4 使用 YaST 设置身份验证客户端 #
Kerberos 用于身份验证,而 LDAP 用于授权和标识。两者可以配合工作。有关 LDAP 的详细信息,请参见第 5 章 “LDAP with 389 Directory Server”;有关 Kerberos 的详细信息,请参见第 6 章 “使用 Kerberos 进行网络身份验证”。
4.1 使用 YaST 配置身份验证客户端 #
YaST 允许使用不同的模块设置客户端身份验证:
: Use both an identity service (usually LDAP) and a user authentication service (usually Kerberos). This option is based on SSSD and in the majority of cases is best suited for joining Active Directory domains.
This module is described in 第 7.3.2 节 “使用加入 Active Directory”.
: Join an Active Directory (which entails use of Kerberos and LDAP). This option is based on
winbindand is best suited for joining an Active Directory domain if support for NTLM or cross-forest trusts is necessary.This module is described in 第 7.3.3 节 “使用 加入 Active Directory”.
4.2 SSSD #
有两个 YaST 模块基于 SSSD:及 。
SSSD 指系统安全服务守护程序。SSSD 会与提供用户数据的远程目录服务通讯,并提供各种身份验证方法(例如 LDAP、Kerberos 或 Active Directory (AD))。它还提供 NSS(名称服务切换)和 PAM(可插入身份验证模块)接口。
SSSD 可在本地缓存用户数据并可让用户使用这些数据,即使实际的目录服务(暂时)不可访问时也是如此。
4.2.1 检查状态 #
运行某个 YaST 身份验证模块后,您可以使用以下命令检查 SSSD 是否正在运行:
root #systemctl status sssdsssd.service - System Security Services Daemon Loaded: loaded (/usr/lib/systemd/system/sssd.service; enabled) Active: active (running) since Thu 2015-10-23 11:03:43 CEST; 5s ago [...]
4.2.2 缓存 #
为了允许用户在身份验证后端不可用时登录,SSSD 将使用其缓存,即使缓存已失效。这种情况会一直持续到后端再次可用。
要使缓存失效,请运行 sss_cache -E(sss_cache 命令是软件包
sssd-tools的一部分)。
要彻底去除 SSSD 缓存,请运行:
tux >sudosystemctl stop sssdtux >sudorm -f /var/lib/sss/db/*tux >sudosystemctl start sssd