About Me

header ads

Hiểu về Daemon Dịch vụ Bảo mật Hệ thống (SSSD)


Daemon Dịch vụ Bảo mật Hệ thống (SSSD) cung cấp quyền truy cập vào các nhà cung cấp nhận dạng và xác thực từ xa. Các nhà cung cấp được định cấu hình làm back-end với SSSD hoạt động như một trung gian giữa các khách hàng địa phương và bất kỳ nhà cung cấp back-end nào đã được định cấu hình. Các máy khách cục bộ kết nối với SSSD và sau đó SSSD liên hệ với các nhà cung cấp. Các lợi ích của SSSD bao gồm:

  • Reduced load: Khách hàng không phải liên hệ trực tiếp với máy chủ nhận dạng / xác thực; họ chỉ cần liên hệ với SSSD.
  • Offline authentication: SSSD có thể, tùy chọn, giữ một bộ đệm ẩn danh tính người dùng và thông tin đăng nhập, cho phép người dùng xác thực ngoại tuyến.
  • Single-user accounts: SSSD duy trì thông tin đăng nhập mạng, cho phép người dùng kết nối với tài nguyên mạng bằng cách xác thực bằng tên người dùng cục bộ trên máy cục bộ của họ.

Cài đặt SSSD

Cài đặt các gói SSSD sau:

# yum install sssd sssd-client

Để khởi động SSSD khi hệ thống khởi động, hãy nhập một trong các thông số sau:

# systemctl enable sssd  # authconfig --enablesssd --update

Định cấu hình dịch vụ SSSD

Tệp cấu hình chính cho SSSD là /etc/sssd/sssd.conf. Các dịch vụ và miền SSSD được định cấu hình trong các phần riêng biệt của tệp này, mỗi phần bắt đầu bằng tên của phần trong dấu ngoặc vuông. Sau đây là các ví dụ:

[sssd] Tiết diện

Chức năng SSSD được cung cấp bởi các dịch vụ chuyên biệt chạy cùng với SSSD. Các dịch vụ chuyên biệt này được khởi động và khởi động lại bởi một dịch vụ đặc biệt có tên là monitor. Các tùy chọn màn hình và miền nhận dạng được định cấu hình trong [sssd] của /etc/sssd/sssd.conf. Sau đây là một ví dụ:

[sssd]  domains = LDAP  services = nss, pam

Chỉ thị miền có thể xác định nhiều miền. Nhập chúng theo thứ tự mà bạn muốn chúng được truy vấn. Chỉ thị dịch vụ liệt kê các dịch vụ được bắt đầu khi sssd tự khởi động.

Phần dịch vụ

Mỗi dịch vụ chuyên biệt chạy cùng với SSSD được định cấu hình trong các phần riêng biệt trong /etc/sssd/sssd.conf. Ví dụ, [nss] được sử dụng để cấu hình dịch vụ Name Service Switch (NSS). Các [pam] được sử dụng để cấu hình dịch vụ PAM.

1. Định cấu hình Dịch vụ NSS

Bao gồm trong gói sssd là một mô-đun NSS, sssd_nss, hướng dẫn hệ thống sử dụng SSSD để truy xuất thông tin người dùng. Điều này được định cấu hình trong [nss] của /etc/sssd/sssd.conf. Sau đây là một ví dụ chỉ bao gồm danh sách một phần các lệnh có thể định cấu hình:

[nss]  filter_groups = root  filter_users = root  reconnection_retries = 3  entry_cache_timeout = 300

Các chỉ thị filter_users và filter_groups yêu cầu SSSD loại trừ một số người dùng và nhóm nhất định được tìm nạp từ cơ sở dữ liệu NSS. Lệnh Renection_retries chỉ định số lần cố gắng kết nối lại trong trường hợp nhà cung cấp dữ liệu gặp sự cố. Chỉ thị enum_cache_timeout chỉ định, tính bằng giây, thời lượng sssd_nss lưu vào bộ nhớ đệm yêu cầu thông tin về tất cả người dùng.

2. Định cấu hình Dịch vụ PAM

Gói sssd cũng cung cấp một mô-đun PAM, sssd_pam, được định cấu hình trong [pam] của /etc/sssd/sssd.conf. Sau đây là một ví dụ chỉ bao gồm danh sách một phần các lệnh có thể định cấu hình:

[pam]  reconnection_retries = 3  offline_credentials_expiration = 2  offline_failed_login_attempts = 3  offline_failed_login_delay = 5

– Các offline_credentials_expiration Chỉ thị chỉ định, tính bằng ngày, thời gian cho phép đăng nhập được lưu trong bộ nhớ cache nếu nhà cung cấp xác thực ngoại tuyến.
– Các offline_failed_login_attempts chỉ thị chỉ định số lần đăng nhập không thành công được phép nếu nhà cung cấp xác thực ngoại tuyến.

Để cập nhật cấu hình PAM tham chiếu đến tất cả các mô-đun SSSD, hãy sử dụng lệnh authconfig như sau để bật SSSD cho xác thực hệ thống:

# authconfig --update --enablesssd --enablesssdauth

Lệnh này tự động tạo tệp cấu hình PAM để bao gồm các mục pam_sss.so cần thiết.

Định cấu hình miền SSSD

Miền SSSD là sự kết hợp của nhà cung cấp danh tính và phương thức xác thực. SSSD hoạt động với các nhà cung cấp nhận dạng LDAP (bao gồm OpenLDAP, Red Hat Directory Server và Microsoft Active Directory) và có thể sử dụng xác thực LDAP gốc hoặc xác thực Kerberos. Khi định cấu hình miền, bạn xác định cả nơi lưu trữ thông tin người dùng và cách những người dùng đó được phép xác thực với hệ thống.

Tương tự như các dịch vụ SSSD, các miền SSSD cũng được định cấu hình trong các phần riêng biệt của tệp /etc/sssd/sssd.conf. Các dịch vụ và miền được xác định trong [sssd] tiết diện. Ví dụ:

[sssd]  domains = LDAP  services = nss, pam

Ví dụ này chỉ định một miền LDAP. Phần tên miền của cấu hình sẽ bắt đầu bằng tiêu đề sau:

Phần cấu hình miền sau đó sẽ chỉ định nhà cung cấp danh tính, nhà cung cấp xác thực và bất kỳ cấu hình cụ thể nào để truy cập thông tin trong các nhà cung cấp đó.

Sau đây là ví dụ về phần miền:

[domain/LDAP]  id_provider = ldap  ldap_uri = ldap://ldap.example.com  ldap_search_base = dc=example,dc=com  auth_provider = krb5  krb5_server = kerberos.example.com  krb5_realm = EXAMPLE.COM  min_id = 10000  max_id = 20000

Nhà cung cấp danh tính

Id_provider chỉ định phần cuối nhận dạng nhà cung cấp dữ liệu để sử dụng cho miền này. Các mặt sau được hỗ trợ là:

  • proxy: Hỗ trợ nhà cung cấp NSS kế thừa
  • local: Nhà cung cấp nội bộ SSSD
  • ldap: Nhà cung cấp LDAP

– Các ldap_uri Chỉ thị cung cấp danh sách được phân tách bằng dấu phẩy gồm các URI (Số nhận dạng tài nguyên chung) của máy chủ LDAP, theo thứ tự ưu tiên, mà SSSD kết nối với.
– Các ldap_search_base chỉ thị cung cấp cho DN cơ sở sử dụng để thực hiện các hoạt động của người dùng LDAP.

Nhà cung cấp xác thực

Chỉ thị auth_provider chỉ định nhà cung cấp xác thực được sử dụng cho miền. Nếu không được chỉ định, id_provider sẽ được sử dụng. Các nhà cung cấp xác thực được hỗ trợ là:

  • ldap: Xác thực LDAP gốc
  • krb5: Xác thực Kerberos
  • proxy: Chuyển tiếp xác thực đến một số mục tiêu PAM khác
  • none: Tắt xác thực một cách rõ ràng

– Các krb5_server Chỉ thị cung cấp danh sách các máy chủ Kerberos được phân tách bằng dấu phẩy, theo thứ tự ưu tiên, mà SSSD kết nối.
– Các krb5_realm chỉ thị cung cấp cho lĩnh vực Kerberos để sử dụng cho xác thực Lớp bảo mật và Xác thực đơn giản (SASL) / API Dịch vụ Bảo mật Chung (GSS-API). Cấu hình của các kết nối SASL bằng cách sử dụng GSS-API là bắt buộc trước khi SSSD có thể sử dụng Kerberos để kết nối với máy chủ LDAP.
– Hai chỉ thị cuối cùng, min_id và max_id, là các ví dụ về các thuộc tính toàn cục có sẵn cho bất kỳ loại miền nào. Các thuộc tính khác bao gồm cài đặt bộ nhớ cache và thời gian chờ. Hai chỉ thị này chỉ định giới hạn UID và GID cho miền. Nếu miền chứa mục nhập nằm ngoài các giới hạn này, miền đó sẽ bị bỏ qua.

Bắt đầu hoặc khởi động lại dịch vụ sssd sau khi thực hiện bất kỳ thay đổi cấu hình nào đối với miền hoặc dịch vụ

Đăng nhận xét

0 Nhận xét