SSSD Kerberos Authentication vs AD

J'essaie de configurer SSSD pour l'authentifier vers AD, et je veux faire de la manière la plus sécurisée possible. J'ai remarqué lors du réglage de auth_provider = ad port 389 est ouvert. Nous avons des règles de pare-feu en place bloquant le port 389. Le réglage de ldap_service_port = 636 n'a rien fait. Quelqu'un peut-il expliquer quelle serait la différence entre le fournisseur d'authentification publicitaire et krb5? J'ai actuellement un conf pour krb5, samba et sssd.

Ceci est ma configuration actuelle https://fedorahosted.org/sssd/wiki/Configuring_sssd_with_ad_server

  • Intégration Linux / AD avec SSSD: comment choisir à quel système un user peut se connecter?
  • Le DNS dynamic d'IPA ne met à jour que l'logging AAAA. Où sont mes loggings A?
  • SSSD rejette la connection LDAP avec su: mot de passe incorrect
  • sssd: Existe-t-il un moyen de forcer un shell spécifique pour certains membres du groupe?
  • sssd active directory même user local
  • Comment puis-je configurer LDAP sur Centos 6 pour l'authentification des users de la manière la plus sécurisée et la plus correcte?
  • Le directory d'installation SSSD est vide
  • Comment utiliser realmd dans Ubuntu 14.04 LTS pour join un domaine Active Directory?
  • 2 Solutions collect form web for “SSSD Kerberos Authentication vs AD”

    Pour vous authentifier avec AD, vous utiliserez l'authentification kerberos indépendamment de l'utilisation de l' ad ou du krb tant que auth_provider . En utilisant auth_provider = ad , SSSD prendra en charge tout pour vous, vous n'aurez donc pas besoin de créer des configurations spécifiques de kerberos ou ldap dans votre sssd.conf.

    Si vous n'avez pas utilisé le realm join comme document décrivez ce document, je le recommand fortement si possible dans votre scénario. Il créera votre sssd.conf avec les configurations correctes, et il créera et installera votre key kerberos sur votre client. Vous ne devriez pas avoir un krb5.conf ou smb.conf (au less dans mon expérience). Un couple de réglages peut être nécessaire en fonction de vos besoins.

    Consultez la page de manuel sssd-ad pour plus de détails sur la configuration du backend AD.

    En ce qui concerne votre question sur les ports, l'authentification se produit avec Kerberos pas LDAP / LDAPS (ce qui utilise les ports 389 et 636).

    id_provider = ad est assez sécurisé car il utilise GSSAPI bind à l'aide du Keytab Kerberos. Essayez de renifler le trafic LDAP, vous ne verrez rien. ldaps est également une extension non standard, il suffit de l'utiliser 🙂

    Les astuces du serveur de linux et windows, tels que ubuntu, centos, apache, nginx, debian et des sujets de réseau.