我正在尝试设置SSSD对AD进行身份validation,并希望以最安全的方式进行操作。 我注意到当设置auth_provider = ad端口389是打开的。 我们有阻止端口389的防火墙规则。设置ldap_service_port = 636没有做任何事情。 有人可以解释什么是ad和krb5 auth提供者之间的区别吗? 我目前有一个conf,krb5,samba和sssd。
这是我目前的设置https://fedorahosted.org/sssd/wiki/Configuring_sssd_with_ad_server
要使用AD进行身份validation,您将使用Kerberos身份validation,而不pipe使用ad或krb作为auth_provider 。 通过使用auth_provider = ad ,SSSD将为您处理所有事情,所以您不需要在sssd.conf中configuration特定的kerberos或ldapconfiguration。
如果您没有使用realm join作为文档描述,我强烈build议,如果可能在您的scheme。 它将使用正确的configuration创build你的sssd.conf ,并在你的客户端上创build并安装你的kerberos密钥。 你不应该需要一个krb5.conf或smb.conf (至less在我的经验)。 根据您的要求,可能需要一些调整。
有关configurationAD后端的详细信息,请查看sssd-ad 联机帮助页 。
关于你对端口的问题,Kerberos不是使用LDAP / LDAPS(这是使用端口389和636的)进行身份validation。
id_provider = ad 是足够安全的,因为它使用Kerberos keytab使用GSSAPI绑定。 尝试嗅探LDAPstream量,你什么都看不到。 ldaps也是一个非标准扩展,只是停止使用它:)