Я пытаюсь настроить SSSD для аутентификации в AD и хочу сделать это максимально безопасным способом. Заметил при установке auth_provider = adПорт 389 открыт. У нас есть правила брандмауэра, которые блокируют порт 389. Настройка ldap_service_port = 636 ничего не делать. Может кто-нибудь объяснить, в чем будет разница между поставщиком ad и krb5 auth? У меня сейчас есть conf для krb5, samba и sssd.
Это моя текущая установка https://fedorahosted.org/sssd/wiki/Configuring_sssd_with_ad_server
id_provider = ad является достаточно безопасен, потому что он использует привязку GSSAPI с помощью вкладки Kerberos. Попробуйте понюхать трафик LDAP, ничего не увидите. ldaps - тоже нестандартное расширение, просто перестаньте им пользоваться :)
Для аутентификации в AD вы будете использовать аутентификацию Kerberos независимо от использования ad или krb так как auth_provider. Используя auth_provider = ad, SSSD сделает все за вас, поэтому вам не нужно будет делать определенные конфигурации kerberos или ldap в вашем sssd.conf.
Если вы не использовали realm join как описано в документе, я настоятельно рекомендую это, если это возможно в вашем сценарии. Это создаст ваш sssd.conf с правильными конфигурациями, и он создаст и установит ваш ключ Kerberos на вашем клиенте. Вам не понадобится krb5.conf или smb.conf (по крайней мере, по моему опыту). В зависимости от ваших требований может потребоваться пара настроек.
Проверьте sssd-ad справочная страница для получения подробной информации о настройке серверной части AD.
Что касается вашего вопроса о портах, аутентификация выполняется с помощью Kerberos, а не LDAP / LDAPS (который использует порты 389 и 636).