付録E Identity Management サーバーポートの注意点

E.1. Identity Management コンポーネントと関連サービス

表E.1「Identity Management コンポーネントと関連サービス」 では、個別の Identity Management サービスを外にさらすポートを一覧表示しています。

表E.1 Identity Management コンポーネントと関連サービス

コンポーネントサービスアクセスが許可されているポート
Identity Management フレームワーク*Apache ベースの Web サービスとその他サービスへのルーターHTTPS ポート 443 (TCP/TCP6)
LDAP ディレクトリーサーバー*389-ds インスタンス
ポート 389 (TCP/TCP6): 通常の LDAP トラフィック。StartTLS 拡張または SASL GSSAPI による、接続保護
ポート 636 (TCP/TCP6): SSL の通常の LDAP トラフィック
ポート 389 (UDP): Active Directory サービスとの統合を促進するコネクションレスの LDAP アクセス
Kerberos キー配布センター*krb5kdc
ポート 88 (TCP/TCP6 と UDP/UDP6): 通常の Kerberos トラフィック
ポート 464 (TCP/TCP6 と UDP/UDP6): Kerberos パスワード変更プロトコルアクセス
Kerberos Administrator デーモン*kadmindポート749 (TCP/TCP6): Kerberos リモート管理プロトコル
Custodia キー管理*custodiaHTTPS ポート 443 (TCP/TCP6): Identity Management フレームワークの一環
システムセキュリティサービスデーモン*sssdHTTPS ポート 443 (TCP/TCP6): Identity Management フレームワークの一環
MS-KKDCP プロキシ**HTTPS を通じた Kerberos へのプロキシアクセスHTTPS ポート 443 (TCP/TCP6): Identity Management フレームワークの一環
認証局Tomcat 上の Dogtag インスタンス
HTTPS ポート 443 (TCP/TCP6): Identity Management フレームワークの一環
HTTP は 80 (TCP/TCP6) を通じてアクセスしますが、Identity Management に設定した Apache ルールにより ポート 8080 (TCP/TCP6) にリダイレクトされます。取得した情報は、OCSP 応答と証明書ステータス (証明書失効リスト) です。
HTTPS は、ポート 8443 (TCP/TCP6) を通じてアクセスします。これは、CA 管理のためです。
IPA マスターでは、内部的に、ポート 8005 と 8009 (TCP/TCP6)127.0.0.1::1 ローカルインターフェースアドレス上の証明書サービスのコンポーネントを実行するに使用されます。
DNSnamed
ポート 53 (TCP/TCP6 と UDP/UDP6): 通常の DNS リゾルバー
ポート 953 (TCP/TCP6): 127.0.0.1::1 ローカルインターフェースアドレス上の BIND サービスリモートコントロール
Active Directory 統合Samba サービス (smbd、winbindd)
ポート 135 (TCP/TCP6): DCE RPC エンドポイントマッパー (smbd デーモン)
ポート 138 (TCP/TCP6)、NetBIOS Datagram サービス (オプション、実行するには nmbd デーモンが必要)
ポート 139 (TCP/TCP6)、NetBIOS Session サービス (smbd デーモン)
ポート 445 (TCP/TCP6)、TCP/TCP6 上SMB プロトコル (smbd デーモン)
DCE RPC エンドポイントサービスにポート 49152-65535 (TCP/TCP6) を動的に解放
証明局ヴォールトDogtag インスタンスの KRA コンポーネント
HTTPS ポート 443 (TCP/TCP6): Identity Management フレームワークの一環
HTTP はポート 80 (TCP/TCP6) を通じてアクセスしますが、Apache ルールによりポート 8080 (TCP/TCP6) にリダイレクトされます。OCSP 応答と証明書ステータス (証明書失効リスト)
HTTPS は、ポート 8443 (TCP/TCP6) を通じてアクセスします。これは、CA 管理のためです。
IPA マスターでは、内部的に、ポート 8005 と 8009 (TCP/TCP6)127.0.0.1::1 ローカルインターフェースアドレス上の証明書サービスのコンポーネントを実行するに使用されます。
* アステリスクでマークされたサービスは、各 Identity Management 展開で必須です。
** MS-KKDCP プロキシコンポーネントはオプションですが、デフォルトで有効化されます。