1.7. IdM で必要なポートの開放
手順
firewalld
サービスが実行されていることを確認します。firewalld
が実行中であることを確認するには、次のコマンドを実行します。# systemctl status firewalld.service
firewalld
を起動し、システム起動時に自動的に起動するように設定するには、次のコマンドを実行します。# systemctl start firewalld.service # systemctl enable firewalld.service
firewall-cmd
ユーティリティーを使用して必要なポートを開きます。以下のいずれかのオプションを選択します。firewall-cmd --add-port
コマンドを使用して個別のポートをファイアウォールに追加します。たとえば、デフォルトゾーンでポートを開くには、次のコマンドを実行します。# firewall-cmd --permanent --add-port={80/tcp,443/tcp,389/tcp,636/tcp,88/tcp,88/udp,464/tcp,464/udp,53/tcp,53/udp}
firewall-cmd --add-service
コマンドを使用して、firewalld
サービスをファイアウォールに追加します。たとえば、デフォルトゾーンでポートを開くには、次のコマンドを実行します。# firewall-cmd --permanent --add-service={freeipa-4,dns}
firewall-cmd
を使用してシステムでポートを開く方法は firewall-cmd(1) の man ページを参照してください。
firewall-cmd
設定を再ロードして、変更が即座に反映されるようにします。# firewall-cmd --reload
実稼働システムで
firewalld
を再ロードすると、DNS の接続がタイムアウトになる可能性があることに注意してください。必要な場合は、以下の例のようにfirewall-cmd
コマンドで--runtime-to-permanent
オプションを指定して、タイムアウトが発生しないようにし、変更を永続化します。# firewall-cmd --runtime-to-permanent
検証
クライアントサブネット上のホストにログインし、
nmap
またはnc
ユーティリティーを使用して、開いているポートに接続するかポートスキャンを実行します。たとえば、TCP トラフィックに必要なポートをスキャンするには、以下を実行します。
$ nmap -p 80,443,389,636,88,464,53 server.idm.example.com [...] PORT STATE SERVICE 53/tcp open domain 80/tcp open http 88/tcp open kerberos-sec 389/tcp open ldap 443/tcp open https 464/tcp open kpasswd5 636/tcp open ldapssl
UDP トラフィックに必要なポートをスキャンするには、以下を実行します。
# nmap -sU -p 88,464,53 server.idm.example.com [...] PORT STATE SERVICE 53/udp open domain 88/udp open|filtered kerberos-sec 464/udp open|filtered kpasswd5
さらに、着信および送信トラフィックの両方でネットワークベースのファイアウォールを開く必要があります。