我正在考虑更改一些使用 SSSD 包绑定到 AD 的 Ubuntu 计算机的配置。据我所知,所有 ldap 查询都应通过以下配置中的 TSL。
由于我们的实时 AD 非常繁忙,很难实时报告,因此很难进行广泛的测试。我们每隔几个小时才会收到一些模糊的报告,但仍然报告我的测试机器存在问题。
我一直在监控 tcpdump,仍然有零星的明文信息,但没有什么敏感信息,只是 AD 服务器位置和元数据正在更新。这似乎只是在 sssd.service 重新启动时报告广告服务器的任意信息。
如果有人能提供任何建议以确保 sssd 能够抵御即将推出的 Microsoft 补丁,我将不胜感激。
[sssd]
domains = example.com
config_file_version = 2
services = nss, pam
[domain/example.com]
ad_domain = example.com
krb5_realm = example.com
realmd_tags = manages-system joined-with-adcli
cache_credentials = True
id_provider = ad
krb5_store_password_if_offline = True
default_shell = /bin/bash
rdns = false
dyndns_update_ptr = false
use_fully_qualified_names = False
#fallback_homedir = /home/%u@%d
access_provider = ad
override_homedir = /home/example/%u
ad_gpo_map_permit = +polkit-1
dyndns_update = True
default_domain_suffix = example.com
ignore_group_members = True
ldap_id_mapping = True
ldap_access_filter = (objectClass=user)
#ldap_uri = ldaps://example.com:636
ldap_uri = ldaps://example.com
ldap_search_base = DC=example,DC=com
# The file containing CA certificates you want sssd to trust.
ldap_tls_cacert = /etc/pki/rootCA.pem
# The TLS ciphers you wish to use. SSSD uses OpenSSL style cipher
# suites
ldap_tls_cipher_suite = HIGH
ldap_sasl_mech = GSSAPI
ldap_tls_reqcert = demand
答案1
如果您使用的是 Red Hat 8 之类的系统并尝试使用 ldaps,请验证后端的 TLS 是否为 2048 位或更高,并支持现代 DH 密码。如果不是,请将 opensslcnf.config 从 SECLEVEL=2 设置为 1。
或者,如果您已加入域并且拥有有效的密钥表,则可以使用 GSSAPI 加密 over ldap。这样就无需以明文形式绑定凭据。
您需要为每个域部分选择一种身份验证类型,并验证所有设置是否兼容。密切关注这些设置手册页,因为有些设置与其他设置完全不兼容。这些只是我根据身份验证类型在自动化中翻转的变量。还有更多,但根据您提供的信息,这些是最相关的。
auth_provider (ldap or ad most likely based on your use case)
ldap_id_mapping (false is mostly used for the old unix tab attributes)
id_provider (ad will use GSSAPI. start_tls will most likely fail though)
ldap_user_name (uid for rfc2307, rfc2307bis, and IPA. sAMAccountName for AD)
ldap_group_name (cn for rfc2307, rfc2307bis, and IPA. sAMAccountName for AD)