4 使用 YaST 设置身份验证客户端 #
Kerberos 用于身份验证,而 LDAP 用于授权和标识。两者可以配合工作。有关 LDAP 的详细信息,请参见第 5 章 “使用 389 Directory Server 的 LDAP”;有关 Kerberos 的详细信息,请参见第 6 章 “使用 Kerberos 进行网络身份验证”。
4.1 使用 YaST 配置身份验证客户端 #
YaST 允许使用不同的模块设置客户端身份验证:
: 将身份服务(通常为 LDAP)和用户身份验证服务(通常为 Kerberos)结合使用。此选项基于 SSSD,在大多数情况下最适合用于加入 Active Directory 域。
: 加入 Active Directory(需要使用 Kerberos 和 LDAP)。此选项基于
winbind,最适合用于加入 Active Directory 域(如果必须提供 NTLM 或跨林信任支持)。
4.2 SSSD #
有两个 YaST 模块基于 SSSD:及 。
SSSD 指系统安全服务守护程序。SSSD 会与提供用户数据的远程目录服务通讯,并提供身份验证方法(例如 LDAP、Kerberos 或 Active Directory (AD))。它还提供 NSS(名称服务切换)和 PAM(可插入身份验证模块)接口。
SSSD 可在本地缓存用户数据并可让用户使用这些数据,即使实际的目录服务(暂时)不可访问时也是如此。
4.2.1 检查状态 #
运行某个 YaST 身份验证模块后,您可以使用以下命令检查 SSSD 是否正在运行:
#systemctl status sssdsssd.service - System Security Services Daemon Loaded: loaded (/usr/lib/systemd/system/sssd.service; enabled) Active: active (running) since Thu 2015-10-23 11:03:43 CEST; 5s ago [...]
4.2.2 缓存 #
为了允许用户在身份验证后端不可用时登录,SSSD 将使用其缓存,即使缓存已失效。这种情况会一直持续到后端再次可用。
要使缓存失效,请运行 sss_cache -E(命令 sss_cache 是软件包 sssd-tools 的一部分)。
要去除 SSSD 缓存,请运行:
>sudosystemctl stop sssd>sudorm -f /var/lib/sss/db/*>sudosystemctl start sssd