SSSD Kerberos 身份驗證與 AD

我正在嘗試設置 SSSD 以向 AD 進行身份驗證，並希望以最安全的方式進行。我注意到設置auth_provider = ad埠 389 是打開的。我們有阻止埠 389 的防火牆規則。設置ldap_service_port = 636沒有做任何事情。有人可以解釋一下 ad 和 krb5 auth provider 之間有什麼區別嗎？我目前有一個 krb5、samba 和 sssd 的 conf。

這是我目前的設置https://fedorahosted.org/sssd/wiki/Configuring_sssd_with_ad_server

要使用 AD 進行身份驗證，您將使用 kerberos 身份驗證，無論使用ad或krbas auth_provider。通過使用auth_provider = ad，SSSD 將為您處理一切，因此您無需在 sssd.conf 中進行特定的 kerberos 或 ldap 配置。

如果您沒有realm join按照文件所述使用，我強烈建議您在可能的情況下使用它。它將sssd.conf使用正確的配置創建您的，並將在您的客戶端上創建和安裝您的 kerberos 密鑰。你不應該需要krb5.confor smb.conf（至少根據我的經驗）。根據您的要求，可能需要進行一些調整。

有關配置 AD 後端的詳細資訊，請查看 sssd-ad 手冊頁。

關於您關於埠的問題，身份驗證是使用 Kerberos 而不是 LDAP/LDAPS（使用埠 389 和 636）進行的。

引用自：https://serverfault.com/questions/807732