2.4. SSSD 的身份和验证供应商

您可以将 SSSD 客户端连接到外部身份和身份验证供应商,如 LDAP 目录、身份管理 (IdM)、Active Directory(AD)域或 Kerberos 域。然后,SSSD 客户端使用 SSSD 供应商访问身份和身份验证远程服务。您可以将 SSSD 配置为使用不同的身份和身份验证供应商或它们的组合。

身份识别和身份验证提供程序作为 SSSD 域

身份和身份验证提供程序在 SSSD 配置文件 /etc/sssd/sssd.conf 中配置为 domains(域)。提供程序在文件的 [domain/name of the domain][domain/default] 部分中列出。

可将单个域配置为以下供应商之一:

  • 一个身份供应商,它提供用户信息,如 UID 和 GID。

    • 使用 /etc/sssd/sssd.conf 文件的 [domain/name of the domain] 部分中的 id_provider 选项将域指定为 身份提供程序
  • 一个身份验证供应商,用于处理身份验证请求。

    • 使用 /etc/sssd/sssd.conf[domain/name of the domain]部分中的 auth_provider 选项将域指定为 身份验证提供程序
  • 访问控制提供程序,负责处理授权请求。

    • 使用 /etc/sssd/sssd.conf[domain/name of the domain ]部分中的 access_provider 选项将域指定为 访问控制提供程序。默认情况下,选项设置为 permit,这将始终允许所有访问。详情请查看 sssd.conf(5)man page。
  • 组合这些供应商,例如,所有对应的操作都是在单一服务器中执行的。

    • 在本例中,id_providerauth_provideraccess_provider 选项都列在 /etc/sssd/sssd.conf 的相同的 [domain/name of the domain][domain/default] 部分。
注意

您可以为 SSSD 配置多个域。您必须至少配置一个域,否则 SSSD 不会启动。

代理供应商

代理供应商充当 SSSD 和 SSSD 资源之间的中间中继。使用代理供应商时,SSSD 会连接到代理服务,代理会加载指定的库。

您可以将 SSSD 配置为使用代理提供商,以启用:

  • 其他验证方法,如指纹扫描仪
  • 传统系统,如 NIS
  • /etc/passwd 文件中定义的本地系统帐户作为身份提供程序和远程身份验证提供程序,如 Kerberos

身份供应商可以和认证服务商组合使用

您可以将 SSSD 配置为使用以下身份和验证供应商的组合。

表 2.1. 身份供应商可以和认证服务商组合使用

身份供应商验证供应商

身份管理 [a]

身份管理

Active Directory

Active Directory

LDAP

LDAP

LDAP

Kerberos

Proxy

Proxy

Proxy

LDAP

Proxy

Kerberos

[a] LDAP 供应商类型的扩展。


[1] 要使用 sssctl 实用程序列出并验证域的状态,您的主机应注册为与 Active Directory (AD) 林信任协议中的身份管理 (IdM)。