Red Hat Training

A Red Hat training course is available for RHEL 8

34.5. IdM과 AD 간 통신에 필요한 포트

AD(Active Directory) 및 IdM(Identity Management) 환경 간의 통신을 활성화하려면 AD 도메인 컨트롤러 및 IdM 서버의 방화벽에서 다음 포트를 엽니다.

표 34.1. AD 신뢰에 필요한 포트

서비스포트프로토콜

끝점 확인 portmapper

135

TCP

NetBIOS-DGM

138

TCP 및 UDP

NetBIOS-SSN

139

TCP 및 UDP

Microsoft-DS

445

TCP 및 UDP

Dynamic RPC

49152-65535

TCP

AD 글로벌 카탈로그

3268

TCP

LDAP

389

TCP 및 UDP

참고

TCP 포트 389는 신뢰를 얻기 위해 IdM 서버에서 열 필요는 없지만 IdM 서버와 통신하는 클라이언트가 필요합니다.

DCE RPC 엔드포인트 매퍼가 작동하려면 TCP 포트 135가 필요하며 IdM-AD 신뢰 생성 중에 사용됩니다.

포트를 열기 위해 다음 방법을 사용할 수 있습니다.

  • firewalld service 인터페이스와 특정 포트를 활성화하거나 포트가 포함된 다음 서비스를 활성화할 수 있습니다.

    • FreeIPA 신뢰 설정
    • LDAP를 사용하는 FreeIPA
    • Kerberos
    • DNS

    자세한 내용은 CLI를 사용하여 포트 제어를 참조하십시오.

참고

RHEL 8.2 및 이전 버전을 사용하는 경우 freeipa-trust firewalld 서비스에 1024-1300 의 RPC 포트 범위가 포함되어 있습니다. 이는 올바르지 않습니다. RHEL 8.2 및 이전 버전에서는 freeipa-trust firewalld 서비스를 활성화하는 것 외에도 TCP 포트 범위 49152-65535 를 수동으로 열어야 합니다.

이 문제는 버그 1850418에서 RHEL 8.3 이상에 수정되어 올바른 동적 RPC 범위를 포함하도록 freeipa-trust.xml 정의를 업데이트합니다.

표 34.2. 신뢰의 IdM 서버에 필요한 포트

서비스포트프로토콜

Kerberos

88, 464

TCP 및 UDP

LDAP

389

TCP

DNS

53

TCP 및 UDP

표 34.3. AD 신뢰의 IdM 클라이언트에 필요한 포트

서비스포트프로토콜

Kerberos

88

UDP 및 TCP

참고

libkrb5 라이브러리는 UDP를 사용하며 KDC(Key Distribution Center)에서 전송된 데이터가 너무 크면 TCP 프로토콜로 대체됩니다. Active Directory는 KC(Privilege Attribute Certificate)를 Kerberos 티켓에 연결하여 크기를 증가시키고 TCP 프로토콜을 사용해야 합니다. 기본적으로 Red Hat Enterprise Linux 7.4의 SSSD에서 문제가 발생하지 않고 나중에 사용자 인증에 TCP를 사용합니다. libkrb5 가 TCP를 사용하기 전에 크기를 구성하려면 /etc/krb5.conf 파일에서 udp_preference_limit 를 설정합니다. 자세한 내용은>-& lt;5.conf(5) 매뉴얼 페이지를 참조하십시오.

다음 다이어그램은 IdM 클라이언트가 전송한 통신을 보여주고 IdM 서버 및 AD 도메인 컨트롤러에서 수신 및 응답하는 방법을 보여줍니다. 방화벽에서 들어오고 나가는 포트 및 프로토콜을 설정하려면 Red Hat에서는 FreeIPA 서비스에 대한 정의가 이미 있는 firewalld 서비스를 사용하는 것이 좋습니다.

diagram showing the ports and protocols that IdM clients use when communicating with IdM servers and AD Domain Controllers

추가 리소스