web-dev-qa-db-ja.com

SSSDKerberos認証とAD

ADに対して認証するようにSSSDをセットアップしようとしていますが、可能な限り最も安全な方法で実行したいと考えています。 auth_provider = adPort389を設定すると気づきました。ポート389をブロックしているファイアウォールルールがあります。ldap_service_port = 636を設定しても何も起こりませんでした。誰かがadとkrb5認証プロバイダーの違いは何であるか説明できますか?私は現在krb5、samba、sssdのconfを持っています。

これは私の現在の設定です https://fedorahosted.org/sssd/wiki/Configure_sssd_with_ad_server

2
CodyK

ADで認証するには、adまたはkrbauth_providerとして使用するかどうかに関係なく、Kerberos認証を使用します。 auth_provider = adを使用すると、SSSDがすべてを処理するため、sssd.confで特定のKerberosまたはLDAP構成を作成する必要はありません。

ドキュメントで説明されているようにrealm joinを使用しなかった場合は、可能であればシナリオで使用することを強くお勧めします。正しい構成でsssd.confを作成し、Kerberosキーを作成してクライアントにインストールします。 krb5.confまたはsmb.confは必要ありません(少なくとも私の経験では)。要件によっては、いくつかの調整が必要になる場合があります。

ADバックエンドの設定の詳細については、sssd-ad manpage を確認してください。

ポートに関する質問に関して、認証はLDAP/LDAPSではなくKerberosで行われています(ポート389および636を使用しています)。

2
MikeA

id_provider = ad is Kerberosキータブを使用してGSSAPIバインドを使用するため、十分に安全です。 LDAPトラフィックをスニッフィングしてみてください。何も表示されません。 ldapsも非標準の拡張機能です。使用をやめてください:)

3
jhrozek