Menu Close
Settings Close

Language and Page Formatting Options

Red Hat Training

A Red Hat training course is available for RHEL 8

14.9. SSSD 通信模式

系统安全服务守护程序(SSSD)是一种用于访问远程目录和身份验证机制的系统服务。如果在身份管理 IdM 客户端上配置了,它将连接到 IdM 服务器,该服务器提供身份验证、授权和其他身份和策略信息。如果 IdM 服务器与 Active Directory(AD)是信任关系,SSSD 也会连接到 AD,使用 Kerberos 协议为 AD 用户执行身份验证。默认情况下,SSSD 使用 Kerberos 验证任何非本地用户。特殊情况下,SSSD 可能会被配置为使用 LDAP 协议。

SSSD 可以配置为与多个服务器通信。下表显示了 IdM 中 SSSD 的常见通信模式。

表 14.4. 与 IdM 服务器对话时在 IdM 客户端中的 SSSD 通信特征

操作使用的协议目的

针对客户端系统中配置的 DNS 解析器的 DNS 解析

DNS

发现 IdM 服务器的 IP 地址

向身份管理副本和 Active Directory 域控制器上的端口 88(TCP/TCP6 和 UDP/UDP6)、464(TCP/TCP6 和 UDP/UDP6)和 749(TCP/TCP6)发请求

Kerberos

获取 Kerberos 票据 ; 修改 Kerberos 密码

使用 SASL GSSAPI 身份验证、普通 LDAP 或两者,通过 TCP/TCP6 向 IdM 服务器上的 389 端口发请求。

LDAP

要获取有关 IdM 用户和主机的信息,请下载 HBAC 和 sudo 规则、自动挂载映射、SELinux 用户上下文、公共 SSH 密钥以及存储在 IdM LDAP 中的其他信息

(可选)如果是智能卡身份验证,则请求在线证书状态协议(OCSP)响应器(如果已配置)。这通常通过端口 80 完成,但它取决于客户端证书中的 OCSP 响应程序 URL 的实际值。

HTTP

获取在智能卡中安装的证书状态的信息

表 14.5. 与 Active Directory Domain Controller 对话时作为信任代理的 SSSD 服务器的通信模式

操作使用的协议目的

针对客户端系统中配置的 DNS 解析器的 DNS 解析

DNS

发现 IdM 服务器的 IP 地址

向身份管理副本和 Active Directory 域控制器上的端口 88(TCP/TCP6 和 UDP/UDP6)、464(TCP/TCP6 和 UDP/UDP6)和 749(TCP/TCP6)发请求

Kerberos

要获得 Kerberos 票据 ; 更改 Kerberos 密码 ; 远程管理 Kerberos

向端口 389(TCP/TCP6 和 UDP/UDP6)和 3268(TCP/TCP6)发请求.

LDAP

查询 Active Directory 用户和组群信息 ; 发现 Active Directory 域控制器

(可选)如果是智能卡身份验证,则请求在线证书状态协议(OCSP)响应器(如果已配置)。这通常通过端口 80 完成,但它取决于客户端证书中的 OCSP 响应程序 URL 的实际值。

HTTP

获取在智能卡中安装的证书状态的信息