SSSD – Zentrale Benutzer- und Rechteverwaltung – Teil 1: Ein Überblick

Ein zentraler Ort, an dem Benutzer und Gruppen für diverse Systeme mit ihren jeweiligen Rechten verwaltet werden – der Traum eines Systemadministrators oder mögliche Realität? – Der System Security Service Daemon (SSSD) soll genau diesen Traum erfüllen. SSSD ist ein Client-Daemon, welcher die Kommunikation von Clients mit zentralen Verzeichnisdiensten, wie OpenLDAP oder Microsoft Active Directory, regelt.

Überblick

Der SSSD stellt die Schnittstelle zur Authentifizierung an Verzeichnisdiensten, dem Betriebssystem und anderen Anwendungen dar. So können Benutzer, Berechtigungen, Passwörter/Schlüssel und weitere Benutzereigenschaften an einem zentralen Ort gespeichert, verwaltet und über Anbindung an den SSSD auf dem System verwendet werden. Der Service entstand aus dem Red Hat Projekt FreeIPA (Identity, Policy and Audit).

Über die Konfigurationsdatei /etc/sssd/sssd.conf können diverse Module hinzugefügt werden. Je nach Konfiguration werden Services gestartet, über die der SSSD mit sshd, autofs und dem LDAP-Daemon kommunizieren kann. Ein großer Vorteil von SSSD ist, dass die Authentifizierungsinformationen gecached werden und so auch offline bei Netzwerkproblemen o.ä. verfügbar sind.

Module für interne Schnittstellen (Services)

Folgende Module können über die Konfigurationsdatei aktiviert werden:

NSS (Name Service Switch):
Informationen einzelner Services werden in einer bestimmten Reihenfolge (lokal/remote) bzw. (remote/lokal) gesucht. (bspw. Benutzer, Gruppen, Passwörter, Berechtigungen

PAM (Pluggable Authentication Modules):
Zur Authentifizierung am Betriebssystem.

SUDO:
Verwaltung der Sudo-Berechtigungen über LDAP.

SSH (Secure Shell):
Benutzer, Gruppen, Passwörter und Public Keys werden aus LDAP verwendet.

AUTOFS
Automatischer Mount bspw. der Home-Verzeichnisse per NFS.

Datenquellen für Posix-Informationen 

Der SSSD kann die Informationen zu den Benutzern von LDAP-Servern, Kerberos, FreeIPA, Active Directory (AD) und aus Dateien abrufen. Zudem ist es möglich, den SSSD als Proxy zur Weiterleitung zu verwenden. Dabei bietet SSSD die Möglichkeit, mehrere Datenquellen parallel zu verwenden, sodass, wenn ein Benutzer in dem einen Verzeichnisdienst nicht gefunden wurde, im Nächsten gesucht wird.

Fazit

Der SSSD bietet die Möglichkeit einer eleganten, zentralen Benutzerverwaltung. Insbesondere durch das AutoFS-Modul wird so die Möglichkeit geboten, dass viele unterschiedliche Benutzer auf wechselnden Systemen mit den gleichen Dateien und in gewohnter Umgebung arbeiten können. Durch das Caching können Benutzer auch ohne Serverzugriff auf das System zugreifen und es besteht keine direkte Abhängigkeit.

Ausblick

In diesem Artikel haben wir die grundsätzliche Funktionsweise und die Möglichkeiten des SSSD beschrieben. In einem Folgeartikel möchten wir genauer auf die Konfigurationsmöglichkeiten eingehen.