红帽全球峰会第 6 章 IdM 和 AD 间的通信所需的端口
要启用 Active Directory(AD)和身份管理(IdM)环境之间的通信,请在 AD 域控制器和 IdM 服务器的防火墙中开放以下端口:
| 服务 | 端口 | 协议 |
|---|---|---|
| 端点解析端口映射器 | 135 | TCP |
| NetBIOS-DGM | 138 | TCP 和 UDP |
| NetBIOS-SSN | 139 | TCP 和 UDP |
| Microsoft-DS | 445 | TCP 和 UDP |
| Dynamic RPC | 49152-65535 | TCP |
| AD Global Catalog | 3268 | TCP |
| LDAP | 389 | TCP 和 UDP |
在 IdM 服务器中不需要为信任打开 TCP 端口 389,但与 IdM 服务器通信的客户端需要这样端口。
DCE RPC 端点映射程序需要 TCP 端口 135 才能正常工作,并在 IdM-AD 信任创建过程中使用。
要打开端口,您可以使用以下方法:
firewalld服务 — 您可以启用特定的端口,或启用包括端口的以下服务:- FreeIPA 信任设置
- LDAP 的 FreeIPA
- Kerberos
- DNS
详情请查看您系统上的
firewall-cmd手册页。RHEL web 控制台,是一个基于
firewalld服务的带有防火墙设置的 UI。
有关通过 Web 控制台配置防火墙的详情,请参阅 使用 Web 控制台在防火墙上启用服务
| 服务 | 端口 | 协议 |
|---|---|---|
| Kerberos | 88, 464 | TCP 和 UDP |
| LDAP | 389 | TCP |
| DNS | 53 | TCP 和 UDP |
| 服务 | 端口 | 协议 |
|---|---|---|
| Kerberos | 88 | UDP 和 TCP |
如果从密钥分发中心(KDC)发送的数据太大,libkrb5 库会使用 UDP ,并回退到 TCP 协议。Active Directory 将 Privilege Attribute 证书(PAC)附加到 Kerberos 票据上,这会增加大小,需要使用 TCP 协议。为了避免回退和重新发送请求,SSSD 默认使用 TCP 进行用户身份验证。如果要在 libkrb5 使用 TCP 前配置大小,请在 /etc/krb5.conf 文件中设置 udp_preference_limit。详情请查看您系统上的 krb5.conf (5) 手册页。
下图显示了 IdM 客户端发送的通信,以及 IdM 服务器和 AD 域控制器接收和响应的通信。要在防火墙上设置传入和传出的端口和协议,红帽建议使用 firewalld 服务,该服务已有 FreeIPA 服务的定义。
