SSSD Kerberos 身份验证与 AD

SSSD Kerberos 身份验证与 AD

我正在尝试设置 SSSD 以对 AD 进行身份验证,并希望以最安全的方式进行。我注意到设置时auth_provider = ad端口 389 是打开的。我们已设置防火墙规则来阻止端口 389。设置ldap_service_port = 636没有任何作用。有人可以解释一下 ad 和 krb5 身份验证提供程序之间的区别吗?我目前有一个针对 krb5、samba 和 sssd 的 conf。

这是我当前的设置https://fedorahosted.org/sssd/wiki/Configuring_sssd_with_ad_server

答案1

要使用 AD 进行身份验证,无论使用 还是 ,您都将使用 kerberos 身份验证adkrb通过auth_provider使用auth_provider = ad,SSSD 将为您处理一切,因此您无需在 sssd.conf 中进行特定的 kerberos 或 ldap 配置。

如果您没有realm join按照文档所述使用,我强烈建议您在可能的情况下使用它。它将sssd.conf使用正确的配置创建您的,并将在您的客户端上创建和安装您的 kerberos 密钥。您不需要krb5.confsmb.conf(至少根据我的经验)。根据您的要求,可能需要进行一些调整。

检查 sssd-ad手册页有关配置 AD 后端的详细信息。

关于端口的问题,身份验证是通过 Kerberos 而不是 LDAP/LDAPS(使用端口 389 和 636)进行的。

答案2

id_provider=广告足够安全,因为它使用 GSSAPI 绑定,使用 Kerberos keytab。尝试嗅探 LDAP 流量,您将看不到任何东西。ldaps 也是一个非标准扩展,请停止使用它 :)

相关内容