SSSD für lokale Benutzerdaten

Busanbindung

Der Zugriff auf Benutzer- und Gruppen-Informationen kann unter Umständen eine recht kostspielige Aktion werden, wenn er ein zentrales Directory oder Dateien einbezieht. Mit Caches lässt sich die Performance dieser Zugriffe steigern. Dies gilt aber nicht unbedingt in allen Fällen. Dieser Open-Source-Tipp nimmt daher den neuen FILES-Provider des System Security Services Daemon näher unter die Lupe.
Die digitale Kommunikation ist heute in Firmen Alltag. Administratoren müssen die hierfür passenden Plattformen bereitstellen. Welche Möglichkeiten sich ... (mehr)

Im letzten Monat ging es an dieser Stelle darum, wie die beiden Tools authconfig und authselect mit Hilfe vordefinierter Profile die Konfiguration des Name-Service-Switches (NSS) und des PAM-Frameworks (Pluggable Authentication Module) vornehmen können. Der System Security Services Daemon (SSSD) ist einer der verfügbaren Identity- und Authentication-Provider für das Tool authselect. Der Service bietet hierfür verschiedene Backend-Provider, um einen Zugriff auf unterschiedliche Systeme zu ermöglichen. Hierzu zählen beispielsweise reguläre LDAP-Server, aber auch Active Directory oder das Open-Source-Identity-Management-Framework FreeIPA. Für die zugreifenden Clients stellt der Service ein NSS- und PAM-Interface zur Verfügung.

Informationen, die der SSSD von den Backend-Systemen bezieht, werden zuerst in einen Cache geschrieben und gelangen erst dann zu den anfragenden Clients. Bei einem weiteren Zugriff auf die gleiche Information kann die Abfrage somit direkt mit den Daten aus dem Cache beantwortet werden, ohne dass hierfür ein erneuter Zugriff auf das Backend notwendig ist. Allerdings gilt dies natürlich nur für die Daten, die der SSSD zur Verfügung stellt.

Lokale Files mit SSSD

Die Konfigurationsdatei des NSS ("/etc/nsswitch.conf"), zeigt meist Folgendes:

$ egrep '(^(passwd|group|))' /etc/nsswitch.conf
passwd: files sss
group: files sss

Im Klartext bedeutet dies, dass sämtliche lokalen Konten, die über einen Eintrag in der Datei "/etc/passwd" beziehungsweise "/etc/group" verfügen, erst gar nicht in den SSSD-Stack gelangen und somit auch nicht in seinen Cache wandern. Da der Einsatz eines anderes Cache, wie beispielsweise NSCD, nicht empfohlen ist, da es zu Konflikten mit dem SSSD-eigenen Cache kommen kann, geht dies somit zu Lasten der Performance für alle Zugriffe

...

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.

comments powered by Disqus

Artikel der Woche

Setup eines Kubernetes-Clusters mit Kops

Vor allem für Testinstallationen von Kubernetes gibt es einige Lösungen wie Kubeadm und Minikube. Für das Setup eines Kubernetes-Clusters in Cloud-Umgebungen hat sich Kops als Mittel der Wahl bewährt. Wir beschreiben seine Fähigkeiten und geben eine Anleitung für den praktischen Einsatz. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Container

Wie setzen Sie Container ein?

  • Gar nicht
  • Docker standalone
  • Docker mit Kubernetes
  • Docker mit Swarm
  • Docker mit anderem Management
  • LXC/LXD
  • Rocket
  • CRI-O auf Kubernetes
  • Container auf vSphere
  • Andere (siehe Kommentare auf der Ergebnisseite)

Google+

Ausgabe /2018

Microsite