SSSD für lokale Benutzerdaten

Busanbindung

Der Zugriff auf Benutzer- und Gruppen-Informationen kann unter Umständen eine recht kostspielige Aktion werden, wenn er ein zentrales Directory oder Dateien einbezieht. Mit Caches lässt sich die Performance dieser Zugriffe steigern. Dies gilt aber nicht unbedingt in allen Fällen. Dieser Open-Source-Tipp nimmt daher den neuen FILES-Provider des System Security Services Daemon näher unter die Lupe.
Die digitale Kommunikation ist heute in Firmen Alltag. Administratoren müssen die hierfür passenden Plattformen bereitstellen. Welche Möglichkeiten sich ... (mehr)

Im letzten Monat ging es an dieser Stelle darum, wie die beiden Tools authconfig und authselect mit Hilfe vordefinierter Profile die Konfiguration des Name-Service-Switches (NSS) und des PAM-Frameworks (Pluggable Authentication Module) vornehmen können. Der System Security Services Daemon (SSSD) ist einer der verfügbaren Identity- und Authentication-Provider für das Tool authselect. Der Service bietet hierfür verschiedene Backend-Provider, um einen Zugriff auf unterschiedliche Systeme zu ermöglichen. Hierzu zählen beispielsweise reguläre LDAP-Server, aber auch Active Directory oder das Open-Source-Identity-Management-Framework FreeIPA. Für die zugreifenden Clients stellt der Service ein NSS- und PAM-Interface zur Verfügung.

Informationen, die der SSSD von den Backend-Systemen bezieht, werden zuerst in einen Cache geschrieben und gelangen erst dann zu den anfragenden Clients. Bei einem weiteren Zugriff auf die gleiche Information kann die Abfrage somit direkt mit den Daten aus dem Cache beantwortet werden, ohne dass hierfür ein erneuter Zugriff auf das Backend notwendig ist. Allerdings gilt dies natürlich nur für die Daten, die der SSSD zur Verfügung stellt.

Lokale Files mit SSSD

Die Konfigurationsdatei des NSS ("/etc/nsswitch.conf"), zeigt meist Folgendes:

$ egrep '(^(passwd|group|))' /etc/nsswitch.conf
passwd: files sss
group: files sss

Im Klartext bedeutet dies, dass sämtliche lokalen Konten, die über einen Eintrag in der Datei "/etc/passwd" beziehungsweise "/etc/group" verfügen, erst gar nicht in den SSSD-Stack gelangen und somit auch nicht in seinen Cache wandern. Da der Einsatz eines anderes Cache, wie beispielsweise NSCD, nicht empfohlen ist, da es zu Konflikten mit dem SSSD-eigenen Cache kommen kann, geht dies somit zu Lasten der Performance für alle Zugriffe

...

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.

comments powered by Disqus
Mehr zum Thema

Mapping von Benutzer-IDs

Posix-Attribute sind fest an ein Benutzerkonto gebunden und helfen bei der Identifikation des Benutzers. Bei der Migration von einem Identity-Management-System zu einem anderen kann jedoch gerade dieser Umstand zu Problemen führen. Mit Hilfe von ID-Views lassen sich diese jedoch recht leicht in den Griff bekommen.

Artikel der Woche

Rechneranalyse mit Microsoft-Sysinternals-Tools

Der Rechner verhält sich eigenartig oder Sie haben eine unbekannte Applikation im Task Manager entdeckt und möchten erfahren, worum es sich dabei genau handelt und ob sie möglicherweise gefährlich ist? In so einem Fall helfen die Sysinternals-Tools von Microsoft. Dieser Beitrag stellt die drei Werkzeuge Autoruns, Process Explorer und TCPView vor. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Google+

Ausgabe /2018