Аутентификация в системах на базе SSSD работает в два этапа: docs.redhat.com
- Подключение клиента к удалённому поставщику для получения информации об идентификации и аутентификации. docs.redhat.com
- Использование полученной информации для создания локального кэша пользователей и учётных данных на клиенте. docs.redhat.com
После этого пользователи локальной системы могут проходить аутентификацию с помощью учётных записей пользователей, которые хранятся в удалённом поставщике. docs.redhat.com
За аутентификацию в SSSD отвечает параметр auth_provider, который определяет, какой механизм используется для проверки подлинности. www.altlinux.org Поддерживаются следующие варианты: www.altlinux.org
- Поставщик данных Kerberos — для аутентификации через билеты Kerberos. www.altlinux.org Требует настройки authprovider = krb5. www.altlinux.org Для корректной работы его необходимо использовать совместно с поставщиком данных идентификации (например, idprovider = ldap). www.altlinux.org
- Поставщик данных LDAP. www.altlinux.org Чтобы аутентифицироваться на сервере LDAP, требуется TLS/SSL или LDAPS. www.altlinux.org SSSD не поддерживает аутентификацию через незащищённый канал. www.altlinux.org
- Поставщик данных Active Directory — это внутренний сервер, который используется для подключения к серверу Active Directory. www.altlinux.org Обмен данными с внутренним сервером выполняется по каналу с шифрованием GSSAPI. www.altlinux.org
- Поставщик IPA — это серверная часть, используемая для подключения к серверу IPA. www.altlinux.org Этот поставщик требует, чтобы компьютер был подключён к домену IPA; конфигурация почти полностью определяется автоматически и получается непосредственно с сервера. www.altlinux.org
По умолчанию SSSD не кэширует аутентификационные данные пользователей (пароль в виде хэша). www.altlinux.org Чтобы пользователи могли входить в систему, даже если провайдер идентификации недоступен, можно включить кэширование учётных данных, установив параметр cache_credentials = true в файле /etc/sssd/sssd.conf. www.altlinux.org