SSSD für lokale Benutzerdaten

Im letzten Monat ging es an dieser Stelle darum, wie die beiden Tools authconfig und authselect mit Hilfe vordefinierter Profile die Konfiguration des Name-Service-Switches (NSS) und des PAM-Frameworks (Pluggable Authentication Module) vornehmen können. Der System Security Services Daemon (SSSD) ist einer der verfügbaren Identity- und Authentication-Provider für das Tool authselect. Der Service bietet hierfür verschiedene Backend-Provider, um einen Zugriff auf unterschiedliche Systeme zu ermöglichen. Hierzu zählen beispielsweise reguläre LDAP-Server, aber auch Active Directory oder das Open-Source-Identity-Management-Framework FreeIPA. Für die zugreifenden Clients stellt der Service ein NSS- und PAM-Interface zur Verfügung.

Informationen, die der SSSD von den Backend-Systemen bezieht, werden zuerst in einen Cache geschrieben und gelangen erst dann zu den anfragenden Clients. Bei einem weiteren Zugriff auf die gleiche Information kann die Abfrage somit direkt mit den Daten aus dem Cache beantwortet werden, ohne dass hierfür ein erneuter Zugriff auf das Backend notwendig ist. Allerdings gilt dies natürlich nur für die Daten, die der SSSD zur Verfügung stellt.

Lokale Files mit SSSD

Die Konfigurationsdatei des NSS ("/etc/nsswitch.conf"), zeigt meist Folgendes:

$ egrep '(^(passwd|group|))' /etc/nsswitch.conf

passwd: files sss

group: files sss

Im Klartext bedeutet dies, dass sämtliche lokalen Konten, die über einen Eintrag in der Datei "/etc/passwd" beziehungsweise "/etc/group" verfügen, erst gar nicht in den SSSD-Stack gelangen und somit auch nicht in seinen Cache wandern. Da der Einsatz eines anderes Cache, wie beispielsweise NSCD, nicht empfohlen ist, da es zu Konflikten mit dem SSSD-eigenen Cache kommen kann, geht dies somit zu Lasten der Performance für alle Zugriffe

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.