Аутентификация SSSD Kerberos и AD
Я пытаюсь настроить SSSD для аутентификации в AD и хочу сделать это максимально безопасным способом. Заметил при установке auth_provider = ad Порт 389 открыт. У нас есть правила брандмауэра, которые блокируют порт 389. Установка ldap_service_port = 636 ничего не дала. Может ли кто-нибудь объяснить, в чем будет разница между поставщиком ad и krb5 auth? Сейчас у меня есть conf для krb5, samba и sssd.
Это моя текущая настройка https://fedorahosted.org/sssd/wiki/Configuring_sssd_with_ad_server
Для аутентификации в AD вы будете использовать аутентификацию kerberos независимо от использования ad или krb в качестве auth_provider. Используя auth_provider = ad, SSSD обработает все за вас, так что вам не нужно будет делать специфические керберо или ldap конфигурации в вашем sssd.conf.
Если вы не использовали realm join, как описано в документе, то я настоятельно рекомендую это по возможности в вашем сценарии. Он создаст ваш sssd.conf с правильными конфигурациями, а также создаст и установит ваш ключ kerberos на вашем клиенте. Вам не нужно krb5.conf или smb.conf (по крайней мере, по моему опыту). В зависимости от ваших требований может понадобиться пара корректировок.
Проверьте sssd-администратор manpage на предмет деталей настройки AD backend.
Что касается вашего вопроса о портах, аутентификация происходит с Kerberos, а не с LDAP/LDAPS (который использует порты 389 и 636).
.id_provider = ad является достаточно безопасным, поскольку использует привязку GSSAPI с использованием вкладки Kerberos. Попробуйте понюхать трафик LDAP, вы ничего не увидите. ldaps - тоже нестандартное расширение, просто прекратите его использовать :)