Я пытаюсь настроить SSSD для аутентификации в AD и хочу сделать это максимально безопасным способом. Заметил при установке auth_provider = ad
Порт 389 открыт. У нас есть правила брандмауэра, которые блокируют порт 389. Установка ldap_service_port = 636
ничего не дала. Может ли кто-нибудь объяснить, в чем будет разница между поставщиком ad и krb5 auth? Сейчас у меня есть conf для krb5, samba и sssd.
Это моя текущая настройка https://fedorahosted.org/sssd/wiki/Configuring_sssd_with_ad_server
Для аутентификации в AD вы будете использовать аутентификацию kerberos независимо от использования ad
или krb
в качестве auth_provider
. Используя auth_provider = ad
, SSSD обработает все за вас, так что вам не нужно будет делать специфические керберо или ldap конфигурации в вашем sssd.conf.
Если вы не использовали realm join
, как описано в документе, то я настоятельно рекомендую это по возможности в вашем сценарии. Он создаст ваш sssd.conf
с правильными конфигурациями, а также создаст и установит ваш ключ kerberos на вашем клиенте. Вам не нужно krb5.conf
или smb.conf
(по крайней мере, по моему опыту). В зависимости от ваших требований может понадобиться пара корректировок.
Проверьте sssd-администратор manpage на предмет деталей настройки AD backend.
Что касается вашего вопроса о портах, аутентификация происходит с Kerberos, а не с LDAP/LDAPS (который использует порты 389 и 636).
.id_provider = ad является достаточно безопасным, поскольку использует привязку GSSAPI с использованием вкладки Kerberos. Попробуйте понюхать трафик LDAP, вы ничего не увидите. ldaps - тоже нестандартное расширение, просто прекратите его использовать :)