关于 nscd,nslcd 和 sssd 套件的综述

最新推荐文章于 2025-02-11 11:45:50 发布
最新推荐文章于 2025-02-11 11:45:50 发布
阅读量9.5k 收藏 7
点赞数 1
分类专栏: 『实战- LDAP』
原文链接:http://coldbloodx.blog.sohu.com/306407471.html
版权
本文详细对比了nslcd与nscd的服务功能与配置要点,阐述了它们在处理LDAP查询及缓存上的差异,并讨论了在RedHat与Debian系统中的配置实践。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >


关于 nscd,nslcd 和 sssd 套件的综述

旧式libnss_ldap和pam_ldap的库文件:
/lib/x86_64-linux-gnu/libnss_ldap-2.13.so
/lib/x86_64-linux-gnu/security/pam_ldap.so

新式libnss_ldapd和libpam_ldapd(即nslcd)的库文件:
/lib/x86_64-linux-gnu/libnss_ldap.so.2
/lib/x86_64-linux-gnu/security/pam_ldap.so

套件sssd自带的libnss_sss和pam_sss库文件:
/lib/libnss_sss.so.2
/lib/security/pam_sss.so


********************************************************************************
注意:不要混淆了 nscd 和 nslcd(local LDAP name service daemon)两个完全不同的服务
********************************************************************************
nslcd(即nss-pam-ldapd)本身包括了一个瘦身版本的 PAM 模块和一个瘦身版本的 NSS 模块,
但您依然可以单独构建这三个部分(NSS 模块,PAM 模块和 nslcd server),这意味着您
依然还可以使用 pam_ldap 套件和使用来自 nss-pam-slapd 套件的NSS模块,但目前此套件
不能与nss_ldap套件在同一个系统中同时并行使用。

nslcd 套件的正式名称是 Daemon for NSS and PAM lookups using LDAP(nss-pam-ldapd),
它最初由PADL软件公司的Luke Howard开发,作为 nss_ldap 的分支,名为 nss-ldapd 套件。
2006年,West Consulting 的  Arthur de Jong 将这个库分成 NSS 部分和 server 部分并
重写了大部分代码。当 OpenLDAP 的 nssov 模块的 Howard Chu 贡献出 PAM 代码时,这个
软件被重新命名为 nss-pam-ldapd 套件。但在 RedHat 和 Debian 中此套件有不同的名称:

CentOS:  nss-pam-ldapd  - An nsswitch module which uses directory servers
Ubuntu:  nslcd  - Daemon for NSS and PAM lookups using LDAP

nslcd自带pam模块,因此完全不需要配置/etc/pam.d/目录下的服务,它不用ldap.conf配置
文件,而使用自己的配置文件/etc/nslcd.conf配置LDAP的访问参数。而且,nslcd.conf 的
预设map可以正常使用(即用RFC2307预设标准:ou=people对应用户, ou=Groups对应群组),
因此,您无需在/etc/nslcd.conf文档中手工配置nss_base_passwd和nss_base_group等映射,
除非您的LDAP数据库本身使用了非RFC2307标准的用户结构。

因此,要使用 nslcd 服务,还需要针对LDAP服务器进行配置, 使用 authconfig-tui 命令
也会自动配置 nslcd 的配置文件(/etc/nslcd.conf)。而 nscd 只有通用的缓存定义的配置,
一般情况下无需调整其配置文件(/etc/nscd.conf)。

注意,nslcd 并没有缓存的功能,它是专门为本地处理有关 LDAP 名称服务查询的后台进程,
查询结果依然由 nscd 缓存。(This package provides a daemon for retrieving user
account, and other system information from LDAP. It is used by the libnss-ldapd
and libpam-ldapd packages but by itself is not very useful)。

man nscd;
--------------------------------------------------------------------------------
/usr/sbin/nscd - name service cache daemon

Nscd is a daemon that provides a cache for the most common name service requests.
Default configuration /etc/nscd.conf determines the behavior of the cache daemon.

Nscd provides caching for: passwd, group, hosts databases through standard libc
interfaces (getpwnam, getpwuid, getgrnam, getgrgid, gethostbyname, and others).

There are two caches for each database:
  * a positive one for items found, and
  * a negative one for items not found. 

Each cache has a separate TTL (time-to-live) period for its data.
Note that the shadow file is specifically not cached.
--------------------------------------------------------------------------------

因此,您可以停止 nscd 进程,这样相关查询会自动绕过缓存,直接向相关的名称服务递交
查询请求(例如关于LDAP的查询请求则会直接查询nslcd后端进程)。 但是,如果您停止了
nslcd后台进程,如果相关记录的TTL又已经到期了,那么查询就会返回错误的结果。在默认
的设置下,密码的 positive-time-to-live 设为600秒,negative-time-to-live则为20秒。

如果修改了/etc/nsswitch.conf文件,相关影响会稍为延后才起作用,但您可以用如下命令
令nscd后台进程立即无效化其缓存记录,例如: nscd -i passwd;  您也可以直接删除缓存

/var/cache/nscd(或/var/db/nscd) 目录下的数据库文件,然后重启nscd后台守护进程即可。

 




────────────────────────────────────────────────────────────────────────────────
注意:sssd 与 nscd 的冲突
────────────────────────────────────────────────────────────────────────────────
另外请留意,新版RedHat/CentOS默认改为使用SSSD来处理有关系统安全服务的名称查询请求,
因为sssd服务本身已经具备缓存的功能,因此可以不使用nscd后台进程(重复缓存并无好处)。
如果同时启动nscd服务,那么sssd启动时会提示警告信息如下:

  Starting sssd: nscd socket was detected.  As nscd caching capabilities may
  conflict with SSSD, it is recommended to not run nscd in parallel with SSSD
或者在 /var/log/messages 日志中显示如下信息:
  sssd: nscd socket was detected. Nscd caching capabilities may conflict with SSSD
  for users and groups. It is recommended not to run nscd in parallel with SSSD,
  unless nscd is configured not to cache the passwd, group and netgroup nsswitch maps.

在sssd.conf的说明中,默认的 entry_cache_timeout=5400(秒),但是,在CentOS中默认
安装下所配置的sssd服务并没有启用记录条目的缓存功能(设成entry_cache_timeout = 0)。
Password caching for offline supporting by specifying "cache_credentials = True"
in sssd.conf. If config file uses that option, offline logins should just work.
RedHat官方建议关闭nscd服务进程,但在实用中发现 sssd 实在是问题多多,或许还是按照
如下RedHat官方网站文档中的指示让这两个服务共存为好!


********************************************************************************
如下是RedHat官方的正式解释:
********************************************************************************
http://docs.redhat.com/docs/en-US/Red_Hat_Enterprise_Linux/6/html/Deployment_Guide/usingnscd-sssd.html

10.2.9. Using NSCD with SSSD
 ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
SSSD is not designed to be used with the NSCD daemon. Even though SSSD does not
directly conflict with NSCD, using both services can result in unexpected behavior,
especially with how long entries are cached.

The most common evidence of a problem is conflicts with NFS. When using Network
Manager to manage network connections,   it may  take  several  minutes for the
network interface to come up. During this time, various services attempt to start.

If these services start before the network is up and the DNS servers are available,
these services will fail to identify the forward or reverse DNS entries they need.
These services will read an incorrect or possibly empty  /etc/resolv.conf  file.
This file is typically only read once, and so any changes made to this file are
not automatically applied.  This can cause NFS locking to fail on the machine
where the NSCD service is running, unless that service is manually restarted.

To avoid this problem, enable caching for hosts and services in the /etc/nscd.conf
file and rely on the SSSD cache for the passwd, group, and netgroup entries.

Change the /etc/nscd.conf file:
enable-cache hosts yes
enable-cache passwd no
enable-cache group no
enable-cache netgroup no

With NSCD answering hosts requests, these entries will be cached by NSCD and
returned by NSCD during the boot process. All other entries are handled by SSSD.


注意:事实上nscd目前只支持缓存四种名称服务: passwd, group, hosts, services,而且
新版的nscd配置文件有点古怪的地方,如果您想注释一行,您一定必须将 “#” 添加在最前面
一列,而不能在前面带任何空格或tab分栏,否则重启nscd服务会遇到failed to start问题。

^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^



────────────────────────────────────────────────────────────────────────────────
如何查看当前系统的身份认证配置模式?
────────────────────────────────────────────────────────────────────────────────
在RedHat系统中可以使用authconfig命令查看当前的认证模式配置,例如:
 ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
authconfig --test | egrep -i 'ldap|sss'
authconfig --test | egrep -i 'ldap|sss|pam|nss'
--------------------------------------------------------------------------------
nss_files is always enabled
nss_compat is disabled
nss_db is disabled
nss_hesiod is disabled
nss_ldap is disabled
 LDAP+TLS is disabled
 LDAP server = "ldap://192.168.56.1/"
 LDAP base DN = "dc=hung,dc=moon,dc=com"
nss_nis is disabled
nss_nisplus is disabled
nss_winbind is disabled
nss_sss is enabled by default
nss_wins is disabled
DNS preference over NSS or WINS is disabled
pam_unix is always enabled
pam_krb5 is disabled
pam_ldap is disabled
 LDAP+TLS is disabled
 LDAP server = "ldap://192.168.56.1/"
 LDAP base DN = "dc=hung,dc=moon,dc=com"
 LDAP schema = "rfc2307"
pam_pkcs11 is disabled
pam_fprintd is enabled
pam_smb_auth is disabled
pam_winbind is disabled
pam_sss is enabled by default
 credential caching in SSSD is enabled
 SSSD use instead of legacy services if possible is enabled
pam_cracklib is enabled (try_first_pass retry=3 type=)
pam_passwdqc is disabled ()
pam_access is disabled ()
pam_mkhomedir or pam_oddjob_mkhomedir is disabled ()
--------------------------------------------------------------------------------


在Debian/Ubuntu系统中则可使用auth-client-config工具查看当前的NSS和PAM配置,例如:
 ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
auth-client-config -S
--------------------------------------------------------------------------------
nss_group=group:          compat
nss_netgroup=netgroup:       nis
nss_passwd=passwd:         compat
nss_shadow=shadow:         compat
pam_account=account [success=2 new_authtok_reqd=done default=ignore] pam_unix.so 
account [success=1 default=ignore] pam_ldap.so 
account requisite pam_deny.so
account required pam_permit.so
pam_auth=auth [success=2 default=ignore] pam_unix.so nullok_secure
auth [success=1 default=ignore] pam_ldap.so use_first_pass
auth requisite pam_deny.so
auth required pam_permit.so
auth optional pam_cap.so
pam_password=password requisite pam_cracklib.so retry=3 minlen=8 difok=3
password [success=2 default=ignore] pam_unix.so obscure use_authtok try_first_pass sha512
password [success=1 user_unknown=ignore default=die] pam_ldap.so use_authtok try_first_pass
password requisite pam_deny.so
password required pam_permit.so
password optional pam_gnome_keyring.so
pam_session=session [default=1] pam_permit.so
session requisite pam_deny.so
session required pam_permit.so
session optional pam_umask.so
session required pam_unix.so 
session optional pam_ldap.so 
session optional pam_ck_connector.so nox11
--------------------------------------------------------------------------------

linux nslcd服务,Ubuntu 通过ldap集成AD账号登录(nslcd方式)
weixin_34474777的博客
05-04 2277
Ubuntu 通过ldap集成AD账号登录注:该方式不依赖于AD的server for nis,单纯AD服务即可安装libnss-ldapd(会自动安装nscdnslcd)、libpam-ldapd# apt-get install libnss-ldapd libpam-ldapd (中间配ldap部分可直接回车或随便写,后面调nslcd.conf文件即可)# vi /etc/nsswitc...
linux nslcd服务,redhat – sssd vs nslcd for RHEL-5/6
weixin_42561249的博客
05-04 514
sssd可能是更具“前瞻性”的选择.在这种程度上,其他答案是正确的.也就是说,与流行的观点相反,sssd并没有完全取代nslcd的功能.nslcd优于sssd的主要(情境)优势是您可以编写带参数替换的自定义authz查询:pam_authz_search FILTERThis option allows flexible fine tuning of the authorisation check...
Ubuntu 22.04 - OpenLDAP环境与试用(服务器+LAM+客户端)
最新发布
Mintind的博客
02-11 1032
csdn你…怎么不自动保存了很崩溃啊啊啊啊,我记得发现没保存之后我又改了一遍然后保存了,怎么现在又没了啊啊啊啊,过了这么久我都不记得了啊啊啊啊啊。
nscd.conf文件
weixin_33858336的博客
01-15 288
Name /etc/nscd.conf- name service cache daemon configuration file Description The file/etc/nscd.confis read fromnscd(8)at startup. Each line specifies either an attribute and a...
openldap加密传输sssd
Vic的博客
07-04 1288
http://blog.father.gedow.net/2015/09/29/sssd-ldap-sudo/yum -y install openldap-clients sssdauthconfig --enablesssd --enablesssdauth --enableldap --enableldapauth --ldapserver=ldaps://master.local,ldap...
【无标题】
weixin_41927873的博客
09-13 247
adldap认证配置方式一模一样,只是ad域的时候nslcd文件需要做少许属性修改,ldap直接使用默认文件就行。ad认证方式有很多种,nslcd,realmd,windbind,这里选择nslcd方式,轻量级简单。ssh登录配置,使用pam动态认证账号,配置/etc/ssh/sshd_config。配置/etc/sssd/sssd.conf,使用以下命令生成文件。修改配置文件/etc/pam.d/sshd,以确认调用pam认证文件。配置/etc/pam.d/password-auth。
linux操作系统nscd依赖包(nscd-2.14.1-6.x86_64.rpm)
08-06
NSCD(Name Service Cache Daemon)是服务缓存守护进程,它为NISLDAP等服务提供更快的验证。不管是什么系统,缓存是一项非常重要的技术[或机制],缓存的主旨就是提高客户端访问速度。
nscdnscd.socket的关系
07-22
nscd(Name Service Cache Daemon)是一个系统守护进程,用于缓存系统的名称服务(如主机名、用户、组等)查询结果,以提高系统的性能响应速度。而nscd.socket是一个systemd socket单元,用于监听nscd的网络连接。...
nscd-2.17-326.el7-9.3.x64-86.rpm.tar.gz
01-30
nscd-2.17-326.el7-9.3.x64-86.rpm.tar.gz 是一个压缩包文件,其内部包含了一个 RPM 格式的安装包,具体名称为 nscd-2.17-326.el7_9.3.x86_64.rpm,以及一个说明文件 readme.md。从文件的命名上来看,该压缩包是为 ...
nscd-2.17-322.el7_9.x86_64.rpm
12-20
官方离线安装包,亲测可用。使用rpm -ivh [rpm完整包名] 进行安装
linux nslcd服务,CentOS 6通过ldap集成AD域账号(nslcd方式)
weixin_42101056的博客
05-04 1391
CentOS 6通过ldap集成AD域账号(nslcd方式):yum install nss-pam-ldapd(rpm -qa nss-pam-ldapd,rpm -ql nss-pam-ldapd)vi /etc/nsswitch.confpasswd: files ldapgroup: files ldapshadow: files ldap:wqvi /etc/nslcd.confbin...
nscd服务
这是一个记录学习的博客
06-04 7212
linux开启nscd服务缓存加速在我使用的阿里云主机上有观察到开启了一个服务nscd ,后来谷哥了下该服务的作用。了解到nscd会缓存三种服务passwd group hosts,所以它会记录三个库,分别对应源/etc/passwd, /etc/hosts /etc/resolv.conf每个库保存两份缓存,一份是找到记录的,一份是没有找到记录的。每一种缓存都保存有生存时间(TTL)。其作用...
集成 OpenLDAP 与 Kerberos 实现统一认证 (2):基于 SSSD 同步 LDAP 账号
Laurence的技术博客
06-07 3505
本文首发于 InfoQ,写作本系列文章的背景是我们要在大数据平台/企业数据湖场景下给出中心化的用户身份认证方案。此前,我们实现过Windows AD + Kerberos的集成方案,由于Windows AD是LDAPKerberos的双重实现,这种天然优势使得Windows AD可以实现真正意义上的(大数据集群的)Kerberos账号与企业用户账号的统一管理。当我们想在OpenLDAP + Kerberos上实现同样的目标时,发现这一领域的知识与方案琐碎而凌乱,缺少统一连贯,脉络清晰的讲解
NSCD
jinyidong的博客
08-20 759
1、简介 NSCD(Name Service Cache Daemon)是一种能够缓存 passwd、group、hosts 的本地缓存服务,分别对应三个源 /etc/passwd、/etc/hosts、/etc/resolv.conf,最为明显的作用就是加快 DNS 解析速度。 2、使用 2.1、安装 yum install nscd 缓存路径为:/var/db/nscd/ 2....
Linux DNS解析与NSCD缓存
heshan307的专栏
09-05 3903
搭建好DNS服务器后,配置nscd,用strace命令做了如下测试: 1、在/etc/resolv.conf文件中指定好DNS服务器 NDS可以正常解析: strace ping aaa.shan.com,得到结果如下:正确解析出结果 2、移走resolv.conf文件后 starce ping aaa.shan.com 结果如下:可以通过nscd的缓存找
openldap加密传输 nslcd
weixin_30591551的博客
09-21 426
openldap加密传输 nslcd http://www.openldap.org/faq/data/cache/185.html https://www.ibm.com/developerworks/cn/linux/1312_zhangchao_opensslldap/ http://blog.sina.com.cn/s/blog_88c...
Nscd- 使用nscd作为本地dns缓存
鬼刺
06-30 1391
1- 背景 公司使用阿里云主机,且首选DNS使用的也是阿里云的。但是有一个face++的业务总是会报UnKnownHostException。抓包查了一波发现虽然阿里DNS有时候会ServFail,但是这些都是请求的域名后面加了localdomain导致的,所以理论上业务不应该出现UnKnownHostException。业务端改了超时时间也增加了retry的次数,但是还是会报UnKnownHostException。感觉是请求太频繁导致的,所以,在云主机本地都启用了nscd。 2- 安装配置 安装很
ldap及phpldapadmin安装好后,如何配置客户端?
weixin_44147924的博客
10-25 616
1.安装nslcd服务 yum install nss-pam-ldapd vim /etc/nslcd.conf 2.vim /etc/pam.d/system-auth,有sss行的注释掉,改成ldap的 3. vim /etc/nsswitch.conf 修改nsswitch.conf配置文件,修改后,默认登录的用户通过本地配置文件进行查找并匹配。当匹配不到用户信息时,会通过后端配置的LDAP认证服务进行匹配 4.vim /etc/sysconfig/a...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值