我在一家使用 Active Directory 域的公司工作,在 Win Server 2016 上运行。我有一些与 Samba 集成的 Linux 服务器 (RHEL6) AD。我已阅读 Microsoft 将很快发布更新 Microsoft ADV190023,并且我正在使用 RHEL 7(8 尚未批准),以便仅通过 LDAPS 使用 AD 控制器。
我希望我的 Linux 客户端只在目标端口 636 上与 DC 对话。我尝试查看几个论坛,但在不同的配置(realmd、krb5、sssd、pam、ldap.conf)之间有点迷失。
我知道有几种方法可以加入 AD 域。我最后尝试的是自动配置sssd和krb5的领域。可以成功,但我只希望在 636 上。此外,我需要对上面的内容进行一些刷新,我想知道通过 net ads join -U administrator 和 realm join mydomain.com 将 Linux 加入 AD 有什么区别?
有没有办法强制我的 linux 客户端只在端口 636 上与 DC 对话?我是否需要在我的 Linux 客户端上生成证书并获得我们的证书颁发机构的批准?我已经导入了 DC 证书 + 根 CA。
感谢您的帮助,问候
Realmd允许您在 Linux 主机上配置 AD 和 LDAP 客户端集成。在后端,它将创建所有需要的配置文件(SSSD、krb5、PAM)并加入域。
此时,realmd 只能用于配置 AD 和 LDAP。您也可以将 SSSD 与 LDAPS 一起使用,但这需要您自己进行一些手动且稍微复杂的配置。
检查Microsoft 安全公告 ADV190023 的影响 | RHEL 和 AD 集成上的 LDAP 通道绑定和 LDAP 签名。红帽表示:
adcli增强功能,允许将 LDAPS 协议与 SSSD 活动目录提供程序一起使用。这将允许我们像您习惯的那样配置 AD 集成 (realmd),但在后端使用 LDAPS。这种类型的配置是可选的,仅在默认 LDAP 端口 389 关闭的环境中需要。上述 RFE 还将 GSS-SPNEGO 设置为adcli. 目前 GSSAPI 是硬编码的adcli,无法更改。更新: Red Hat 昨天发布了 RHEL 7.8,其中包含新
adcli功能。查看adcli手册页以获取更多详细信息。目前似乎没有realm集成,因此如果您想使用“完整的 LDAPS”(在端口 636 上),您必须结合adcliSSSD 中的手动 LDAPS 配置。在 AD 端强制执行 ADV190023 建议时,无需切换到基于 TLS 的通信。RHEL 客户端守护进程 SSSD 在与 AD 后端通信时默认使用 SASL。SASL 还可以对连接进行签名和密封,这样就不需要使用 TLS。目前,在 RHEL 中提供的 SASL 库不支持通道绑定令牌(工作已经在上游完成,很快就会到达 RHEL),因此当您从默认 LDAP 端口 389 上的 SASL 移动到端口 636 并依赖时,您甚至会遇到问题在 TLS 上用于密封和签署连接。只有在使用 TLS 时才需要通道绑定令牌。