PAM vs LDAP vs SSSD vs Kerberos

10

Saya pada dasarnya menyadari apa yang dilakukan layanan-layanan ini terpisah satu sama lain. Yang ingin saya ketahui: apa yang sebenarnya terjadi pada login yang sukses di jaringan berbasis linux yang menggunakan semua layanan ini? Dalam urutan apa layanan ini dikonsultasikan? Layanan apa yang berbicara dengan layanan apa?

tfh
sumber

Jawaban:

19

The sssddaemon bertindak sebagai laba-laba di web, mengendalikan proses login dan banyak lagi. Program login berkomunikasi dengan modul yang dikonfigurasi pamdan nss, yang dalam hal ini disediakan oleh paket SSSD. Modul-modul ini berkomunikasi dengan responden SSSD yang sesuai, yang pada gilirannya berbicara dengan Monitor SSSD. SSSD mencari pengguna di direktori LDAP, lalu menghubungi Kerberos KDC untuk otentikasi dan mendapatkan tiket.

(PAM dan NSS juga dapat berbicara dengan LDAP secara langsung menggunakan pam_ldap dan nss_ldap. Namun SSSD menyediakan fungsionalitas tambahan.)

Tentu saja, banyak dari ini tergantung pada bagaimana SSSD telah dikonfigurasi; ada banyak skenario berbeda. Misalnya, Anda dapat mengonfigurasi SSSD untuk melakukan otentikasi secara langsung dengan LDAP, atau mengautentikasi melalui Kerberos.

The sssddaemon tidak benar-benar melakukan banyak hal yang tidak bisa dilakukan dengan sistem yang telah "dirakit dengan tangan", tetapi memiliki keuntungan yang menangani segala sesuatu di tempat yang terpusat. Manfaat penting lain dari SSSD adalah cache kredensial, yang memudahkan beban di server dan memungkinkan untuk offline dan masih masuk. Dengan cara ini Anda tidak memerlukan akun lokal di mesin untuk autentikasi offline.

Johan Myréen
sumber
2
Cukup mengejutkan melihat bahwa sssd tampaknya menjadi koordinator proses. Saya pikir itu akan menjadi tugas PAM karena abstrak atas detail implementasi.
tfh
1
Ya, tetapi para pengembang SSSD memutuskan untuk menemukan kembali 'koordinasi' ... kebanyakan. Ini mengikuti pepatah unix lama "melakukan segalanya, sebagian besar oke".
user2066657