13.9. SSSD 通信模式
系统安全服务守护程序(SSSD)是一种用于访问远程目录和身份验证机制的系统服务。如果在身份管理 IdM 客户端上配置了,它将连接到 IdM 服务器,该服务器提供身份验证、授权和其他身份和策略信息。如果 IdM 服务器与 Active Directory(AD)是信任关系,SSSD 也会连接到 AD,使用 Kerberos 协议为 AD 用户执行身份验证。默认情况下,SSSD 使用 Kerberos 验证任何非本地用户。特殊情况下,SSSD 可能会被配置为使用 LDAP 协议。
SSSD 可以配置为与多个服务器通信。下表显示了 IdM 中 SSSD 的常见通信模式。
表 13.4. 与 IdM 服务器对话时在 IdM 客户端中的 SSSD 通信特征
| 操作 | 使用的协议 | 目的 |
|---|---|---|
| 针对客户端系统中配置的 DNS 解析器的 DNS 解析 | DNS | 发现 IdM 服务器的 IP 地址 |
| 向身份管理副本和 Active Directory 域控制器上的端口 88(TCP/TCP6 和 UDP/UDP6)、464(TCP/TCP6 和 UDP/UDP6)和 749(TCP/TCP6)发请求 | Kerberos | 获取 Kerberos 票据 ; 修改 Kerberos 密码 |
| 使用 SASL GSSAPI 身份验证、普通 LDAP 或两者,通过 TCP/TCP6 向 IdM 服务器上的 389 端口发请求。 | LDAP | 要获取有关 IdM 用户和主机的信息,请下载 HBAC 和 sudo 规则、自动挂载映射、SELinux 用户上下文、公共 SSH 密钥以及存储在 IdM LDAP 中的其他信息 |
| (可选)如果是智能卡身份验证,则请求在线证书状态协议(OCSP)响应器(如果已配置)。这通常通过端口 80 完成,但它取决于客户端证书中的 OCSP 响应程序 URL 的实际值。 | HTTP | 获取在智能卡中安装的证书状态的信息 |
表 13.5. 与 Active Directory Domain Controller 对话时作为信任代理的 SSSD 服务器的通信模式
| 操作 | 使用的协议 | 目的 |
|---|---|---|
| 针对客户端系统中配置的 DNS 解析器的 DNS 解析 | DNS | 发现 IdM 服务器的 IP 地址 |
| 向身份管理副本和 Active Directory 域控制器上的端口 88(TCP/TCP6 和 UDP/UDP6)、464(TCP/TCP6 和 UDP/UDP6)和 749(TCP/TCP6)发请求 | Kerberos | 要获得 Kerberos 票据 ; 更改 Kerberos 密码 ; 远程管理 Kerberos |
| 向端口 389(TCP/TCP6 和 UDP/UDP6)和 3268(TCP/TCP6)发请求. | LDAP | 查询 Active Directory 用户和组群信息 ; 发现 Active Directory 域控制器 |
| (可选)如果是智能卡身份验证,则请求在线证书状态协议(OCSP)响应器(如果已配置)。这通常通过端口 80 完成,但它取决于客户端证书中的 OCSP 响应程序 URL 的实际值。 | HTTP | 获取在智能卡中安装的证书状态的信息 |
