Active-Directory

SSSD Kerberos 身份驗證與 AD

  • October 11, 2016

我正在嘗試設置 SSSD 以向 AD 進行身份驗證,並希望以最安全的方式進行。我注意到設置auth_provider = ad埠 389 是打開的。我們有阻止埠 389 的防火牆規則。設置ldap_service_port = 636沒有做任何事情。有人可以解釋一下 ad 和 krb5 auth provider 之間有什麼區別嗎?我目前有一個 krb5、samba 和 sssd 的 conf。

這是我目前的設置https://fedorahosted.org/sssd/wiki/Configuring_sssd_with_ad_server

要使用 AD 進行身份驗證,您將使用 kerberos 身份驗證,無論使用adkrbas auth_provider。通過使用auth_provider = ad,SSSD 將為您處理一切,因此您無需在 sssd.conf 中進行特定的 kerberos 或 ldap 配置。

如果您沒有realm join按照文件所述使用,我強烈建議您在可能的情況下使用它。它將sssd.conf使用正確的配置創建您的,並將在您的客戶端上創建和安裝您的 kerberos 密鑰。你不應該需要krb5.confor smb.conf(至少根據我的經驗)。根據您的要求,可能需要進行一些調整。

有關配置 AD 後端的詳細資訊,請查看 sssd-ad 手冊頁。

關於您關於埠的問題,身份驗證是使用 Kerberos 而不是 LDAP/LDAPS(使用埠 389 和 636)進行的。

引用自:https://serverfault.com/questions/807732