SSSD (System Security Services Daemon)

SSSD (System Security Services Daemon) est le daemon Linux d'intégration avec annuaires d'identité externes — LDAP, Active Directory, Kerberos, FreeIPA. Successeur moderne de nss_ldap + pam_ldap + nslcd, conçu pour cache offline, performance et facilité de configuration.

Fonctionnalités : (1) **Providers** modulaires — LDAP, AD (native MS), IPA (Red Hat FreeIPA), Kerberos, local fallback ; (2) **Cache offline** — utilisateurs continuent à se connecter même si AD/LDAP unreachable (cached credentials avec TTL) ; (3) **NSS integration** — getent passwd retourne users du domaine ; (4) **PAM integration** — login/SSH/sudo authent via SSSD ; (5) **SSH key retrieval** — pull SSH public keys depuis LDAP attribute ; (6) **sudo rules** depuis LDAP ; (7) **autofs** integration ; (8) **GPO support** (depuis SSSD 1.16) — apply Active Directory Group Policy ; (9) **Smart Card** authentication.

Configuration : `/etc/sssd/sssd.conf` avec sections [sssd], [domain/example.com], [pam], [nss], [sudo], [ssh]. Important : restricted permissions 0600 root only.

Intégration AD : (1) `realm discover example.com` ; (2) `realm join -U Administrator example.com` (joins computer to AD, configures SSSD + Kerberos + Samba) ; (3) `getent passwd [email protected]` test ; (4) `ssh [email protected]@server` ; (5) `id [email protected]` shows groups AD.

Integration FreeIPA : `ipa-client-install --domain=ipa.example.com --server=ipa1.example.com -p admin --enable-dns-updates`.

Vs alternative : winbind (legacy Samba), older nss_ldap (deprecated). SSSD standard sur RHEL/Fedora/Ubuntu modern. Compétences RHCSA, EX294, RHCE.