码迷,mamicode.com
首页 > 系统相关 > 详细

SSSD-系统安全服务守护进程

时间:2015-11-10 14:17:59      阅读:1609      评论:0      收藏:0      [点我收藏+]

标签:sssd

参考url:http://blog.sina.com.cn/s/blog_588c88cb0100ywoh.html

SSSD是红帽企业版Linux6中新加入的一个守护进程,该进程可以用来访问多种验证服务器,如LDAP,Kerberos等,并提供授权。SSSD是 介于本地用户和数据存储之间的进程,本地客户端首先连接SSSD,再由SSSD联系外部资源提供者(一台远程服务器)。

 

    这样做有一些几点优势:

 

   1.避免了本地每个客户端程序对认证服务器大量连接,所有本地程序仅联系SSSD,由SSSD连接认证服务器或SSSD缓存,有效的降低了负载。

 

   2.允许离线授权。SSSD可以缓存远程服务器的用户认证身份,这允许在远程认证服务器宕机是,继续成功授权用户访问必要的资源。

 

    SSSD无需特殊设置即可运行,当你配置完system-configure-authentication后该服务会自己运行。

 

    SSSD默认配置文件位于/etc/sssd/sssd.conf,你可以通过命令使得SSSD以指定的配置文件运行:

# sssd  --c  /etc/sssd/customfile.conf

    配置文件格式如下,  

    关键字=键值

    

    #####################################################

    ##  [section]                                      ##

    ##  key1 = value1                                  ##

    ##  key2 = value2,value3                           ##

    #####################################################

 

 

    管理SSSD进程

    service  sssd  start 开启

    service  sssd  stop 关闭

 

    使用authconfig命令开启SSSD: # authconfig  --enablesssd  --update

    使用systemctl命令开启SSSD:  # systemctl  enable  sssd

 

总结:简单来说现在在RHEL6中连接LDAP或Kerberos等认证服务器,都是先有SSSD连接认证服务器取得认证与授权信息,再交于本地客户端程序。




参考url:http://www.myhack58.com/Article/48/66/2015/64247.htm

sssd是一款用以取代ldap和AD的软件,配置比较简单。
本文介绍如何在ldap客户端部署sssd,来启用ldap认证。
- 安装sssd
="font-size:16px;">yum install sssd
yum remove pam_ldap samba*/span>
安装sssd,并卸载pam_ldap和samba相关的包
- 配置/etc/sssd/sssd.conf
="font-size:16px;">[sssd]
config_file_version = 2
services = nss, pam
domains = LDAP
[nss]
filter_users = backup, bin, daemon, games, gnats, irc, landscape, libuuid, list, lp, mail, man, messagebus, news, ntp, proxy, root, smmsp, smmta, sshd, sync, sys, syslog, uucp, whoopsie, www-data, dw_adm
[pam]/span>
="font-size:16px;">[domain/LDAP]
id_provider = ldap
auth_provider = ldap
cache_credentials = TRUE
debug_level = 1
ldap_uri = ldaps://ldap.vip
#ldap_uri = ldaps://10.8.8.8, ldaps://10.8.8.9
ldap_search_base = dc=example,dc=com
#ldap_schema = rfc2307bis
ldap_default_bind_dn = uid=proxyagent,ou=Special_Users,dc=example,dc=com
ldap_default_authtok_type = password
ldap_default_authtok = gafn01n0w
ldap_tls_reqcert = never
ldap_id_use_start_tls = true
ldap_netgroup_search_base = ou=Netgroup,ou=example.com,ou=services,dc=example,dc=com?one?
ldap_user_search_base = ou=People,dc=example,dc=com?sub?organizationalStatus=active
ldap_group_search_base = ou=Group,dc=example,dc=com?sub?
cache_credentials = true
enumerate = false
entry_cache_timeout = 5400
ldap_uri指向你的LDAP服务器,这里用的是域名,也可以是IP地址,DOMANI也可以配置多个域,一般只需要配置一个就可以了。
- 配置/etc/nsswitch.conf 
配置好sssd.conf后就要配置/etc/nsswitch.conf 来告诉name service switch需要查找那些地方来给登录的用户服务了。
="font-size:16px;">passwd:      files  sss
shadow:      files  sss
group:       files  sss
netgroup:     files  sss/span>
files sss 表示先查找/etc/passwd, /etc/group等文件,没有的话再查找sss模块。
- 修改/etc/nscd.conf
最后一步, 如果开启了nscd服务,要禁用passwd和group cache的功能。
="font-size:16px;">enable-cache            passwd          no
enable-cache            group           no
enable-cache            netgroup        no/span>
- 最后开启sssd服务
/etc/init.d/sssd start

SSSD-系统安全服务守护进程

标签:sssd

原文地址:http://tenderrain.blog.51cto.com/9202912/1711333

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!