За что отвечают и для чего нужны ldap, kerberos, winbind и sssd?

Question

[Wadik_Wadkovich]

Прошу объяснить простым языком для чего нужны и за что отвечают: ldap, kerberos , winbind,sssd ? Сам разобрать пытался, но в конце концов запутался напрочь.

Answer 1

[CityCat4]

LDAP - lightweight directory access protocol, протокол облегченного доступа к каталогу, а также одноименная служба. ОБеспечивает доступ к специализированной БД, в которой может хранится все, что угодно, но обычно хранятся учетные данные пользователей, колмпьютеров и т.д. Active Directory - суть LDAP, к ней можно подцепиться обычным LDAP-бразуером и даже скриптами.
Kerberos - сетевой протокол аутентификации. Очень широко используется как в AD, так и в прочих сервисах, которые могут быть как с AD связанными, так и нет. Для аутентификации в AD его широко используют squid и apache. Практически необходим для samba
winbind - локальная копия AD, формируемая samba для целей аутентификации доменных пользователей. Нужен для того, чтобы можно было использовать учетные записи пользователей домена точно таким же образом, как и локальные учетные записи - раздавать права, ограничивать доступ, создавать домашки. Обязательный компонент почтового сервера.
sssd - альтернатива winbind, не требующая наличия samba, достаточно будет adcli. Делает все то же самое, только не нужно устанавливать samba, которая в последнее время толста невероятно.

Comments

[Алексей Черемисин]

Да, здесь хотел бы подчеркнуть, что kerberos - только аутентификация! Авторизации в нем нет!
Для авторизации вместе с аутентификацией по kerberos нужно пользовать еще что нибудь, например LDAP.

Авторизацию не следует путать с аутентификацией: аутентификация — это процедура проверки легальности пользователя или данных, например, проверки соответствия введённого пользователем пароля к учётной записи паролю в базе данных, или проверка цифровой подписи письма по ключу шифрования, или проверка контрольной суммы файла на соответствие заявленной автором этого файла. Авторизация же производит контроль доступа легальных пользователей к ресурсам системы после успешного прохождения ими аутентификации. Зачастую процедуры аутентификации и авторизации совмещаются.

[Wadik_Wadkovich]

Если я правильно понял :
Ldap - протокол который отвечает за аутентификация авторизация и идентификация доменных пользователей
Kerberos - например , можно привязать конкретного доменного пользователя к пользователю 1С
winbind - управление базой данных домена
sssd - альтернатива winbind
И то есть Active Directory можно создать просто установив пакет ssssd ?

[CityCat4]

Wadik_Wadkovich, Нет. LDAP - база данных и протокол доступа к ней. AD - это LDAP с нестандартной схемой, расширенной M$, но основные принципы те же. Kerberos - средство аутентификации как в AD, так и вне ее, универсальная вещь. winbind - клиентская аппликуха, нужна исключительно для того, чтобы можно было оперировать доменными учетками, как локальными. Где это нужно? На прокси, на почтовых серверах. sssd - тоже клиентская аппликуха, позволяет сделать то же, что winbind, не ставя samba. AD можно получить, установив samba 4.x, если не хочется ставить настоящий M$ сервер.

Answer 2

[Станислав Бодро́в]

для чего нужны и за что отвечают: ldap, kerberos , winbind,sssd ?

AAA (Authentication Authorization and Accounting) в той или иной степени.