搜索

第 6 章 IdM 和 AD 间的通信所需的端口

download PDF

要启用 Active Directory(AD)和身份管理(IdM)环境之间的通信,请在 AD 域控制器和 IdM 服务器的防火墙中开放以下端口:

表 6.1. AD 信任所需的端口
服务端口协议

端点解析端口映射器

135

TCP

NetBIOS-DGM

138

TCP 和 UDP

NetBIOS-SSN

139

TCP 和 UDP

Microsoft-DS

445

TCP 和 UDP

Dynamic RPC

49152-65535

TCP

AD Global Catalog

3268

TCP

LDAP

389

TCP 和 UDP

注意

在 IdM 服务器中不需要为信任打开 TCP 端口 389,但与 IdM 服务器通信的客户端需要这样端口。

DCE RPC 端点映射程序需要 TCP 端口 135 才能正常工作,并在 IdM-AD 信任创建过程中使用。

要打开端口,您可以使用以下方法:

  • firewalld 服务 — 您可以启用特定的端口,或启用包括端口的以下服务:

    • FreeIPA 信任设置
    • LDAP 的 FreeIPA
    • Kerberos
    • DNS

    详情请查看系统中的 firewall-cmd 手册页。

注意

如果您使用 RHEL 8.2 及更早版本,freeipa-trust firewalld 服务包含 RPC 端口范围 1024-1300 ,这是不正确的。在 RHEL 8.2 及更早版本上,除了启用 freeipa-trust firewalld 服务外,您必须手动打开 TCP 端口范围 49152-65535

这个问题已在 RHEL 8.3 和更新的版本中被解决。(Bug 1850418 - update freeipa-trust.xml definition to include correct dynamic RPC range

表 6.2. 信任中的 IdM 服务器所需的端口
服务端口协议

Kerberos

88, 464

TCP 和 UDP

LDAP

389

TCP

DNS

53

TCP 和 UDP

表 6.3. AD 信任中 IdM 客户端所需的端口
服务端口协议

Kerberos

88

UDP 和 TCP

注意

如果从密钥分发中心(KDC)发送的数据太大,libkrb5 库会使用 UDP ,并回退到 TCP 协议。Active Directory 将 Privilege Attribute 证书(PAC)附加到 Kerberos 票据上,这会增加大小,需要使用 TCP 协议。为了避免回退和重新发出请求,Red Hat Enterprise Linux 7.4 及之后的版本中的 SSSD 使用 TCP 进行用户身份验证。如果要在 libkrb5 使用 TCP 前配置大小,请在 /etc/krb5.conf 文件中设置 udp_preference_limit。详情请查看您系统上的 krb5.conf (5) 手册页。

下图显示了 IdM 客户端发送的通信,以及 IdM 服务器和 AD 域控制器接收和响应的通信。要在防火墙上设置传入和传出的端口和协议,红帽建议使用 firewalld 服务,该服务已有 FreeIPA 服务的定义。

diagram showing the ports and protocols that IdM clients use when communicating with IdM servers and AD Domain Controllers

其他资源

Red Hat logoGithubRedditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

© 2024 Red Hat, Inc.