User-Management in Containern

Ist von Linux-Containern die Rede, sprechen die meisten Leute heute über Docker-Container, die auf einer regulären Linux-Plattform laufen. Immer häufiger kommen jedoch auch speziell für den Betrieb von Containern angepasste Betriebssystem-Varianten zum Einsatz. Im Fedora-Umfeld existiert hierfür die Atomic-Plattform, mit der sich solche Hosts im Handumdrehen installieren lassen. Zur Konfiguration kommt dabei häufig das Tool cloud-init zum Einsatz, das mitgeliefert wird. Auch Benutzer und deren Passwörter lassen sich mit diesem Tool erzeugen, was allerdings ab einer gewissen Größe der Container-Landschaft nicht mehr skaliert. Dafür wären andere Mechanismen wünschenswert. Der System Security Services Daemon (SSSD) erfüllt diesen Wunsch.

Der SSSD ist mittlerweile der Linux-Standard, um Benutzer zu authentifizieren und zu autorisieren. Als Identity-Store kann der Service im Backend sowohl auf einen regulären LDAP-Server als auch auf ein Active Directory oder einen FreeIPA-Server zurückgreifen. Die gewonnenen Identity-Informationen hält der Dienst in einem Cache vor und stellt diese bei Bedarf den anfragenden Clients zur Verfügung. Neben den eigentlichen Benutzer- und Gruppen-Daten bezieht der Dienst auch Policy-Informationen von den konfigurierten Backends. Hierbei kann es sich um sudo- oder auch Host-Based-Access-Control-Regeln (HBAC) handeln.

Für die Backends Active Directory und FreeIPA existieren eigene Tools, um den SSSD entsprechend zu konfigurieren. Zu den Aufgaben der Konfiguration zählt neben dem Anpassen der Konfigurationsdatei "/etc/sssd/sssd.conf" beispielsweise auch der Download von CA-Zertifikaten oder Kerberos-Keytab-Dateien. Für das Enrollment eines Hosts in eine AD-Domäne lässt sich das Tool realm einsetzen, für FreeIPA das Programm »ipa-client-install« .

Atomic: Weniger ist mehr

Auf einem Atomic Host sind diese

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.