附录 E. 身份管理服务器端口注意事项
E.1. 身份管理组件和相关服务
表 E.1 “身份管理组件和相关服务” 列出个别身份管理服务从外部公开的端口。
组件 | 服务 | 允许访问的端口 |
---|---|---|
身份管理框架* | 基于 Apache 的 Web 服务以及到其他服务的路由 | HTTPS 端口 443(TCP/TCP6) |
LDAP 目录服务器* | 389-DS 实例 |
端口 389(TCP/TCP6) :使用 StartTLS 扩展或 SASL GSSAPI 来保护连接
端口 636(TCP/TCP6) :通过 SSL 的普通 LDAP 流量
端口 389(UDP) :无连接 LDAP 访问,促进与 Active Directory 服务的集成
|
Kerberos 密钥分发中心* | krb5kdc |
端口 88(TCP/TCP6 和 UDP/UDP6) :普通的 Kerberos 流量
port 464(TCP/TCP6 和 UDP/UDP6):Kerberos 密码更改协议访问
|
Kerberos 管理员守护进程* | kadmind | 端口 749(TCP/TCP6):Kerberos 远程管理协议在内部使用 |
custodia 密钥管理* | custodia | HTTPS 端口 443(TCP/TCP6): 作为身份管理框架的一部分 |
系统安全服务守护进程* | sssd | HTTPS 端口 443(TCP/TCP6): 作为身份管理框架的一部分 |
MS-KKDCP 代理** | 通过 HTTPS 对 Kerberos 的代理访问 | HTTPS 端口 443(TCP/TCP6): 作为身份管理框架的一部分 |
证书颁发机构 | Tomcat 顶部的 Dogtag 实例 |
HTTPS 端口 443(TCP/TCP6): 作为身份管理框架的一部分
HTTP 访问通过端口 80(TCP/TCP6) 进行内部重定向到端口 8080(TCP/TCP6),根据为身份管理设置的 Apache 规则;检索的信息是 OCSP 响应器和证书状态(证书撤销列表)
在内部,HTTPS 通过端口 8443(TCP/TCP6) 访问:用于 CA 管理目的
在 IPA 主机上,使用端口 8005 和 8009(TCP/TCP6) 在 127.0.0.1 和 ::1 本地接口地址上运行证书颁发机构服务的组件
|
DNS | named |
端口 53(TCP/TCP6 和 UDP/UDP6): 标准 DNS 解析器
端口 953(TCP/TCP6):127.0.0.1 和 ::1 本地接口地址的 BIND 服务远程控制
|
Active Directory 集成 | Samba 服务(smbd、winbindd) |
端口 135(TCP/TCP6):DCE RPC 端点映射器(smbd 守护进程)
端口 138(TCP/TCP6),NetBIOS 数据报服务(可选,需要 nmbd 守护进程才能运行)
端口 139(TCP/TCP6),NetBIOS 会话服务(smbd 守护进程)
端口 445(TCP/TCP6)、基于 TCP/TCP6(smbd 守护进程)的 SMB 协议.
为 DCE RPC 端点服务动态打开端口 49152-65535(TCP/TCP6)
|
证书颁发机构 Vault | Dogtag 实例的 KRA 组件 |
HTTPS 端口 443(TCP/TCP6): 作为身份管理框架的一部分
HTTP 访问通过端口 80(TCP/TCP6),但内部通过 Apache 规则重定向到端口 8080(TCP/TCP6) :对于 OCSP 响应器和证书状态(Certificate Revocation List)
在内部,HTTPS 通过端口 8443(TCP/TCP6) 访问:用于 CA 管理目的
在 IPA 主机上,使用端口 8005 和 8009(TCP/TCP6) 在 127.0.0.1 和 ::1 本地接口地址上运行证书颁发机构服务的组件
|
* 标记有星号的服务在每个身份管理部署中都处于活跃状态。
** MS-KKDCP 代理组件是可选的,但默认启用。