GNU/Linux >> Znalost Linux >  >> Cent OS

Porozumění démonu System Security Services Daemon (SSSD)

Démon SSSD (System Security Services Daemon) poskytuje přístup ke vzdáleným poskytovatelům identity a ověřování. Poskytovatelé jsou nakonfigurováni jako back-end, přičemž SSSD funguje jako prostředník mezi místními klienty a jakýmkoli nakonfigurovaným back-end poskytovatelem. Místní klienti se připojí k SSSD a poté SSSD kontaktuje poskytovatele. Mezi výhody SSSD patří:

  • Snížené zatížení :Klienti nemusí přímo kontaktovat identifikační/ověřovací servery; potřebují kontaktovat pouze SSSD.
  • Ověřování offline :SSSD může volitelně uchovávat mezipaměť uživatelských identit a přihlašovacích údajů, což uživatelům umožňuje ověřování offline.
  • Účty pro jednoho uživatele :SSSD spravuje síťová pověření a umožňuje uživatelům připojit se k síťovým zdrojům ověřením pomocí místního uživatelského jména na místním počítači.

Instalace SSSD

Nainstalujte následující balíčky SSSD:

# yum install sssd sssd-client

Chcete-li, aby se SSSD spustil při spouštění systému, zadejte jednu z následujících možností:

# systemctl enable sssd
# authconfig --enablesssd --update

Konfigurace služeb SSSD

Hlavní konfigurační soubor pro SSSD je /etc/sssd/sssd.conf . Služby a domény SSSD jsou konfigurovány v samostatných částech tohoto souboru, přičemž každá začíná názvem sekce v hranatých závorkách. Následují příklady:

[sssd]
[nss]
[pam]

sekce [sssd]

Funkcionalitu SSSD zajišťují specializované služby, které běží společně s SSSD. Tyto specializované služby spouští a restartuje speciální služba zvaná „monitor“. Možnosti monitorování a domény identity jsou konfigurovány v sekci [sssd] souboru /etc/sssd/sssd.conf. Následuje příklad:

[sssd]
domains = LDAP
services = nss, pam

Direktiva domains může definovat více domén. Zadejte je v pořadí, v jakém je chcete dotazovat. Direktiva services uvádí seznam služeb, které jsou spuštěny při spuštění samotného sssd.

Sekce služeb

Každá ze specializovaných služeb, které běží společně s SSSD, je konfigurována v samostatných sekcích v /etc/sssd/sssd.conf. Například sekce [nss] se používá ke konfiguraci služby Name Service Switch (NSS). Sekce [pam] se používá ke konfiguraci služby PAM.

1. Konfigurace služby NSS

Součástí balíčku sssd je modul NSS, sssd_nss, který dává systému pokyn, aby použil SSSD k načtení uživatelských informací. Toto se nastavuje v sekci [nss] souboru /etc/sssd/sssd.conf. Následuje příklad, který obsahuje pouze částečný seznam konfigurovatelných direktiv:

[nss]
filter_groups = root
filter_users = root
reconnection_retries = 3
entry_cache_timeout = 300

Direktivy filter_users a filter_groups říkají SSSD, aby vyloučila určité uživatele a skupiny z načítání z databáze NSS. Direktiva reconnection_retries určuje počet pokusů o opětovné připojení v případě selhání poskytovatele dat. Direktiva enum_cache_timeout určuje v sekundách, jak dlouho sssd_nss ukládá požadavky na informace o všech uživatelích do mezipaměti.

2. Konfigurace služby PAM

Balíček sssd také poskytuje modul PAM sssd_pam, který se konfiguruje v sekci [pam] souboru /etc/sssd/sssd.conf. Následuje příklad, který obsahuje pouze částečný seznam konfigurovatelných direktiv:

[pam]
reconnection_retries = 3
offline_credentials_expiration = 2
offline_failed_login_attempts = 3
offline_failed_login_delay = 5

offline_credentials_expiration direktiva určuje ve dnech, jak dlouho povolit přihlášení uložená v mezipaměti, pokud je poskytovatel ověřování offline.
offline_failed_login_attempts direktiva určuje, kolik neúspěšných pokusů o přihlášení je povoleno, pokud je poskytovatel autentizace offline.

Chcete-li aktualizovat konfiguraci PAM tak, aby odkazovala na všechny moduly SSSD, použijte příkaz authconfig pro povolení systému SSSD pro ověřování systému:

# authconfig --update --enablesssd --enablesssdauth

Tento příkaz automaticky vygeneruje konfigurační soubor PAM tak, aby obsahoval nezbytné záznamy pam_sss.so.

Konfigurace domén SSSD

Domény SSSD jsou kombinací poskytovatele identity a metody ověřování. SSSD spolupracuje s poskytovateli identity LDAP (včetně OpenLDAP, Red Hat Directory Server a Microsoft Active Directory) a může používat nativní ověřování LDAP nebo ověřování Kerberos. Při konfiguraci domény definujete, kde jsou informace o uživateli uloženy, a jak se tito uživatelé mohou autentizovat v systému.

Podobně jako u služeb SSSD jsou domény SSSD také konfigurovány v samostatných částech souboru /etc/sssd/sssd.conf. Služby a domény jsou uvedeny v sekci [sssd]. Příklad:

[sssd]
domains = LDAP
services = nss, pam

Tento příklad určuje doménu LDAP. Sekce domény konfigurace by začínala následujícím záhlavím:

[domain/LDAP]

Sekce konfigurace domény by pak specifikovala poskytovatele identity, poskytovatele ověřování a jakoukoli konkrétní konfiguraci pro přístup k informacím v těchto poskytovatelích.

Následuje příklad sekce domény:

[domain/LDAP]
id_provider = ldap
ldap_uri = ldap://ldap.example.com
ldap_search_base = dc=example,dc=com
auth_provider = krb5
krb5_server = kerberos.example.com
krb5_realm = EXAMPLE.COM
min_id = 10000
max_id = 20000

Poskytovatel identity

Parametr id_provider určuje back-end identity poskytovatele dat, který se má pro tuto doménu použít. Podporované zadní konce jsou:

  • proxy :Podporuje staršího poskytovatele NSS
  • místní :Interní místní poskytovatel SSSD
  • ldap :Poskytovatel LDAP

ldap_uri direktiva poskytuje čárkami oddělený seznam URI (Universal Resource Identifiers) serverů LDAP v pořadí podle preference, ke kterým se SSSD připojuje.
ldap_search_base direktiva udává základní DN, které se má použít pro provádění uživatelských operací LDAP.

Poskytovatel autentizace

Direktiva auth_provider určuje poskytovatele autentizace používaného pro doménu. Pokud není specifikováno, použije se id_provider. Podporovaní poskytovatelé ověřování jsou:

  • ldap :Nativní ověřování LDAP
  • krb5 :Ověřování Kerberos
  • proxy :Přenáší ověření na jiný cíl PAM
  • žádné :Explicitně zakáže ověřování

krb5_server direktiva poskytuje čárkami oddělený seznam serverů Kerberos v pořadí podle preference, ke kterým se SSSD připojuje.
krb5_realm direktiva dává sféru Kerberos k použití pro ověřování Simple Authentication a Security Layer (SASL)/Generic Security Services API (GSS-API). Konfigurace připojení SASL pomocí GSS-API je vyžadována předtím, než SSSD bude moci používat Kerberos k připojení k serveru LDAP.
– Poslední dvě direktivy, min_id a max_id , jsou příklady globálních atributů, které jsou dostupné pro jakýkoli typ domény. Mezi další atributy patří nastavení mezipaměti a časového limitu. Tyto dvě směrnice určují limity UID a GID pro doménu. Pokud doména obsahuje položku, která je mimo tyto limity, bude ignorována.

Po provedení jakýchkoli změn konfigurace domén nebo služeb spusťte nebo restartujte službu sssd:

# systemctl start sssd


Cent OS

  1. Pochopení souborového systému Btrfs ve Fedora Linux

  2. RHEL 7 – RHCSA Poznámky:Nakonfigurujte systém pro používání časových služeb

  3. Vysvětlení souboru /etc/security/limits.conf

  1. Jak můžete chránit svůj počítač?

  2. Zabezpečení Linuxu:8 dalších ovládacích prvků uzamčení systému

  3. Jak integrovat systém CentOS/RHEL do AD domény s LDAP/Kerberos/SSSD

  1. Vyvažování bezpečnosti Linuxu a použitelnosti

  2. Pochopení DM-multipath deamon (multipathd)

  3. Porozumění systému souborů sysfs (/sys) v Linuxu