SSSD Kerberos Authentication vs AD

J'essaie de configurer SSSD pour l'authentifier vers AD, et je veux faire de la manière la plus sécurisée possible. J'ai remarqué lors du réglage de auth_provider = ad port 389 est ouvert. Nous avons des règles de pare-feu en place bloquant le port 389. Le réglage de ldap_service_port = 636 n'a rien fait. Quelqu'un peut-il expliquer quelle serait la différence entre le fournisseur d'authentification publicitaire et krb5? J'ai actuellement un conf pour krb5, samba et sssd.

Ceci est ma configuration actuelle https://fedorahosted.org/sssd/wiki/Configuring_sssd_with_ad_server

  • Est-il possible de transformer ce controller de domaine en PDC?
  • Active Directory: supprimer contre les employés désactivés
  • Configurer un client Windows 10 pour un domaine Linux KDC
  • Pourquoi '-o sec = krb5p' n'est-il pas nécessaire dans la command mount?
  • Permettre au Département des ressources humaines d'entrer des users dans Active Directory / Exchange au lieu de l'informatique?
  • Comptes de service LastLogonTimestamp
  • Active Directory sur Server 2012 - Configuration appropriée pour changer les passwords via la programmation
  • Que faudrait-il pour get un système Active Directory dans un environnement Linux?
  • Service d'annuaire indisponible, nouveaux paramètres matériels identiques
  • Est-ce que quelqu'un peut m'aider dans ce désordre Active Directory?
  • L'user openldap ne peut pas se connecter en utilisant tcsh
  • L'écran verrouillé ne se souvient pas du nom d'user
  • 2 Solutions collect form web for “SSSD Kerberos Authentication vs AD”

    Pour vous authentifier avec AD, vous utiliserez l'authentification kerberos indépendamment de l'utilisation de l' ad ou du krb tant que auth_provider . En utilisant auth_provider = ad , SSSD prendra en charge tout pour vous, vous n'aurez donc pas besoin de créer des configurations spécifiques de kerberos ou ldap dans votre sssd.conf.

    Si vous n'avez pas utilisé le realm join comme document décrivez ce document, je le recommand fortement si possible dans votre scénario. Il créera votre sssd.conf avec les configurations correctes, et il créera et installera votre key kerberos sur votre client. Vous ne devriez pas avoir un krb5.conf ou smb.conf (au less dans mon expérience). Un couple de réglages peut être nécessaire en fonction de vos besoins.

    Consultez la page de manuel sssd-ad pour plus de détails sur la configuration du backend AD.

    En ce qui concerne votre question sur les ports, l'authentification se produit avec Kerberos pas LDAP / LDAPS (ce qui utilise les ports 389 et 636).

    id_provider = ad est assez sécurisé car il utilise GSSAPI bind à l'aide du Keytab Kerberos. Essayez de renifler le trafic LDAP, vous ne verrez rien. ldaps est également une extension non standard, il suffit de l'utiliser 🙂

    Les astuces du serveur de linux et windows, tels que ubuntu, centos, apache, nginx, debian et des sujets de réseau.