第 2 章 了解 SSSD 及其优势

系统安全服务后台程序 (SSSD) 是一种用于访问远程目录和身份验证机制的系统服务。以下章节概述了 SSSD 的工作原理、使用它的益处、如何处理配置文件,以及您可以配置的身份和身份验证提供程序。

2.1. SSSD 如何工作

系统安全服务后台程序 (SSSD) 是一种系统服务,可让您访问远程目录和身份验证机制。您可以把一个本地系统(一个 SSSD 客户端 )连接到外部后端系统(一个 provider)。

例如:

  • 一个 LDAP 目录
  • 一个 Identity Management(IdM)域
  • 一个 Active Directory(AD)域
  • 一个 Kerberos realm

SSSD 分为两个阶段:

  1. 它将客户端连接到远程供应商以检索身份和验证信息。
  2. 它使用获得的验证信息来创建客户端用户和凭证的本地缓存。

然后,本地系统中的用户可以使用保存在远程供应商的用户帐户进行身份验证。

SSSD 不会在本地系统上创建用户帐户。但是,可将 SSSD 配置为为 IdM 用户创建主目录。创建后,当用户注销时,IdM 用户主目录及其在客户端中的内容不会被删除。

图 2.1. SSSD 如何工作

在左侧显示带有"SSSD 缓存"的本地系统(SSSD 缓存)和右侧的远程系统 (provider) 的流图。来自远程系统并指向本地系统的 SSSD 缓存中的箭头被标记来解释 SSSD 从远程系统检索并存储用户信息。

SSSD 还可以为多个系统服务提供缓存,如名称服务交换机 (NSS) 或可插拔验证模块 (PAM)。