Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

附录 E. 身份管理服务器端口注意事项

E.1. 身份管理组件和相关服务

表 E.1 “身份管理组件和相关服务” 列出个别身份管理服务从外部公开的端口。

表 E.1. 身份管理组件和相关服务

组件 服务 允许访问的端口
身份管理框架* 基于 Apache 的 Web 服务以及到其他服务的路由 HTTPS 端口 443(TCP/TCP6)
LDAP 目录服务器* 389-DS 实例
端口 389(TCP/TCP6) :使用 StartTLS 扩展或 SASL GSSAPI 来保护连接
端口 636(TCP/TCP6) :通过 SSL 的普通 LDAP 流量
端口 389(UDP) :无连接 LDAP 访问,促进与 Active Directory 服务的集成
Kerberos 密钥分发中心* krb5kdc
端口 88(TCP/TCP6 和 UDP/UDP6) :普通的 Kerberos 流量
port 464(TCP/TCP6 和 UDP/UDP6):Kerberos 密码更改协议访问
Kerberos 管理员守护进程* kadmind 端口 749(TCP/TCP6):Kerberos 远程管理协议在内部使用
custodia 密钥管理* custodia HTTPS 端口 443(TCP/TCP6): 作为身份管理框架的一部分
系统安全服务守护进程* sssd HTTPS 端口 443(TCP/TCP6): 作为身份管理框架的一部分
MS-KKDCP 代理** 通过 HTTPS 对 Kerberos 的代理访问 HTTPS 端口 443(TCP/TCP6): 作为身份管理框架的一部分
证书颁发机构 Tomcat 顶部的 Dogtag 实例
HTTPS 端口 443(TCP/TCP6): 作为身份管理框架的一部分
HTTP 访问通过端口 80(TCP/TCP6) 进行内部重定向到端口 8080(TCP/TCP6),根据为身份管理设置的 Apache 规则;检索的信息是 OCSP 响应器和证书状态(证书撤销列表)
在内部,HTTPS 通过端口 8443(TCP/TCP6) 访问:用于 CA 管理目的
在 IPA 主机上,使用端口 8005 和 8009(TCP/TCP6)127.0.0.1::1 本地接口地址上运行证书颁发机构服务的组件
DNS named
端口 53(TCP/TCP6 和 UDP/UDP6): 标准 DNS 解析器
端口 953(TCP/TCP6):127.0.0.1::1 本地接口地址的 BIND 服务远程控制
Active Directory 集成 Samba 服务(smbd、winbindd)
端口 135(TCP/TCP6):DCE RPC 端点映射器(smbd 守护进程)
端口 138(TCP/TCP6),NetBIOS 数据报服务(可选,需要 nmbd 守护进程才能运行)
端口 139(TCP/TCP6),NetBIOS 会话服务(smbd 守护进程)
端口 445(TCP/TCP6)、基于 TCP/TCP6(smbd 守护进程)的 SMB 协议.
为 DCE RPC 端点服务动态打开端口 49152-65535(TCP/TCP6)
证书颁发机构 Vault Dogtag 实例的 KRA 组件
HTTPS 端口 443(TCP/TCP6): 作为身份管理框架的一部分
HTTP 访问通过端口 80(TCP/TCP6),但内部通过 Apache 规则重定向到端口 8080(TCP/TCP6) :对于 OCSP 响应器和证书状态(Certificate Revocation List)
在内部,HTTPS 通过端口 8443(TCP/TCP6) 访问:用于 CA 管理目的
在 IPA 主机上,使用端口 8005 和 8009(TCP/TCP6)127.0.0.1::1 本地接口地址上运行证书颁发机构服务的组件
* 标记有星号的服务在每个身份管理部署中都处于活跃状态。
** MS-KKDCP 代理组件是可选的,但默认启用。