Active-Directory
SSSD Kerberos 身份驗證與 AD
我正在嘗試設置 SSSD 以向 AD 進行身份驗證,並希望以最安全的方式進行。我注意到設置
auth_provider = ad
埠 389 是打開的。我們有阻止埠 389 的防火牆規則。設置ldap_service_port = 636
沒有做任何事情。有人可以解釋一下 ad 和 krb5 auth provider 之間有什麼區別嗎?我目前有一個 krb5、samba 和 sssd 的 conf。這是我目前的設置https://fedorahosted.org/sssd/wiki/Configuring_sssd_with_ad_server
要使用 AD 進行身份驗證,您將使用 kerberos 身份驗證,無論使用
ad
或krb
asauth_provider
。通過使用auth_provider = ad
,SSSD 將為您處理一切,因此您無需在 sssd.conf 中進行特定的 kerberos 或 ldap 配置。如果您沒有
realm join
按照文件所述使用,我強烈建議您在可能的情況下使用它。它將sssd.conf
使用正確的配置創建您的,並將在您的客戶端上創建和安裝您的 kerberos 密鑰。你不應該需要krb5.conf
orsmb.conf
(至少根據我的經驗)。根據您的要求,可能需要進行一些調整。有關配置 AD 後端的詳細資訊,請查看 sssd-ad 手冊頁。
關於您關於埠的問題,身份驗證是使用 Kerberos 而不是 LDAP/LDAPS(使用埠 389 和 636)進行的。