2.9. 打开 IdM 所需的端口
流程
验证
firewalld
服务是否正在运行。查看
firewalld
当前是否正在运行:# systemctl status firewalld.service
启动
firewalld
并将其配置为在系统引导时自动启动:# systemctl start firewalld.service # systemctl enable firewalld.service
使用
firewall-cmd
工具打开所需的端口。选择以下选项之一:使用
firewall-cmd --add-port
命令在防火墙中添加各个端口。例如,要在默认区中打开端口:# firewall-cmd --permanent --add-port={80/tcp,443/tcp,389/tcp,636/tcp,88/tcp,88/udp,464/tcp,464/udp,53/tcp,53/udp}
使用
firewall-cmd --add-service
命令在防火墙中添加firewalld
服务。例如,要在默认区中打开端口:# firewall-cmd --permanent --add-service={freeipa-4,dns}
有关使用
firewall-cmd
开放系统上端口的详情,请参考 firewall-cmd(1)手册页。
重新载入
firewall-cmd
配置以确保修改立即生效:# firewall-cmd --reload
请注意,在生产环境的系统上重新载入
firewalld
可能会导致 DNS 连接超时。如果需要,为了避免超时的风险并在运行的系统上永久保留修改,请使用firewall-cmd
命令的--runtime-to-permanent
选项,例如:# firewall-cmd --runtime-to-permanent
验证
登录客户端子网上的主机,并使用
nmap
或nc
实用程序连接到打开的端口或运行端口扫描。例如,要扫描 TCP 流量所需的端口:
$ nmap -p 80,443,389,636,88,464,53 server.idm.example.com [...] PORT STATE SERVICE 53/tcp open domain 80/tcp open http 88/tcp open kerberos-sec 389/tcp open ldap 443/tcp open https 464/tcp open kpasswd5 636/tcp open ldapssl
扫描 UDP 流量所需的端口:
# nmap -sU -p 88,464,53 server.idm.example.com [...] PORT STATE SERVICE 53/udp open domain 88/udp open|filtered kerberos-sec 464/udp open|filtered kpasswd5
您还必须为传入和传出流量打开基于网络的防火墙。