authentification directement avec LDAP, ou vous authentifier via Kerberos.

Le sssddémon ne fait pas grand-chose qui ne peut pas être fait avec un système qui a été "assemblé à la main", mais il a l'avantage de tout gérer dans un endroit centralisé. Un autre avantage important de SSSD est qu'il met en cache les informations d'identification, ce qui facilite la charge sur les serveurs et permet de se déconnecter et de se connecter. De cette façon, vous n'avez pas besoin d'un compte local sur la machine pour l'authentification hors ligne.

Johan Myréen
la source
2
Assez surprenant de voir que sssd semble être le coordinateur du processus. Je pensais que ce serait la tâche de PAM car il résume les détails de la mise en œuvre.
tfh
1
Oui, mais les développeurs de SSSD ont décidé de réinventer la `` coordination '' ... surtout. Il suit le vieil adage unix de «tout faire, surtout bien».
user2066657