Red Hat Training

A Red Hat training course is available for RHEL 8

34.5. IdM 和 AD 间的通信所需的端口

要启用 Active Directory(AD)和身份管理(IdM)环境之间的通信,请在 AD 域控制器和 IdM 服务器的防火墙中开放以下端口:

表 34.1. AD 信任所需的端口

服务端口协议

端点解析端口映射器

135

TCP

NetBIOS-DGM

138

TCP 和 UDP

NetBIOS-SSN

139

TCP 和 UDP

Microsoft-DS

445

TCP 和 UDP

Dynamic RPC

49152-65535

TCP

AD Global Catalog

3268

TCP

LDAP

389

TCP 和 UDP

注意

在 IdM 服务器中不需要为信任打开 TCP 端口 389,但与 IdM 服务器通信的客户端需要这样端口。

要使 DCE RPC 端点映射程序正常工作,并在 IdM-AD 信任创建过程中被使用,需要 TCP 端口 135。

要打开端口,您可以使用以下方法:

  • firewalld 服务 — 您可以启用特定的端口,或启用包括端口的以下服务:

    • FreeIPA 信任设置
    • LDAP 的 FreeIPA
    • Kerberos
    • DNS

    详情请查看 firewall-cmd 手册页。

注意

如果您使用 RHEL 8.2 及更早版本,freeipa-trust firewalld 服务包含一个 1024-1300 RPC 端口范围,这是不正确的。在 RHEL 8.2 及更早版本中,除了启用 freeipa-trust firewalld 服务外,您必须手动打开 TCP 端口范围 49152-65535

这个问题已在 Bug 1850418 - 更新 freeipa-trust.xml 定义以使其包含正确的动态 RPC 范围 中针对 RHEL 8.3 及之后的版本修复了。

表 34.2. 信任中的 IdM 服务器所需的端口

服务端口协议

Kerberos

88, 464

TCP 和 UDP

LDAP

389

TCP

DNS

53

TCP 和 UDP

表 34.3. AD 信任中 IdM 客户端所需的端口

服务端口协议

Kerberos

88

UDP 和 TCP

注意

如果从密钥分发中心(KDC)发送的数据太大,libkrb5 库将使用 UDP ,并回退到 TCP 协议。Active Directory 将 Privilege Attribute 证书(PAC)附加到 Kerberos 票据上,这会增加大小,需要使用 TCP 协议。为了避免回退和重新发出请求,Red Hat Enterprise Linux 7.4 及之后的版本中的 SSSD 使用 TCP 进行用户身份验证。如果要在 libkrb5 使用 TCP 之前配置大小,请在 /etc/krb5.conf 文件中设置 udp_preference_limit。详情请查看 krb5.conf(5) 手册页。

下图显示了 IdM 客户端发送的通信,以及 IdM 服务器和 AD 域控制器对此的接收和响应。要在防火墙上设置传入和传出的端口和协议,红帽建议使用 firewalld 服务,该服务已经对 FreeIPA 服务有定义。

diagram showing the ports and protocols that IdM clients use when communicating with IdM servers and AD Domain Controllers

其他资源