17.5. SSSD
17.5.1. authselect
替代 authconfig
在 RHEL 8 中,authselect
代替了 authconfig
实用程序。authselect
对 PAM stack 管理的方式更加安全,它使系统管理员对 PAM 配置变得更加简单。authselect
可以用来配置身份验证方法,如密码、证书、智能卡和指纹。authselect
不配置加入远程域所需的服务。此任务由特殊工具执行,比如 realmd
或 ipa-client-install
。
17.5.2. KCM 替换 keyring 作为默认凭证缓存存储
在 RHEL 8 中,默认的凭证缓存存储是 Kerberos Credential Manager(KCM),它由 sssd-KCM deamon 提供支持
。KCM 带有之前使用的密钥环的限制,如它在容器化环境中很难使用,因为它没有命名空间,并用来查看和管理配额。
在这个版本中,RHEL 8 包括了 一 个适合容器化环境的凭证缓存,为在以后的版本中构建更多功能提供了基础。
17.5.3. sssctl
为 IdM 域打印一个 HBAC 规则报告
在这个版本中,SSSD 的 ssctl
工具可以打印一个 Identity Management(IdM)域的访问控制报告。出于规范考虑,该功能满足了某些环境的需要,可访问特定客户端机器的用户和组列表。在一个 IdM 客户端中运行 sssctl access-report
domain_name
,可打印应用到客户端机器的 IdM 域中基于主机的访问控制(hbac)规则的解析子集。
请注意,除了 IdM 外,其它供应商都不支持这个特性。
17.5.4. 本地用户被 SSSD 缓存,并通过 nss_sss
模块提供。
在 RHEL 8 中,SSSD 默认从 /etc/passwd
和 /etc/groups
为用户和组提供服务。sss
nsswitch 模块先于 /etc/nsswitch.conf
中的文件。
通过 SSSD 为本地用户提供服务的好处是, nss_sss
模块具有一个快速的 内存映射缓存
,它比访问磁盘并在每个 NSS 请求上打开文件,可加快名称服务切换(NSS)查找速度。之前, Name 服务缓存守护进程(nscd
)可帮助加快访问磁盘的过程。但是,在 SSSD 并行使用 nscd
时会很麻烦,因为 SSSD 和 nscd
都使用它们自己的独立缓存。因此,在 SSSD 还从远程域(如 LDAP 或 Active Directory)为用户提供服务的设置中使用 nscd
会导致无法预计的行为。
因此,在 RHEL 8 中,本地用户和组的解析速度更快。请注意,root
用户永远不会被 SSSD 处理,因此 root
解析不会受到 SSSD 中的潜在错误的影响。还请注意,如果 SSSD 没有运行, nss_sss
模块会通过回退到 nss_files
来轻松处理这种情况,以避免出现问题。您不必使用任何方法配置 SSSD,文件域会自动添加。
17.5.5. 现在,SSSD 允许您选择多个智能卡认证设备之 一
在默认情况下,SSSD(SSSD)会尝试探测智能卡验证的设备。如果连接了多个设备,SSSD 会选择它探测到的第 一 个设备。因此,您无法选择 一 个特定的设备,这有时会导致失败。
在这个版本中,您可以为 sssd.conf
配置文件的 [pam]
部分配置新的 p11_uri
选项。这个选项允许您定义使用哪个设备进行智能卡验证。
例如,要选择 OpenSC PKCS#11 模块检测到的插槽 id 2
的 reader,请添加:
p11_uri = library-description=OpenSC%20smartcard%20framework;slot-id=2
到 sssd.conf
的 [pam]
部分。
详情请查看 man sssd.conf
页面。
为了尽快向用户提供最新的信息,本文档可能会包括由机器自动从英文原文翻译的内容。如需更多信息,请参阅此说明。