4 使用 YaST 设置身份验证客户端 #
Kerberos 用于身份验证,而 LDAP 用于授权和标识。两者可以配合工作。有关 LDAP 的详细信息,请参见第 5 章 “使用 389 Directory Server 的 LDAP”;有关 Kerberos 的详细信息,请参见第 6 章 “使用 Kerberos 进行网络身份验证”。
4.1 使用 YaST 配置身份验证客户端 #
YaST 允许使用不同的模块设置客户端身份验证:
将身份服务(通常为 LDAP)和用户身份验证服务(通常为 Kerberos)结合使用。此选项基于 SSSD,在大多数情况下最适合用于加入 Active Directory 域。 :
第 7.3.2 节 “使用中介绍了此模块。 加入 Active Directory”
加入 Active Directory(需要使用 Kerberos 和 LDAP)。此选项基于 :
winbind
,最适合用于加入 Active Directory 域(如果必须提供 NTLM 或跨林信任支持)。第 7.3.3 节 “使用 中介绍了此模块。 加入 Active Directory”
4.2 SSSD #
YaST 的以下两个模块基于 SSSD:
及 。SSSD 指系统安全服务守护程序。SSSD 会与提供用户数据的远程目录服务通讯,并提供身份验证方法(例如 LDAP、Kerberos 或 Active Directory (AD))。它还提供 NSS(名称服务切换)和 PAM(可插入身份验证模块)接口。
SSSD 可在本地缓存用户数据并可让用户使用这些数据,即使实际的目录服务(暂时)不可访问时也是如此。
4.2.1 检查状态 #
运行某个 YaST 身份验证模块后,您可以使用以下命令检查 SSSD 是否正在运行:
#
systemctl status sssd
sssd.service - System Security Services Daemon Loaded: loaded (/usr/lib/systemd/system/sssd.service; enabled) Active: active (running) since Thu 2015-10-23 11:03:43 CEST; 5s ago [...]
4.2.2 缓存 #
为了允许用户在身份验证后端不可用时登录,SSSD 会使用其缓存,即使缓存已失效。这种情况会一直持续到后端再次可用。
要使缓存失效,请运行 sss_cache -E
(命令 sss_cache
是软件包 sssd-tools 的一部分)。
要去除 SSSD 缓存,请运行:
>
sudo
systemctl stop sssd
>
sudo
rm -f /var/lib/sss/db/*
>
sudo
systemctl start sssd