第 6 章 IdM 和 AD 间的通信所需的端口

要启用活动目录(AD)和身份管理(IdM)环境之间的通信，请在 AD 域控制器和 IdM 服务器的防火墙上打开以下端口。

Expand

表 6.1. AD 信任所需的端口
服务	端口	协议
端点解析端口映射器	135	TCP
NetBIOS-DGM	138	TCP 和 UDP
NetBIOS-SSN	139	TCP 和 UDP
Microsoft-DS	445	TCP 和 UDP
Dynamic RPC	49152-65535	TCP
AD Global Catalog	3268	TCP
LDAP	389	TCP 和 UDP

注意

在 IdM 服务器中不需要为信任打开 TCP 端口 389，但与 IdM 服务器通信的客户端需要这样端口。

DCE RPC 端点映射程序需要 TCP 端口 135 才能正常工作，并在 IdM-AD 信任创建过程中使用。

要打开端口，您可以使用以下方法：

firewalld 服务 — 您可以启用特定的端口，或启用包括端口的以下服务：
- FreeIPA 信任设置
- LDAP 的 FreeIPA
- Kerberos
- DNS
详情请查看您系统上的 firewall-cmd 手册页。
RHEL web 控制台，是一个基于 firewalld 服务的带有防火墙设置的 UI。

Expand

表 6.2. 信任中的 IdM 服务器所需的端口
服务	端口	协议
Kerberos	88, 464	TCP 和 UDP
LDAP	389	TCP
DNS	53	TCP 和 UDP

Expand

表 6.3. AD 信任中 IdM 客户端所需的端口
服务	端口	协议
Kerberos	88	UDP 和 TCP

注意

如果从密钥分发中心(KDC)发送的数据太大，libkrb5 库会使用 UDP ，并回退到 TCP 协议。Active Directory 将 Privilege Attribute 证书（PAC）附加到 Kerberos 票据上，这会增加大小，需要使用 TCP 协议。为了避免回退和重新发送请求，SSSD 默认对用户身份验证使用 TCP 。如果要在 libkrb5 使用 TCP 之前配置大小，请在 /etc/krb5.conf 文件中设置 udp_preference_limit。详情请查看您系统上的 krb5.conf (5) 手册页。

下图显示了 IdM 客户端发送的通信，以及 IdM 服务器和 AD 域控制器对此的接收和响应。要在防火墙上设置传入和传出端口和协议，请使用 firewalld 服务，该服务已有 FreeIPA 服务的定义。

Diagram showing the ports and protocols that IdM clients use when communicating with IdM servers and AD Domain Controllers

注意

用于建立信任的默认和推荐配置使用端口 389 (LDAP)。这个连接由 SASL/GSSAPI 保护，它提供强大的内置加密。为了与配置为拒绝此默认方法和强制 LDAPS 的特定 Active Directory (AD)环境兼容，也可以通过端口 636 进行通信。这是一个非标准配置，只有在您的 AD 策略进行严格必要时才应使用。请参考您的 AD 管理员，在配置防火墙前确认您的环境要求。如果您在这种情况下，创建一个支持问题单。

第 6 章 IdM 和 AD 间的通信所需的端口

学习

尝试、购买和销售

社区

关于红帽文档

让开源更具包容性

關於紅帽

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links