我正在尝试设置 SSSD 以对 AD 进行身份验证,并希望以最安全的方式进行。我注意到设置时auth_provider = ad端口 389 是打开的。我们已设置防火墙规则来阻止端口 389。设置ldap_service_port = 636没有任何作用。有人可以解释一下 ad 和 krb5 身份验证提供程序之间的区别吗?我目前有一个针对 krb5、samba 和 sssd 的 conf。
这是我当前的设置https://fedorahosted.org/sssd/wiki/Configuring_sssd_with_ad_server
答案1
要使用 AD 进行身份验证,无论使用 还是 ,您都将使用 kerberos 身份验证ad。krb通过auth_provider使用auth_provider = ad,SSSD 将为您处理一切,因此您无需在 sssd.conf 中进行特定的 kerberos 或 ldap 配置。
如果您没有realm join按照文档所述使用,我强烈建议您在可能的情况下使用它。它将sssd.conf使用正确的配置创建您的,并将在您的客户端上创建和安装您的 kerberos 密钥。您不需要krb5.conf或smb.conf(至少根据我的经验)。根据您的要求,可能需要进行一些调整。
检查 sssd-ad手册页有关配置 AD 后端的详细信息。
关于端口的问题,身份验证是通过 Kerberos 而不是 LDAP/LDAPS(使用端口 389 和 636)进行的。
答案2
id_provider=广告是足够安全,因为它使用 GSSAPI 绑定,使用 Kerberos keytab。尝试嗅探 LDAP 流量,您将看不到任何东西。ldaps 也是一个非标准扩展,请停止使用它 :)