Настроить пакет SSSD для исправления Microsoft (см. LDAPS / tls)
Я собираюсь изменить конфигурацию некоторых машин Ubuntu, которые используют пакет SSSD для привязки к AD. Насколько я понимаю, все запросы ldap должны проходить через TSL из конфигурации ниже.
Трудно провести тщательное тестирование, поскольку наш действующий AD довольно загружен, и по нему трудно отчитаться в режиме реального времени. У нас есть только расплывчатые отчеты, которые собираются каждые несколько часов, которые по-прежнему указывают на мою тестовую машину как на проблему.
Я наблюдал за tcpdump, там все еще есть нечетные биты информации в виде открытого текста, но ничего важного, только обновляемые местоположения серверов AD и метаданные. Кажется, это просто произвольная информация, сообщающая о рекламных серверах при перезапуске sssd.service.
Если кто-нибудь может дать какой-либо совет, как обеспечить работу sssd против грядущего патча Microsoft, я был бы очень благодарен.
[sssd]
domains = example.com
config_file_version = 2
services = nss, pam
[domain/example.com]
ad_domain = example.com
krb5_realm = example.com
realmd_tags = manages-system joined-with-adcli
cache_credentials = True
id_provider = ad
krb5_store_password_if_offline = True
default_shell = /bin/bash
rdns = false
dyndns_update_ptr = false
use_fully_qualified_names = False
#fallback_homedir = /home/%u@%d
access_provider = ad
override_homedir = /home/example/%u
ad_gpo_map_permit = +polkit-1
dyndns_update = True
default_domain_suffix = example.com
ignore_group_members = True
ldap_id_mapping = True
ldap_access_filter = (objectClass=user)
#ldap_uri = ldaps://example.com:636
ldap_uri = ldaps://example.com
ldap_search_base = DC=example,DC=com
# The file containing CA certificates you want sssd to trust.
ldap_tls_cacert = /etc/pki/rootCA.pem
# The TLS ciphers you wish to use. SSSD uses OpenSSL style cipher
# suites
ldap_tls_cipher_suite = HIGH
ldap_sasl_mech = GSSAPI
ldap_tls_reqcert = demand
1 ответ
Если вы используете что-то вроде Red Hat 8 и пытаетесь использовать ldaps, убедитесь, что TLS на серверной части имеет разрядность 2048 бит или выше и поддерживает современные шифры DH. Если нет, задайте для opensslcnf.config SECLEVEL=2 значение 1.
В качестве альтернативы, если вы присоединились к доменам и у вас есть рабочая таблица ключей, вы можете использовать шифрование GSSAPI поверх ldap. Это устраняет необходимость иметь открытые учетные данные для привязки.
Вам нужно будет выбрать один тип аутентификации для каждого раздела домена и убедиться, что все настройки совместимы. Обратите особое внимание на справочные страницы для них, так как некоторые из них полностью несовместимы с другими настройками. Это просто переменные, которые я переключаю в автоматизации на основе типа аутентификации. Есть еще много других, но они наиболее актуальны, исходя из того, что вы предоставили.
auth_provider (ldap or ad most likely based on your use case)
ldap_id_mapping (false is mostly used for the old unix tab attributes)
id_provider (ad will use GSSAPI. start_tls will most likely fail though)
ldap_user_name (uid for rfc2307, rfc2307bis, and IPA. sAMAccountName for AD)
ldap_group_name (cn for rfc2307, rfc2307bis, and IPA. sAMAccountName for AD)