25.5. Portos necessários para a comunicação entre IdM e AD

Para permitir a comunicação entre os controladores de domínio Active Directory (AD) e os servidores de Gerenciamento de Identidade (IdM), você deve abrir portas em suas firewalls.

Tabela 25.1. Portos necessários para um fundo AD

ServiçoPortoProtocolo

Portmapper de resolução de ponto final

135

TCP

NetBIOS-DGM

138

TCP e UDP

NetBIOS-SSN

139

TCP e UDP

Microsoft-DS

445

TCP e UDP

RPC dinâmico

49152-65535

TCP

Catálogo global AD

3268

TCP

LDAP

389

TCP e UDP

Nota

A porta TCP 389 não precisa estar aberta nos servidores IdM para confiança, mas é necessária para os clientes que se comunicam com o servidor IdM.

Para abrir os portos, você pode usar os seguintes métodos:

  • Firewalld service - you pode habilitar os portos específicos ou habilitar os seguintes serviços que incluem os portos:

    • Configuração de confiança FreeIPA
    • FreeIPA com LDAP
    • Kerberos
    • DNS

    Para obter detalhes, consulte Controlar portos usando CLI.

Nota

O serviço freeipa-trust Firewalld inclui atualmente uma gama de portas RPC de 1024-1300, mas esta gama foi atualizada para 49152-65535 no Windows Server 2008 e posteriormente. O serviço freeipa-trust Firewalld será atualizado para refletir esta nova faixa, e esta edição é rastreada no Bug 1850418 - update freeipa-trust.xml definition para incluir a faixa correta de RPCs dinâmicos.

Até que esse bug tenha sido resolvido, abra manualmente a faixa de portas TCP 49152-65535 além de habilitar o serviço freeipa-trust Firewalld.

Tabela 25.2. Portos exigidos pelos servidores da IdM em um trust

ServiçoPortoProtocolo

Kerberos

88, 464

TCP e UDP

LDAP

389

TCP

DNS

53

TCP e UDP

Tabela 25.3. Portos exigidos pelos clientes da IdM em um fundo AD

ServiçoPortoProtocolo

Kerberos

88

UDP e TCP

Nota

A biblioteca libkrb5 utiliza o UDP e volta ao protocolo TCP se os dados enviados pelo Centro de Distribuição de Chaves (KDC) forem muito grandes. O Active Directory anexa um Certificado de Atribuição de Privilégio (PAC) ao bilhete Kerberos, o que aumenta o tamanho e requer o uso do protocolo TCP. Para evitar a queda e reenviar a solicitação, por default, o SSSD no Red Hat Enterprise Linux 7.4 e mais tarde usa o TCP para autenticação do usuário. Se você quiser configurar o tamanho antes da libkrb5 usar TCP, defina o udp_preference_limit no arquivo /etc/krb.5.conf. Para detalhes, veja a página de manual krb5.conf(5).

Recursos adicionais