Menu Close

第 6 章 IdM 和 AD 间的通信所需的端口

要启用 Active Directory(AD)和身份管理(IdM)环境之间的通信,请在 AD 域控制器和 IdM 服务器的防火墙中开放以下端口:

表 6.1. AD 信任所需的端口

服务端口协议

端点解析端口映射器

135

TCP

NetBIOS-DGM

138

TCP 和 UDP

NetBIOS-SSN

139

TCP 和 UDP

Microsoft-DS

445

TCP 和 UDP

Dynamic RPC

49152-65535

TCP

AD Global Catalog

3268

TCP

LDAP

389

TCP 和 UDP

注意

在 IdM 服务器中不需要为信任打开 TCP 端口 389,但与 IdM 服务器通信的客户端需要这样端口。

要打开端口,您可以使用以下方法:

  • Firewalld 服务  — 您可以启用特定的端口,或启用包括包括端口的以下服务:

    • FreeIPA 信任设置
    • LDAP 的 FreeIPA
    • Kerberos
    • DNS

    详情请参阅 使用 CLI 控制端口

注意

如果您使用 RHEL 8.2 及更早版本,freeipa-trust Firewalld 服务包括 RPC 端口范围 1024-1300,这不正确。在 RHEL 8.2 及更早版本中,除了启用 freeipa-trust Firewalld 服务外,您必须手动打开 TCP 端口范围 49152-65535

这个问题已在 RHEL 8.3 和更新的版本中被解决。(Bug 1850418 - update freeipa-trust.xml definition to include correct dynamic RPC range

表 6.2. 信任中的 IdM 服务器所需的端口

服务端口协议

Kerberos

88, 464

TCP 和 UDP

LDAP

389

TCP

DNS

53

TCP 和 UDP

表 6.3. AD 信任中 IdM 客户端所需的端口

服务端口协议

Kerberos

88

UDP 和 TCP

注意

如果来自密钥分发中心(KDC)的数据过大,libkrb5 库会使用 UDP ,并返回到 TCP 协议。Active Directory 将 Privilege Attribute 证书(PAC)附加到 Kerberos 票据上,这会增加大小,需要使用 TCP 协议。为了避免回退和重新发出请求,Red Hat Enterprise Linux 7.4 及之后的版本中的 SSSD 使用 TCP 进行用户身份验证。如果要在 libkrb5 使用 TCP 前配置大小,请在 /etc/krb.5.conf 文件中设置 udp_preference_limit。详情请查看 krb5.conf(5) 手册页。

下图显示了 IdM 客户端、IdM 服务器和客户端在相互通信时使用的端口和协议。

diagram showing the ports and protocols that IdM clients use when communicating with IdM servers and AD Domain Controllers

其他资源