Microsoft ADV190023:如何在 RHEL 7 上強制使用 LDAPS?
我在一家使用 Active Directory 域的公司工作,在 Win Server 2016 上執行。我有一些與 Samba 集成的 Linux 伺服器 (RHEL6) AD。我已閱讀 Microsoft 將很快發布更新 Microsoft ADV190023,並且我正在使用 RHEL 7(8 尚未批准),以便僅通過 LDAPS 使用 AD 控制器。
我希望我的 Linux 客戶端僅在目標埠 636 上與 DC 對話。我嘗試查看幾個論壇,但在不同的配置(realmd、krb5、sssd、pam、ldap.conf)之間有點迷失。
我知道有幾種方法可以加入 AD 域。我最後嘗試的是自動配置sssd和krb5的領域。可以成功,但我只希望在 636 上。此外,我需要對上面的內容進行一些刷新,我想知道通過 net ads join -U administrator 和 realm join mydomain.com 將 Linux 加入 AD 有什麼區別?
有沒有辦法強制我的 linux 客戶端只在埠 636 上與 DC 對話?我是否需要在我的 Linux 客戶端上生成證書並獲得我們的證書頒發機構的批准?我已經導入了 DC 證書 + 根 CA。
感謝您的幫助,問候
Realmd允許您在 Linux 主機上配置 AD 和 LDAP 客戶端集成。在後端,它將創建所有需要的配置文件(SSSD、krb5、PAM)並加入域。
此時,realmd 只能用於配置 AD 和 LDAP。您也可以將 SSSD 與 LDAPS 一起使用,但這需要您自己進行一些手動且稍微複雜的配置。
檢查Microsoft 安全公告 ADV190023 的影響 | RHEL 和 AD 集成上的 LDAP 通道綁定和 LDAP 簽名。紅帽表示:
- 他們通過在各種場景下對 Active Directory 域域 2016 強制執行 LDAP 通道綁定和 LDAP 簽名進行了驗證,並觀察到對 Red Hat Enterprise Linux 6、7 和 8 客戶端系統功能沒有影響。
- 預設配置可能會在域控制器上導致 ID 為 2889 的事件,但這看起來像是目前正在調查的錯誤/肯定日誌事件。
- 他們正在開發 SSSD/
adcli
增強功能,允許將 LDAPS 協議與 SSSD 活動目錄提供程序一起使用。這將允許我們像您習慣的那樣配置 AD 集成 (realmd),但在後端使用 LDAPS。這種類型的配置是可選的,僅在預設 LDAP 埠 389 關閉的環境中需要。上述 RFE 還將 GSS-SPNEGO 設置為adcli
. 目前 GSSAPI 是硬編碼的adcli
,無法更改。更新: Red Hat 昨天發布了 RHEL 7.8,其中包含新
adcli
功能。查看adcli
手冊頁以獲取更多詳細資訊。目前似乎沒有realm
集成,因此如果您想使用“完整的 LDAPS”(在埠 636 上),您必須結合adcli
SSSD 中的手動 LDAPS 配置。