Red Hat Training

A Red Hat training course is available for RHEL 8

32.5. IdM と AD との間の通信に必要なポート

Active Directory (AD) 環境と Identity Management (IdM) 環境間の通信を有効にするには、AD ドメインコントローラーおよび IdM サーバーのファイアウォールで次のポートを開きます。

表32.1 AD 信頼に必要なポート

サービスポートプロトコル

エンドポイント解決ポートマッパー

135

TCP

NetBIOS-DGM

138

TCP および UDP

NetBIOS-SSN

139

TCP および UDP

Microsoft-DS

445

TCP および UDP

動的 RPC

49152-65535

TCP

AD グローバルカタログ

3268

TCP

LDAP

389

TCP および UDP

注記

信頼のために IdM サーバーで TCP ポートの 389 を開く必要はありませんが、IdM サーバーと通信しているクライアントに必要です。

ポートを開くには、以下の方法を使用できます。

  • Firewalld サービス - 特定ポートを有効にするか、そのポートが含まれる以下のサービスを有効にすることができます。

    • freeipa 信頼の設定
    • LDAP を用いた FreeIPA
    • Kerberos
    • DNS

    詳細は CLI を使用したポートの制御 を参照してください。

注記

RHEL 8.2 以前を使用している場合、freeipa-trust Firewalld サービスには 1024-1300 の RPC ポート範囲が含まれていますが、これは正しくありません。RHEL 8.2 以前では、freeipa-trust Firewalld サービスを有効にすることに加えて、TCP ポート範囲 49152-65535 を手動で開く必要があります。

この問題は、RHEL8.3 以降の バグ 1850418 - freeipa-trust.xml 定義を更新して正しい動的 RPC 範囲を含める で修正されています。

表32.2 信頼の IdM サーバーで必要なポート

サービスポートプロトコル

Kerberos

88、464

TCP および UDP

LDAP

389

TCP

DNS

53

TCP および UDP

表32.3 AD 信頼で IdM クライアントに必要なポート

サービスポートプロトコル

Kerberos

88

UDP および TCP

注記

libkrb5 ライブラリーは UDP を使用し、KDC (Key Distribution Centre) から送信されるデータが大きすぎると、TCP プロトコルにフォールバックします。Active Directory は、PAC (Privilege Attribute Certificate) を Kerberos チケットに割り当てます。これによりサイズが増加し、TCP プロトコルを使用する必要があります。要求のフォールバックと再送信を回避するため、デフォルトでは、Red Hat Enterprise Linux 7.4 以降の SSSD ではユーザー認証に TCP が使用されます。libkrb5 が TCP を使用する前にサイズを設定する場合は、/etc/krb.5.conf ファイルに udp_preference_limit を設定します。詳細は、man ページの krb5.conf(5) を参照してください。

次の図は、IdM クライアント、IdM サーバー、および AD ドメインコントローラーが相互に通信するときに使用するポートとプロトコルを示しています。

diagram showing the ports and protocols that IdM clients use when communicating with IdM servers and AD Domain Controllers

関連情報