O daemon sssd age como a aranha na web, controlando o processo de login e muito mais. O programa de login se comunica com os módulos pam e nss configurados, que neste caso são fornecidos pelo pacote SSSD. Esses módulos se comunicam com os respondedores SSSD correspondentes, que, por sua vez, conversam com o Monitor SSSD. O SSSD pesquisa o usuário no diretório LDAP, entra em contato com o Kerberos KDC para autenticação e para adquirir tickets.
(o PAM e o NSS também podem conversar diretamente com o LDAP usando pam_ldap e nss_ldap, respectivamente. Entretanto, o SSSD fornece funcionalidade adicional.)
Claro, muito disso depende de como o SSSD foi configurado; Existem muitos cenários diferentes. Por exemplo, você pode configurar o SSSD para fazer a autenticação diretamente com o LDAP ou autenticar via Kerberos.
O daemon sssd na verdade não faz muito o que não pode ser feito com um sistema que tenha sido "montado à mão", mas tem a vantagem de lidar com tudo em um local centralizado. Outro benefício importante do SSSD é que ele armazena em cache as credenciais, o que facilita a carga nos servidores e torna possível ficar offline e ainda efetuar login. Desta forma, você não precisa de uma conta local na máquina para autenticação offline.