Red Hat Training

A Red Hat training course is available for RHEL 8

29.5. IdM と AD との間の通信に必要なポート

Active Directory (AD) 環境と Identity Management (IdM) 環境間の通信を有効にするには、AD ドメインコントローラーおよび IdM サーバーのファイアウォールで次のポートを開きます。

表29.1 AD 信頼に必要なポート

サービスポートプロトコル

エンドポイント解決ポートマッパー

135

TCP

NetBIOS-DGM

138

TCP および UDP

NetBIOS-SSN

139

TCP および UDP

Microsoft-DS

445

TCP および UDP

動的 RPC

49152-65535

TCP

AD グローバルカタログ

3268

TCP

LDAP

389

TCP および UDP

注記

信頼のために IdM サーバーで TCP ポートの 389 を開く必要はありませんが、IdM サーバーと通信しているクライアントに必要です。

ポートを開くには、以下の方法を使用できます。

  • Firewalld サービス - 特定ポートを有効にするか、そのポートが含まれる以下のサービスを有効にすることができます。

    • freeipa 信頼の設定
    • LDAP を用いた FreeIPA
    • Kerberos
    • DNS

    詳細は「CLI を使用したポートの制御」を参照してください。

注記

freeipa-trust Firewalld サービスには現在 1024-1300 の RPC ポート範囲が含まれていますが、この範囲は Windows Server 2008 以降では 49152 ~ 65535 に更新されました。Firewalld サービス freeipa-trust が更新され、この新しい範囲が反映されるようになりました。この問題は、Bug 1850418 - update freeipa-trust.xml definition to include correct dynamic RPC range で追跡されています。

このバグが解決されるまで、Firewalld サービス freeipa-trust の有効化に加えて、TCP ポート範囲は 49152-65535 を手動で開きます。

  • RHEL Web コンソール。firewalld サービスに基づくファイアウォール設定を含む UI です。

    A screenshot of the RHEL web console displaying firewall settings in the Networking section. There is a list of "Allowed Services" listing several services and their associated TCP and UDP ports.

    Web コンソールを使用したファイアウォール設定の詳細は、「Web コンソールを使用したファイアウォールでのサービスの有効化」を参照してください。

    注記

    FreeIPA Trust Setup サービスには現在 1024-1300 の RPC ポート範囲が含まれていますが、この範囲は Windows Server 2008 以降では 49152 ~ 65535 に更新されました。FreeIPA Trust Setup ファイアウォールサービス定義が更新され、この問題は Bug 1850418 - update freeipa-trust.xml definition to include correct dynamic RPC range で追跡されています。

    このバグが解決されるまで、RHEL Web コンソールで FreeIPA Trust Setup サービスを有効にする他に、TCP ポート範囲は 49152-65535 を手動で開きます。

表29.2 信頼の IdM サーバーで必要なポート

サービスポートプロトコル

Kerberos

88、464

TCP および UDP

LDAP

389

TCP

DNS

53

TCP および UDP

表29.3 AD 信頼で IdM クライアントに必要なポート

サービスポートプロトコル

Kerberos

88

UDP および TCP

注記

libkrb5 ライブラリーは UDP を使用し、KDC (Key Distribution Centre) から送信されるデータが大きすぎると、TCP プロトコルにフォールバックします。Active Directory は、PAC (Privilege Attribute Certificate) を Kerberos チケットに割り当てます。これによりサイズが増加し、TCP プロトコルを使用する必要があります。要求のフォールバックと再送信を回避するため、デフォルトでは、Red Hat Enterprise Linux 7.4 以降の SSSD ではユーザー認証に TCP が使用されます。libkrb5 が TCP を使用する前にサイズを設定する場合は、/etc/krb.5.conf ファイルに udp_preference_limit を設定します。詳細は、man ページの krb5.conf(5) を参照してください。

関連情報