34.5. IdM 和 AD 间的通信所需的端口
要启用 Active Directory(AD)和身份管理(IdM)环境之间的通信,请在 AD 域控制器和 IdM 服务器的防火墙中开放以下端口:
服务 | 端口 | 协议 |
---|---|---|
端点解析端口映射器 | 135 | TCP |
NetBIOS-DGM | 138 | TCP 和 UDP |
NetBIOS-SSN | 139 | TCP 和 UDP |
Microsoft-DS | 445 | TCP 和 UDP |
Dynamic RPC | 49152-65535 | TCP |
AD Global Catalog | 3268 | TCP |
LDAP | 389 | TCP 和 UDP |
在 IdM 服务器中不需要为信任打开 TCP 端口 389,但与 IdM 服务器通信的客户端需要这样端口。
要使 DCE RPC 端点映射程序正常工作,并在 IdM-AD 信任创建过程中被使用,需要 TCP 端口 135。
要打开端口,您可以使用以下方法:
firewalld
服务 — 您可以启用特定的端口,或启用包括端口的以下服务:- FreeIPA 信任设置
- LDAP 的 FreeIPA
- Kerberos
- DNS
详情请查看系统中的
firewall-cmd
手册页。
如果您使用 RHEL 8.2 及更早版本,freeipa-trust
firewalld 服务包含一个 1024-1300
RPC 端口范围,这是不正确的。在 RHEL 8.2 及更早版本中,除了启用 freeipa-trust
firewalld 服务外,您必须手动打开 TCP 端口范围 49152-65535
。
这个问题已在 Bug 1850418 - 更新 freeipa-trust.xml 定义以使其包含正确的动态 RPC 范围 中针对 RHEL 8.3 及之后的版本修复了。
RHEL web 控制台,是一个基于
firewalld
服务的带有防火墙设置的 UI。有关通过 Web 控制台配置防火墙的详情,请参阅 使用 Web 控制台在防火墙上启用服务
注意如果您使用 RHEL 8.2 及更早版本,则
FreeIPA Trust Setup
服务包含 RPC 端口范围1024-1300
,这是不正确的。在 RHEL 8.2 及更早的版本中,除了在 RHEL web 控制台中启用FreeIPA Trust Setup
服务外,您必须手动打开 TCP 端口范围49152-65535
。这个问题已在 Bug 1850418 - 更新 freeipa-trust.xml 定义以使其包含正确的动态 RPC 范围 中针对 RHEL 8.3 及之后的版本修复了。
服务 | 端口 | 协议 |
---|---|---|
Kerberos | 88, 464 | TCP 和 UDP |
LDAP | 389 | TCP |
DNS | 53 | TCP 和 UDP |
服务 | 端口 | 协议 |
---|---|---|
Kerberos | 88 | UDP 和 TCP |
如果从密钥分发中心(KDC)发送的数据太大,libkrb5
库将使用 UDP ,并回退到 TCP 协议。Active Directory 将 Privilege Attribute 证书(PAC)附加到 Kerberos 票据上,这会增加大小,需要使用 TCP 协议。为了避免回退和重新发出请求,Red Hat Enterprise Linux 7.4 及之后的版本中的 SSSD 使用 TCP 进行用户身份验证。如果要在 libkrb5
使用 TCP 之前配置大小,请在 /etc/krb5.conf
文件中设置 udp_preference_limit
。详情请查看您系统上的 krb5.conf (5)
手册页。
下图显示了 IdM 客户端发送的通信,以及 IdM 服务器和 AD 域控制器对此的接收和响应。要在防火墙上设置传入和传出的端口和协议,红帽建议使用 firewalld
服务,该服务已经对 FreeIPA 服务有定义。
其他资源
- 有关 Windows Server 2008 及之后版本中动态 RPC 端口范围的更多信息,请参阅 从 Windows Vista 和 Windows Server 2008 起,TCP/IP 的默认动态端口范围已更改。