付録E Identity Management サーバーポートに関する考慮事項
E.1. Identity Management コンポーネントおよび関連するサービス
表E.1「Identity Management コンポーネントおよび関連するサービス」 各 Identity Management サービスが外部に公開するポートのリストを表示します。
コンポーネント | サービス | アクセスが許可されているポート |
---|---|---|
Identity Management フレームワーク* | Apache ベースの Web サービスとその他のサービスへのルート | HTTPS ポート 443(TCP/TCP6) |
LDAP ディレクトリーサーバー | 389-ds のインスタンス |
ポート 389 (TCP/TCP6) - 通常の LDAP トラフィック。接続を保護するには StartTLS 拡張機能または SASL GSSAPI を使用します。
ポート 636(TCP/TCP6): SSL 経由の通常の LDAP トラフィック
ポート 389 (UDP) - Active Directory サービスとの統合を容易にする接続なしの LDAP アクセス
|
Kerberos キー配布センター* | krb5kdc |
ポート 88 (TCP/TCP6 and UDP/UDP6): 通常の Kerberos トラフィック
ポート 464 (TCP/TCP6 および UDP/UDP6) - Kerberos パスワード変更プロトコルアクセス
|
Kerberos 管理者ーモン * | kadmind | ポート 749 (TCP/TCP6): 内部で使用される Kerberos リモート管理プロトコル |
Custodia 鍵管理* | custodia | HTTPS ポート 443(TCP/TCP6): Identity Management フレームワークの一環 |
System Security Services Daemon* | sssd | HTTPS ポート 443(TCP/TCP6): Identity Management フレームワークの一環 |
MS-KDCP プロキシー ** | HTTPS 経由での Kerberos へのプロキシーアクセス | HTTPS ポート 443(TCP/TCP6): Identity Management フレームワークの一環 |
認証局 | Tomcat 上部の Dogtag インスタンス |
HTTPS ポート 443(TCP/TCP6): Identity Management フレームワークの一環
ポート80 (TCP/TCP6) 経由の HTTP アクセス。ただし、Identity Management に設定された Apache ルールに従ってポート8080 (TCP/TCP6) に内部でリダイレクトされます。取得される情報は、OCSP レスポンダーと証明書のステータス (証明書失効リスト) です。
ポート 8443(TCP/TCP6) での HTTPS 内部アクセス: CA 管理用
IPA マスターでは、内部的に、ポート 8005 および 8009 (TCP/TCP6) が 127.0.0.1 and ::1 ローカルインターフェイスアドレス上の証明書サービスのコンポーネントを実行するのに使用されます。
|
DNS | named |
ポート 53 (TCP/TCP6 and UDP/UDP6): 標準の DNS リゾルバー
ポート 953 (TCP/TCP6) - 127.0.0.1 および ::1 のローカルインターフェイスアドレスでの BIND サービスリモート制御
|
Active Directory の統合 | Samba サービス (smbd、winbindd) |
ポート 135(TCP/TCP6): DCE RPC エンドポイントマッパー (smbd デーモン)
ポート 138 (TCP/TCP6)、NetBIOS Datagram service (任意。nmbd デーモンの実行が必要)
ポート 139 (TCP/TCP6)、NetBIOS セッションサービス (smbd デーモン)
ポート 445(TCP/TCP6): TCP/TCP6 経由の SMB プロトコル (smbd デーモン)
DCE RPC エンドポイントサービスで動的に開かれたポート 49152-65535 (TCP/TCP6)
|
認証局 vault | Dogtag インスタンスの KRA コンポーネント |
HTTPS ポート 443(TCP/TCP6): Identity Management フレームワークの一環
ポート80 (TCP/TCP6) 経由の HTTP アクセス、ただし、Apache ルールによりポート8080 (TCP/TCP6) に内部でリダイレクト - OCSP レスポンダーおよび証明書のステータス (証明書失効一覧)
ポート 8443(TCP/TCP6) での HTTPS 内部アクセス: CA 管理用
IPA マスターでは、内部的に、ポート 8005 および 8009 (TCP/TCP6) が 127.0.0.1 and ::1 ローカルインターフェイスアドレス上の証明書サービスのコンポーネントを実行するのに使用されます。
|
* Identity Management デプロイメントの場合はすべて、アスタリスクが付いたサービスは必須です。
** MS-KDCP プロキシーコンポーネントはオプションですが、デフォルトで有効になっています。