GNU/Linux >> Belajar Linux >  >> Cent OS

Pengertian System Security Services Daemon (SSSD)

System Security Services Daemon (SSSD) menyediakan akses ke identitas jarak jauh dan penyedia otentikasi. Penyedia dikonfigurasi sebagai ujung belakang dengan SSSD bertindak sebagai perantara antara klien lokal dan penyedia ujung belakang yang dikonfigurasi. Klien lokal terhubung ke SSSD dan kemudian SSSD menghubungi penyedia. Manfaat SSSD meliputi:

  • Berkurangnya beban :Klien tidak perlu menghubungi server identifikasi/otentikasi secara langsung; mereka hanya perlu menghubungi SSSD.
  • Otentikasi offline :SSSD dapat, secara opsional, menyimpan cache identitas dan kredensial pengguna, memungkinkan pengguna untuk mengautentikasi secara offline.
  • Akun pengguna tunggal :SSSD memelihara kredensial jaringan, memungkinkan pengguna untuk terhubung ke sumber daya jaringan dengan mengautentikasi dengan nama pengguna lokal mereka di mesin lokal mereka.

Memasang SSSD

Instal paket SSSD berikut:

# yum install sssd sssd-client

Untuk menyebabkan SSSD memulai saat sistem melakukan booting, masukkan salah satu dari berikut ini:

# systemctl enable sssd
# authconfig --enablesssd --update

Mengonfigurasi Layanan SSSD

File konfigurasi utama untuk SSSD adalah /etc/sssd/sssd.conf . Layanan dan domain SSSD dikonfigurasikan di bagian terpisah dari file ini, masing-masing dimulai dengan nama bagian dalam tanda kurung siku. Berikut ini adalah contohnya:

[sssd]
[nss]
[pam]

[sssd] Bagian

Fungsionalitas SSSD disediakan oleh layanan khusus yang berjalan bersama dengan SSSD. Layanan khusus ini dimulai dan dimulai kembali oleh layanan khusus yang disebut "monitor". Opsi monitor dan domain identitas dikonfigurasi di bagian [sssd] dari /etc/sssd/sssd.conf. Berikut ini contohnya:

[sssd]
domains = LDAP
services = nss, pam

Arahan domain dapat mendefinisikan beberapa domain. Masukkan mereka dalam urutan yang Anda inginkan untuk ditanyakan. Arahan layanan mencantumkan layanan yang dimulai saat SSD itu sendiri dimulai.

Bagian Layanan

Setiap layanan khusus yang berjalan bersama dengan SSSD dikonfigurasikan di bagian terpisah di /etc/sssd/sssd.conf. Misalnya, bagian [nss] digunakan untuk mengonfigurasi layanan Name Service Switch (NSS). Bagian [pam] digunakan untuk mengkonfigurasi layanan PAM.

1. Mengonfigurasi Layanan NSS

Termasuk dalam paket sssd adalah modul NSS, sssd_nss, yang menginstruksikan sistem untuk menggunakan SSSD untuk mengambil informasi pengguna. Ini dikonfigurasi di bagian [nss] dari /etc/sssd/sssd.conf. Berikut ini adalah contoh yang hanya menyertakan sebagian daftar arahan yang dapat dikonfigurasi:

[nss]
filter_groups = root
filter_users = root
reconnection_retries = 3
entry_cache_timeout = 300

Direktif filter_users dan filter_groups memberi tahu SSSD untuk mengecualikan pengguna dan grup tertentu agar tidak diambil dari database NSS. Arahan reconnection_retries menentukan berapa kali upaya untuk menyambung kembali jika penyedia data mogok. Direktif enum_cache_timeout menentukan, dalam hitungan detik, berapa lama cache sssd_nss meminta informasi tentang semua pengguna.

2. Mengonfigurasi Layanan PAM

Paket sssd juga menyediakan modul PAM, sssd_pam, yang dikonfigurasi di bagian [pam] dari /etc/sssd/sssd.conf. Berikut ini adalah contoh yang hanya menyertakan sebagian daftar arahan yang dapat dikonfigurasi:

[pam]
reconnection_retries = 3
offline_credentials_expiration = 2
offline_failed_login_attempts = 3
offline_failed_login_delay = 5

offline_credentials_expiration direktif menentukan, dalam hari, berapa lama untuk mengizinkan login yang di-cache jika penyedia otentikasi sedang offline.
offline_failed_login_attempts direktif menentukan berapa banyak upaya login yang gagal yang diizinkan jika penyedia otentikasi sedang offline.

Untuk memperbarui konfigurasi PAM untuk mereferensikan semua modul SSSD, gunakan perintah authconfig sebagai berikut untuk mengaktifkan SSSD untuk otentikasi sistem:

# authconfig --update --enablesssd --enablesssdauth

Perintah ini membuat file konfigurasi PAM secara otomatis untuk menyertakan entri pam_sss.so yang diperlukan.

Mengonfigurasi Domain SSSD

Domain SSSD adalah kombinasi dari penyedia identitas dan metode otentikasi. SSSD bekerja dengan penyedia identitas LDAP (termasuk OpenLDAP, Red Hat Directory Server, dan Microsoft Active Directory) dan dapat menggunakan autentikasi LDAP asli atau autentikasi Kerberos. Saat mengonfigurasi domain, Anda menentukan di mana informasi pengguna disimpan dan bagaimana pengguna tersebut diizinkan untuk mengautentikasi ke sistem.

Mirip dengan layanan SSSD, domain SSSD juga dikonfigurasi di bagian terpisah dari file /etc/sssd/sssd.conf. Layanan dan domain diidentifikasi di bagian [sssd]. Contoh:

[sssd]
domains = LDAP
services = nss, pam

Contoh ini menentukan domain LDAP. Bagian domain dari konfigurasi akan dimulai dengan header berikut:

[domain/LDAP]

Bagian konfigurasi domain kemudian akan menentukan penyedia identitas, penyedia otentikasi, dan konfigurasi khusus apa pun untuk mengakses informasi di penyedia tersebut.

Berikut ini adalah contoh bagian domain:

[domain/LDAP]
id_provider = ldap
ldap_uri = ldap://ldap.example.com
ldap_search_base = dc=example,dc=com
auth_provider = krb5
krb5_server = kerberos.example.com
krb5_realm = EXAMPLE.COM
min_id = 10000
max_id = 20000

Penyedia Identitas

Id_provider menentukan identitas penyedia data di bagian belakang yang akan digunakan untuk domain ini. Bagian belakang yang didukung adalah:

  • proksi :Mendukung penyedia NSS lawas
  • lokal :Penyedia lokal internal SSD
  • ldap :penyedia LDAP

ldap_uri direktif memberikan daftar URI (Universal Resource Identifiers) server LDAP yang dipisahkan koma, dalam urutan preferensi, ke mana SSSD terhubung.
ldap_search_base direktif memberikan DN dasar yang akan digunakan untuk melakukan operasi pengguna LDAP.

Penyedia Otentikasi

Arahan auth_provider menentukan penyedia otentikasi yang digunakan untuk domain. Jika tidak ditentukan, id_provider digunakan. Penyedia otentikasi yang didukung adalah:

  • ldap :Otentikasi LDAP asli
  • krb5 :Otentikasi Kerberos
  • proksi :Menyampaikan autentikasi ke beberapa target PAM lainnya
  • tidak ada :Menonaktifkan autentikasi secara eksplisit

krb5_server direktif memberikan daftar server Kerberos yang dipisahkan koma, dalam urutan preferensi, ke mana SSSD terhubung.
krb5_realm direktif memberikan ranah Kerberos untuk digunakan untuk otentikasi Simple Authentication and Security Layer (SASL)/Generic Security Services API (GSS-API). Konfigurasi koneksi SASL dengan menggunakan GSS-API diperlukan sebelum SSSD dapat menggunakan Kerberos untuk terhubung ke server LDAP.
– Dua arahan terakhir, min_id dan max_id , adalah contoh atribut global yang tersedia untuk semua jenis domain. Atribut lainnya termasuk pengaturan cache dan timeout. Kedua arahan ini menentukan batas UID dan GID untuk domain. Jika domain berisi entri yang berada di luar batas ini, maka akan diabaikan.

Mulai atau mulai ulang layanan sssd setelah membuat perubahan konfigurasi apa pun pada domain atau layanan:

# systemctl start sssd


Cent OS

  1. 7 Tips Pengerasan Keamanan Teratas untuk Server CentOS 8 / RHEL 8

  2. Memahami sistem file Btrfs di Fedora Linux

  3. Keamanan Linux:8 kontrol penguncian sistem lainnya

  1. Bagaimana Anda Dapat Melindungi Komputer Anda?

  2. Menyeimbangkan keamanan Linux dengan kegunaan

  3. RHEL 7 – RHCSA Catatan :Konfigurasikan sistem untuk menggunakan layanan waktu

  1. Memahami deamon DM-multipath (multipathd)

  2. Memahami Sistem File sysfs (/ sys) di Linux

  3. Memahami Sistem File /proc