17.5. SSSD

17.5.1. authselect 替代 authconfig

在 RHEL 8 中,authselect 代替了 authconfig 实用程序。authselect 对 PAM stack 管理的方式更加安全,它使系统管理员对 PAM 配置变得更加简单。authselect 可以用来配置身份验证方法,如密码、证书、智能卡和指纹。authselect 不配置加入远程域所需的服务。此任务由特殊工具执行,比如 realmdipa-client-install

17.5.2. KCM 替换 keyring 作为默认凭证缓存存储

在 RHEL 8 中,默认的凭证缓存存储是 Kerberos Credential Manager(KCM),它由 sssd-KCM deamon 提供支持。KCM 带有之前使用的密钥环的限制,如它在容器化环境中很难使用,因为它没有命名空间,并用来查看和管理配额。

在这个版本中,RHEL 8 包括了 一 个适合容器化环境的凭证缓存,为在以后的版本中构建更多功能提供了基础。

17.5.3. sssctl 为 IdM 域打印一个 HBAC 规则报告

在这个版本中,SSSD 的 ssctl 工具可以打印一个 Identity Management(IdM)域的访问控制报告。出于规范考虑,该功能满足了某些环境的需要,可访问特定客户端机器的用户和组列表。在一个 IdM 客户端中运行 sssctl access-report domain_name,可打印应用到客户端机器的 IdM 域中基于主机的访问控制(hbac)规则的解析子集。

请注意,除了 IdM 外,其它供应商都不支持这个特性。

17.5.4. 本地用户被 SSSD 缓存,并通过 nss_sss 模块提供。

在 RHEL 8 中,SSSD 默认从 /etc/passwd/etc/groups为用户和组提供服务。sss nsswitch 模块先于 /etc/nsswitch.conf 中的文件。

通过 SSSD 为本地用户提供服务的好处是, nss_sss 模块具有一个快速的 内存映射缓存,它比访问磁盘并在每个 NSS 请求上打开文件,可加快名称服务切换(NSS)查找速度。之前, Name 服务缓存守护进程(nscd)可帮助加快访问磁盘的过程。但是,在 SSSD 并行使用 nscd 时会很麻烦,因为 SSSD 和 nscd 都使用它们自己的独立缓存。因此,在 SSSD 还从远程域(如 LDAP 或 Active Directory)为用户提供服务的设置中使用 nscd 会导致无法预计的行为。

因此,在 RHEL 8 中,本地用户和组的解析速度更快。请注意,root 用户永远不会被 SSSD 处理,因此 root 解析不会受到 SSSD 中的潜在错误的影响。还请注意,如果 SSSD 没有运行, nss_sss 模块会通过回退到 nss_files 来轻松处理这种情况,以避免出现问题。您不必使用任何方法配置 SSSD,文件域会自动添加。

17.5.5. 现在,SSSD 允许您选择多个智能卡认证设备之 一

在默认情况下,SSSD(SSSD)会尝试探测智能卡验证的设备。如果连接了多个设备,SSSD 会选择它探测到的第 一 个设备。因此,您无法选择 一 个特定的设备,这有时会导致失败。

在这个版本中,您可以为 sssd.conf 配置文件的 [pam] 部分配置新的 p11_uri 选项。这个选项允许您定义使用哪个设备进行智能卡验证。

例如,要选择 OpenSC PKCS#11 模块检测到的插槽 id 2 的 reader,请添加:

p11_uri = library-description=OpenSC%20smartcard%20framework;slot-id=2

sssd.conf[pam] 部分。

详情请查看 man sssd.conf 页面。


为了尽快向用户提供最新的信息,本文档可能会包括由机器自动从英文原文翻译的内容。如需更多信息,请参阅此说明。