适用范围 SUSE Linux Enterprise Server 15 SP3
5 使用 YaST 设置身份验证客户端 #
Kerberos 用于身份验证,而 LDAP 用于授权和标识。两者可以配合工作。有关 LDAP 的详细信息,请参见第 6 章 “389 LDAP Directory Server”;有关 Kerberos 的详细信息,请参见第 7 章 “使用 Kerberos 进行网络身份验证”。
5.1 使用 YaST 配置身份验证客户端 #
YaST 允许使用不同的模块设置客户端身份验证:
5.2 SSSD #
有两个 YaST 模块基于 SSSD:及 。
SSSD 指系统安全服务守护程序。SSSD 会与提供用户数据的远程目录服务通讯,并提供各种身份验证方法(例如 LDAP、Kerberos 或 Active Directory (AD))。它还提供 NSS(名称服务切换)和 PAM(可插入身份验证模块)接口。
SSSD 可在本地缓存用户数据并可让用户使用这些数据,即使实际的目录服务(暂时)不可访问时也是如此。
5.2.1 检查状态 #
运行某个 YaST 身份验证模块后,您可以使用以下命令检查 SSSD 是否正在运行:
root #systemctl status sssdsssd.service - System Security Services Daemon Loaded: loaded (/usr/lib/systemd/system/sssd.service; enabled) Active: active (running) since Thu 2015-10-23 11:03:43 CEST; 5s ago [...]
5.2.2 缓存 #
为了允许用户在身份验证后端不可用时登录,SSSD 将使用其缓存,即使缓存已失效。这种情况会一直持续到后端再次可用。
要使缓存失效,请运行 sss_cache -E(sss_cache 命令是软件包
sssd-tools的一部分)。
要彻底去除 SSSD 缓存,请运行:
tux >sudosystemctl stop sssdtux >sudorm -f /var/lib/sss/db/*tux >sudosystemctl start sssd