1.7. IdM で必要なポートの開放
IdM がサービスとの通信に使用する必要なポートを開くことができます。
手順
firewalld
サービスが実行されていることを確認します。firewalld
が実行中であることを確認するには、次のコマンドを実行します。systemctl status firewalld.service
# systemctl status firewalld.service
Copy to Clipboard Copied! Toggle word wrap Toggle overflow firewalld
を起動し、システム起動時に自動的に起動するように設定するには、次のコマンドを実行します。systemctl start firewalld.service systemctl enable firewalld.service
# systemctl start firewalld.service # systemctl enable firewalld.service
Copy to Clipboard Copied! Toggle word wrap Toggle overflow
firewall-cmd
ユーティリティーを使用して必要なポートを開きます。以下のいずれかのオプションを選択します。firewall-cmd --add-port
コマンドを使用して、個々のポートをファイアウォールに追加します。たとえば、デフォルトゾーンでポートを開くには、次のコマンドを実行します。firewall-cmd --permanent --add-port={80/tcp,443/tcp,389/tcp,636/tcp,88/tcp,88/udp,464/tcp,464/udp,53/tcp,53/udp}
# firewall-cmd --permanent --add-port={80/tcp,443/tcp,389/tcp,636/tcp,88/tcp,88/udp,464/tcp,464/udp,53/tcp,53/udp}
Copy to Clipboard Copied! Toggle word wrap Toggle overflow firewall-cmd --add-service
コマンドを使用して、ファイアウォールにfirewalld
サービスを追加します。たとえば、デフォルトゾーンでポートを開くには、次のコマンドを実行します。firewall-cmd --permanent --add-service={freeipa-4,dns}
# firewall-cmd --permanent --add-service={freeipa-4,dns}
Copy to Clipboard Copied! Toggle word wrap Toggle overflow firewall-cmd
を使用してシステムでポートを開く方法は firewall-cmd(1) の man ページを参照してください。
firewall-cmd
設定を再ロードして、変更が即座に反映されるようにします。firewall-cmd --reload
# firewall-cmd --reload
Copy to Clipboard Copied! Toggle word wrap Toggle overflow 実稼働システムで
firewalld
を再ロードすると、DNS の接続がタイムアウトになる可能性があることに注意してください。必要な場合は、以下の例のようにfirewall-cmd
コマンドで--runtime-to-permanent
オプションを指定して、タイムアウトが発生しないようにし、変更を永続化します。firewall-cmd --runtime-to-permanent
# firewall-cmd --runtime-to-permanent
Copy to Clipboard Copied! Toggle word wrap Toggle overflow
検証
クライアントサブネット上のホストにログインし、
nmap
またはnc
ユーティリティーを使用して、開いているポートに接続するかポートスキャンを実行します。たとえば、TCP トラフィックに必要なポートをスキャンするには、以下を実行します。
Copy to Clipboard Copied! Toggle word wrap Toggle overflow UDP トラフィックに必要なポートをスキャンするには、以下を実行します。
Copy to Clipboard Copied! Toggle word wrap Toggle overflow
さらに、着信および送信トラフィックの両方でネットワークベースのファイアウォールを開く必要があります。