跳转到内容跳转到页面导航:上一页 [访问键 p]/下一页 [访问键 n]
安全与加固指南 › 身份验证 › 使用 YaST 设置身份验证客户端
目录目录
安全和加固指南
  1. 前言
  2. 1 安全性和机密性
  3. I 身份验证
    1. 2 使用 PAM 进行身份验证
    2. 3 使用 NIS
    3. 4 使用 YaST 设置身份验证客户端
    4. 5 使用 389 Directory Server 的 LDAP
    5. 6 使用 Kerberos 进行网络身份验证
    6. 7 Active Directory 支持
    7. 8 设置 freeRADIUS 服务器
  4. II 本地安全
    1. 9 物理安全
    2. 10 软件管理
    3. 11 文件管理
    4. 12 加密分区和文件
    5. 13 使用 cryptctl 加密托管应用程序的存储
    6. 14 用户管理
    7. 15 限制 cronat
    8. 16 Spectre/Meltdown 检查器
    9. 17 使用 YaST 配置安全设置
    10. 18 Polkit 身份验证框架
    11. 19 Linux 中的访问控制列表
    12. 20 使用 AIDE 进行入侵检测
  5. III 网络安全
    1. 21 X Window 系统和 X 身份验证
    2. 22 使用 OpenSSH 保护网络操作
    3. 23 伪装和防火墙
    4. 24 配置 VPN 服务器
    5. 25 使用 XCA、X 证书和密钥管理器管理 PKI
    6. 26 使用 sysctl 变量改进网络安全
  6. IV 使用 AppArmor 限制权限
    1. 27 介绍 AppArmor
    2. 28 入门
    3. 29 免疫程序
    4. 30 配置文件组件和语法
    5. 31 AppArmor 配置文件仓库
    6. 32 使用 YaST 构建和管理配置文件
    7. 33 从命令行构建配置文件
    8. 34 使用 ChangeHat 分析 Web 应用程序
    9. 35 使用 pam_apparmor 限制用户
    10. 36 管理配置文件的应用程序
    11. 37 支持
    12. 38 AppArmor 词汇表
  7. V SELinux
    1. 39 配置 SELinux
  8. VI Linux 审计框架
    1. 40 理解 Linux 审计
    2. 41 设置 Linux 审计框架
    3. 42 介绍审计规则集
    4. 43 有用的资源
  9. A GNU 许可协议
导航
安全与加固指南 › 身份验证 › 使用 YaST 设置身份验证客户端
顶部
适用于 openSUSE Leap 15.6

4 使用 YaST 设置身份验证客户端 编辑源文件

摘要

Kerberos 用于身份验证,LDAP 用于授权和标识。两者可以协同工作。有关 LDAP 的更多信息,请参阅 第 5 章,LDAP 与 389 目录服务器,有关 Kerberos 的更多信息,请参阅 第 6 章,使用 Kerberos 进行网络身份验证

4.1 使用 YaST 配置身份验证客户端
4.2 SSSD

4.1 使用 YaST 配置身份验证客户端 编辑源文件

YaST 允许使用不同的模块设置客户端身份验证

  • 用户登录管理。  使用身份服务(通常是 LDAP)和用户身份验证服务(通常是 Kerberos)。此选项基于 SSSD,并且在大多数情况下最适合加入 Active Directory 域。第 7.3.2 节,“使用用户登录管理加入 Active Directory” 中有描述。

  • Windows 域成员身份。  加入 Active Directory(这需要使用 Kerberos 和 LDAP)。此选项基于 winbind,最适合加入 Active Directory 域,如果需要对 NTLM 或跨林信任的支持,则最适合。

    此模块在 第 7.3.3 节,“使用Windows 域成员身份加入 Active Directory” 中有描述。

YaST 的两个模块基于 SSSD:用户登录管理LDAP 和 Kerberos 身份验证

SSSD 代表系统安全服务守护程序。SSSD 与提供用户数据的远程目录服务通信,并提供身份验证方法,例如 LDAP、Kerberos 或 Active Directory (AD)。它还提供 NSS(名称服务切换)和 PAM(可插拔身份验证模块)接口。

SSSD 可以本地缓存用户数据,然后允许用户使用该数据,即使实际目录服务不可用(暂时)。

4.2.1 检查状态 编辑源文件

运行 YaST 身份验证模块之一后,可以使用以下命令检查 SSSD 是否正在运行

# systemctl status sssd
sssd.service - System Security Services Daemon
   Loaded: loaded (/usr/lib/systemd/system/sssd.service; enabled)
   Active: active (running) since Thu 2015-10-23 11:03:43 CEST; 5s ago
   [...]

4.2.2 缓存 编辑源文件

为了允许在身份验证后端不可用时登录,SSSD 即使在缓存失效后也会使用其缓存。这种情况会一直持续到后端再次可用为止。

要使缓存失效,请运行 sss_cache -E(命令 sss_cachesssd-tools 包的一部分)。

要删除 SSSD 缓存,请运行

> sudo systemctl stop sssd
> sudo rm -f /var/lib/sss/db/*
> sudo systemctl start sssd
第 5 章 LDAP 与 389 目录服务器第 3 章 使用 NIS
打印此页面

© 2024 SUSE