SSSD-系统安全服务守护进程

参考url:http://blog.sina.com.cn/s/blog_588c88cb0100ywoh.html

SSSD是红帽企业版Linux6中新加入的一个守护进程,该进程可以用来访问多种验证服务器,如LDAP,Kerberos等,并提供授权。SSSD是 介于本地用户和数据存储之间的进程,本地客户端首先连接SSSD,再由SSSD联系外部资源提供者(一台远程服务器)。

这样做有一些几点优势:

1.避免了本地每个客户端程序对认证服务器大量连接,所有本地程序仅联系SSSD,由SSSD连接认证服务器或SSSD缓存,有效的降低了负载。

2.允许离线授权。SSSD可以缓存远程服务器的用户认证身份,这允许在远程认证服务器宕机是,继续成功授权用户访问必要的资源。

SSSD无需特殊设置即可运行,当你配置完system-configure-authentication后该服务会自己运行。

SSSD默认配置文件位于/etc/sssd/sssd.conf,你可以通过命令使得SSSD以指定的配置文件运行:

# sssd  --c  /etc/sssd/customfile.conf

配置文件格式如下,

关键字=键值

#####################################################

##  [section]                                      ##

##  key1 = value1                                  ##

##  key2 = value2,value3                           ##

#####################################################

管理SSSD进程

service  sssd  start 开启

service  sssd  stop 关闭

使用authconfig命令开启SSSD: # authconfig  --enablesssd  --update

使用systemctl命令开启SSSD:  # systemctl  enable  sssd

总结:简单来说现在在RHEL6中连接LDAP或Kerberos等认证服务器,都是先有SSSD连接认证服务器取得认证与授权信息,再交于本地客户端程序。

参考url:http://www.myhack58.com/Article/48/66/2015/64247.htm

sssd是一款用以取代ldap和AD的软件,配置比较简单。
本文介绍如何在ldap客户端部署sssd,来启用ldap认证。
- 安装sssd
="font-size:16px;">yum install sssd
yum remove pam_ldap samba*/span>
安装sssd,并卸载pam_ldap和samba相关的包
- 配置/etc/sssd/sssd.conf
="font-size:16px;">[sssd]
config_file_version = 2
services = nss, pam
domains = LDAP
[nss]
filter_users = backup, bin, daemon, games, gnats, irc, landscape, libuuid, list, lp, mail, man, messagebus, news, ntp, proxy, root, smmsp, smmta, sshd, sync, sys, syslog, uucp, whoopsie, www-data, dw_adm
[pam]/span>
="font-size:16px;">[domain/LDAP]
id_provider = ldap
auth_provider = ldap
cache_credentials = TRUE
debug_level = 1
ldap_uri = ldaps://ldap.vip
#ldap_uri = ldaps://10.8.8.8, ldaps://10.8.8.9
ldap_search_base = dc=example,dc=com
#ldap_schema = rfc2307bis
ldap_default_bind_dn = uid=proxyagent,ou=Special_Users,dc=example,dc=com
ldap_default_authtok_type = password
ldap_default_authtok = gafn01n0w
ldap_tls_reqcert = never
ldap_id_use_start_tls = true
ldap_netgroup_search_base = ou=Netgroup,ou=example.com,ou=services,dc=example,dc=com?one?
ldap_user_search_base = ou=People,dc=example,dc=com?sub?organizationalStatus=active
ldap_group_search_base = ou=Group,dc=example,dc=com?sub?
cache_credentials = true
enumerate = false
entry_cache_timeout = 5400
ldap_uri指向你的LDAP服务器,这里用的是域名,也可以是IP地址,DOMANI也可以配置多个域,一般只需要配置一个就可以了。
- 配置/etc/nsswitch.conf 
配置好sssd.conf后就要配置/etc/nsswitch.conf 来告诉name service switch需要查找那些地方来给登录的用户服务了。
="font-size:16px;">passwd:      files  sss
shadow:      files  sss
group:       files  sss
netgroup:     files  sss/span>
files sss 表示先查找/etc/passwd, /etc/group等文件,没有的话再查找sss模块。
- 修改/etc/nscd.conf
最后一步, 如果开启了nscd服务,要禁用passwd和group cache的功能。
="font-size:16px;">enable-cache            passwd          no
enable-cache            group           no
enable-cache            netgroup        no/span>
- 最后开启sssd服务
/etc/init.d/sssd start

时间: 2024-08-04 20:06:59

SSSD-系统安全服务守护进程的相关文章

Linux系统编程之--守护进程的创建和详解【转】

本文转载自:http://www.cnblogs.com/mickole/p/3188321.html 一,守护进程概述 Linux Daemon(守护进程)是运行在后台的一种特殊进程.它独立于控制终端并且周期性地执行某种任务或等待处理某些发生的事件.它不需要用户输入就能运行而且提供某种服务,不是对整个系统就是对某个用户程序提供服务.Linux系统的大多数服务器就是通过守护进程实现的.常见的守护进程包括系统日志进程syslogd. web服务器httpd.邮件服务器sendmail和数据库服务器

[视频教程] ubuntu系统下以守护进程方式安装使用Redis

直接访问redis的中国官网,在下载部分,可以看到安装和使用的方式.wget http://download.redis.io/releases/redis-5.0.4.tar.gztar xzf redis-5.0.4.tar.gzcd redis-5.0.4make./src/redis-server 默认启动是使用的前台任务的形式,一旦关闭就退出服务了,需要修改成以后台守护进程的方式运行.修改目录下的redis.conf配置文件,把daemonize no改成daemonize yes,然

写一个Windows上的守护进程(6)Windows服务

写一个Windows上的守护进程(6)Windows服务 守护进程因为要开机启动,还要高权限,所以我就把它做成Windows服务了. 关于Windows服务的官方文档,大家可以看https://msdn.microsoft.com/en-us/library/windows/desktop/ms686953(v=vs.85).aspx. 总的来说,服务的行为区别于普通应用程序的地方有以下几点: 1. 一般来说,服务是运行于System用户下的,当然也可以自己指定.也就是说服务可以在无用户登录的情

系统权限服务创建桌面进程(进程也是系统权限)

系统权限服务,创建进程. 一丶简介 为什么要创建系统权限服务.首先.强调权限一说. 我们创建的系统服务默认是系统权限的.然后系统权限(System)创建我们的进程.那么也是系统权限.我们的进程如果要注入到Explorer.exe中就很简单了. 二丶创建服务的几个步骤 1.编写服务步骤 1.main函数中注册服务的入口函数(servicemain)并开始派发 2.服务入口函数注册服务控制函数.并且设置自己的服务状态 3.服务控制函数回调的处理 1.1 main函数注册服务入口函数 int main

Linux 守护进程和超级守护进程(xinetd)

一 .Linux守护进程 Linux 服务器在启动时需要启动很多系统服务,它们向本地和网络用户提供了Linux的系统功能接口,直接面向应用程序和用户.提供这些服务的程序是由运行在后台的守护进程来执行的. 守护进程是生存期长的一种进程.它们独立于控制终端并且周期性的执行某种任务或等待处理某些发生的事件.他们常常在系统引导装入时启动,在系统关闭时终止. linux系统有很多守护进程,大多数服务器都是用守护进程实现的.同时,守护进程完成许多系统任务,比如,作 业规划进程crond.打印进程lqd等.有

《APUE》读书笔记第十三章-守护进程

守护进程 守护进程是生存期较长的一种进程,它们常常在系统自举时启动,仅在系统关闭时才终止.因为它们没有控制终端,所以说它们是在后台运行的.UNIX系统由很多守护进程,它们执行日常事务活动. 本章主要介绍守护进程的结构,以及如何编写守护进程程序和守护进程如何报告错误情况. 一.守护进程的编程规则 (1)首先要做的是调用umask将文件模式创建屏蔽字设置为0.这是由于继承得来的文件模式创建屏蔽字可能会拒绝设置某些权限. (2)调用fork,然后使父进程退出(exit). (3)调用setsid以创建

Linux 守护进程的原理与实现

一.守护进程概述 在linux或者unix操作系统中在系统的引导的时候会开启很多服务,这些服务就叫做守护进 程.为了增加灵活性,root可以选择系统开启的模式,这些模式叫做运行级别,每一种运行级别以一定的方式配置系统. 守护进程是脱离于终端并且在后台运行的进程.守护进程脱离于终端是为了避免进程在执行过程中的信息在任何终端上显示并且进程也不会被任何终端所产生的终端 信息所打断. 二.守护进程简介 守护进程,也就是通常说的Daemon进程,是Linux中的后台服务进程.它是一个生存期较长 的进程,通

《Unix环境高级编程》读书笔记 第13章-守护进程

1. 引言 守护进程是生存期长的一种进程.它们常常在系统引导装入时启动,仅在系统关闭时才终止.它们没有控制终端,在后台运行. 本章说明守护进程结构.如何编写守护进程程序.守护进程如何报告出错情况. 2. 守护进程的特征 基于BSD的系统下执行:ps -axj -a 显示由其他用户所拥有的进程的状态:-x 显示没有控制终端的进程状态:-j 显示与作业有关的信息 基于System V的系统下执行:ps -efj Linux下执行以上两个命令输出一致 常见的守护进程: kswapd,内存换页守护进程.

第十三章:守护进程

13.1:引言 守护进程也称精灵进程(daemon)是生存期较长的一种进程.它们常常在系统自举时启动,尽在系统关闭时才终止.因为它们没有控制终端,所以说它们是在后台运行的.Unixi有很多守护进程,它们执行日常事务活动. 13.2:守护进程的特征 查看守护进程: ps -axj 注意: 大多数守护进程都以超级用户特权运行.没有一个守护进程拥有控制终端,其终端名设置为问号(?),终端前台进程组ID设置为-1.内核守护进程以无控制终端方式启动.用户层守护进程缺少控制终端可能是守护进程调用了setsi