25.5. Portos necessários para a comunicação entre IdM e AD
Para permitir a comunicação entre os controladores de domínio Active Directory (AD) e os servidores de Gerenciamento de Identidade (IdM), você deve abrir portas em suas firewalls.
Serviço | Porto | Protocolo |
---|---|---|
Portmapper de resolução de ponto final | 135 | TCP |
NetBIOS-DGM | 138 | TCP e UDP |
NetBIOS-SSN | 139 | TCP e UDP |
Microsoft-DS | 445 | TCP e UDP |
RPC dinâmico | 49152-65535 | TCP |
Catálogo global AD | 3268 | TCP |
LDAP | 389 | TCP e UDP |
A porta TCP 389 não precisa estar aberta nos servidores IdM para confiança, mas é necessária para os clientes que se comunicam com o servidor IdM.
Para abrir os portos, você pode usar os seguintes métodos:
Firewalld service - you pode habilitar os portos específicos ou habilitar os seguintes serviços que incluem os portos:
- Configuração de confiança FreeIPA
- FreeIPA com LDAP
- Kerberos
- DNS
Para obter detalhes, consulte Controlar portos usando CLI.
O serviço freeipa-trust
Firewalld inclui atualmente uma gama de portas RPC de 1024-1300
, mas esta gama foi atualizada para 49152-65535
no Windows Server 2008 e posteriormente. O serviço freeipa-trust
Firewalld será atualizado para refletir esta nova faixa, e esta edição é rastreada no Bug 1850418 - update freeipa-trust.xml definition para incluir a faixa correta de RPCs dinâmicos.
Até que esse bug tenha sido resolvido, abra manualmente a faixa de portas TCP 49152-65535
além de habilitar o serviço freeipa-trust
Firewalld.
O console web RHEL, que é uma IU com configurações de firewall baseadas em firewalld.
Para detalhes sobre a configuração do firewall através do console web, veja Habilitação de serviços no firewall usando o console web.
NotaO serviço
FreeIPA Trust Setup
atualmente inclui uma gama de portas RPC de1024-1300
, mas esta gama foi atualizada para49152-65535
no Windows Server 2008 e posteriormente. A definição do serviço de firewallFreeIPA Trust Setup
será atualizada, e esta edição é rastreada no Bug 1850418 - atualização da definição freeipa-trust.xml para incluir a faixa dinâmica correta do RPC.Até que esse bug tenha sido resolvido, abra manualmente a faixa de portas TCP
49152-65535
, além de habilitar o serviçoFreeIPA Trust Setup
no console web RHEL.
Serviço | Porto | Protocolo |
---|---|---|
Kerberos | 88, 464 | TCP e UDP |
LDAP | 389 | TCP |
DNS | 53 | TCP e UDP |
Serviço | Porto | Protocolo |
---|---|---|
Kerberos | 88 | UDP e TCP |
A biblioteca libkrb5
utiliza o UDP e volta ao protocolo TCP se os dados enviados pelo Centro de Distribuição de Chaves (KDC) forem muito grandes. O Active Directory anexa um Certificado de Atribuição de Privilégio (PAC) ao bilhete Kerberos, o que aumenta o tamanho e requer o uso do protocolo TCP. Para evitar a queda e reenviar a solicitação, por default, o SSSD no Red Hat Enterprise Linux 7.4 e mais tarde usa o TCP para autenticação do usuário. Se você quiser configurar o tamanho antes da libkrb5 usar TCP, defina o udp_preference_limit
no arquivo /etc/krb.5.conf
. Para detalhes, veja a página de manual krb5.conf(5)
.
Recursos adicionais
- Para mais informações sobre a faixa de portas dinâmicas RPC no Windows Server 2008 e posteriores, consulte A faixa de portas dinâmicas padrão para TCP/IP mudou desde o Windows Vista e no Windows Server 2008.