SSSD Kerberos Authentication vs AD

Navegue suas respostas
2

Estou tentando configurar o SSSD para autenticar no AD e fazer da maneira mais segura possível. Percebi quando a configuração auth_provider = ad 389 está aberta. Temos regras de firewall em vigor que estão bloqueando a porta 389. A configuração ldap_service_port = 636 não fez nada. Alguém pode explicar qual seria a diferença entre o anúncio e o provedor de autenticação krb5? Atualmente tenho um conf para krb5, samba e sssd.

Esta é a minha configuração atual link

    
por CodyK 07.10.2016 / 17:16

2 respostas

1

Para autenticar com o AD, você estará usando a autenticação do kerberos independentemente de usar ad ou krb as auth_provider . Usando auth_provider = ad , o SSSD irá lidar com tudo para você, então você não precisará fazer configurações específicas do kerberos ou do ldap no seu sssd.conf.

Se você não usou realm join conforme o documento descreve, recomendo, se possível, em seu cenário. Ele criará seu sssd.conf com as configurações corretas e criará e instalará sua chave do kerberos em seu cliente. Você não deve precisar de krb5.conf ou smb.conf (na minha experiência, pelo menos). Alguns ajustes podem ser necessários, dependendo de suas necessidades.

Verifique a página de manual do sssd-ad para obter detalhes sobre a configuração do back-end do AD.

Em relação à sua pergunta sobre portas, a autenticação está acontecendo com o Kerberos e não LDAP / LDAPS (que é o que usa as portas 389 e 636).

    
por 07.10.2016 / 18:11
3

id_provider = ad é seguro o suficiente porque usa a ligação GSSAPI usando o keytab do Kerberos. Tente farejar o tráfego LDAP, você não verá nada. ldaps também é uma extensão não padrão, pare de usá-lo:)

    
por 11.10.2016 / 12:26

Tags

Windows 10 construído em VPN Obtenha o Fail2Ban para verificar o findtime a cada X minutos