如何確認 IPA+SSSD 僅使用加密通道？

簡單地說：我想確保我的身份驗證路徑沿整個路徑加密。

（例如，從筆記型電腦->SSH 主機加密；從 SSH 主機->身份驗證伺服器；以及從 SSH 主機->其他主機）

我在跑步

• Centos 7 上的 FreeIPA 作為中央身份驗證伺服器。
• 執行 freeipa-client Ubuntu 軟體包 3.3.4-0ubuntu3.1 的 Ubuntu 14.04 客戶端

這被配置為使用 Kerberos 票證對我們環境中的伺服器進行身份驗證，一旦連接到登錄伺服器。即從登錄伺服器到環境中其他伺服器的SSH。

登錄伺服器是我最不確定的組件。它的配置如下：

[domain/mydom.example.com]

cache_credentials = True
krb5_store_password_if_offline = True
krb5_realm = MYDOM.EXAMPLE.COM
ipa_domain = mydom.example.com
id_provider = ipa
auth_provider = ipa
access_provider = ipa
ipa_hostname = loginhost.mydom.example.com
chpass_provider = ipa
ipa_server = _srv_, ipaserver.mydom.example.com
ldap_tls_cacert = /etc/ipa/ca.crt
[sssd]
services = nss, pam, ssh, sudo
config_file_version = 2

domains = mydom.example.com
[nss]

[pam]

[sudo]

[autofs]

[ssh]

[pac]

一個最簡單的方法是開始擷取數據包ipaserver.mydom.example.com，監聽來自的流量loginhost.mydom.example.com。

例如，使用 tshark（wireshark 的控制台版本），您可以同時進行攔截和分析：

tshark -w /tmp/t.pcapng -W n -P -V -x host loginhost.mydom.example.com | tee /tmp/t.log 

一旦你有了 t.log，你就可以查看它。除了 SSSD 發現 LDAP 伺服器功能的幾個初始 LDAP 交換之外，其餘的 LDAP 通信不應由 tshark 解析，因為在 LDAP 與 SASL GSSAPI 綁定後它將被加密。一旦 SSSD 開始使用 SASL GSSAPI，LDAP 通信中的所有流量都將被加密和密封。

這是針對 LDAP 流量的。SSH 流量分析可以用類似的方式完成。

引用自：https://serverfault.com/questions/744580