跳到内容跳到页面导航:上一页 [access key p]/下一页 [access key n]
documentation.suse.com / SUSE Linux Enterprise Desktop 文档 / 安全和强化指南 / 身份验证 / 使用 YaST 设置身份验证客户端
适用范围 SUSE Linux Enterprise Desktop 15 SP6

4 使用 YaST 设置身份验证客户端

Kerberos 用于身份验证,而 LDAP 用于授权和标识。两者可以配合工作。有关 LDAP 的详细信息,请参见第 5 章 “使用 389 Directory Server 的 LDAP;有关 Kerberos 的详细信息,请参见第 6 章 “使用 Kerberos 进行网络身份验证

4.1 使用 YaST 配置身份验证客户端

YaST 允许使用不同的模块设置客户端身份验证:

4.2 SSSD

YaST 的以下两个模块基于 SSSD:用户登录管理LDAP 和 Kerberos 身份验证

SSSD 指系统安全服务守护程序。SSSD 会与提供用户数据的远程目录服务通讯,并提供身份验证方法(例如 LDAP、Kerberos 或 Active Directory (AD))。它还提供 NSS(名称服务切换)和 PAM(可插入身份验证模块)接口。

SSSD 可在本地缓存用户数据并可让用户使用这些数据,即使实际的目录服务(暂时)不可访问时也是如此。

4.2.1 检查状态

运行某个 YaST 身份验证模块后,您可以使用以下命令检查 SSSD 是否正在运行:

# systemctl status sssd
sssd.service - System Security Services Daemon
   Loaded: loaded (/usr/lib/systemd/system/sssd.service; enabled)
   Active: active (running) since Thu 2015-10-23 11:03:43 CEST; 5s ago
   [...]

4.2.2 缓存

为了允许用户在身份验证后端不可用时登录,SSSD 会使用其缓存,即使缓存已失效。这种情况会一直持续到后端再次可用。

要使缓存失效,请运行 sss_cache -E(命令 sss_cache 是软件包 sssd-tools 的一部分)。

要去除 SSSD 缓存,请运行:

> sudo systemctl stop sssd
> sudo rm -f /var/lib/sss/db/*
> sudo systemctl start sssd