Назад | Перейти на главную страницу

Какие порты требуются для аутентификации на сервере ldap в другом домене, который находится за брандмауэром?

У меня есть домен Linux, работающий с sssd, назовем этот домен NJ.

Я бы хотел, чтобы машины в домене NJ могли аутентифицироваться на сервере ldap Active Directory, который находится в другом домене (называемом NY), который находится за брандмауэром.

Достаточно ли разрешить только порт 389 между обоими доменами или существуют ли какие-либо другие порты, необходимые для аутентификации компьютеров в домене NJ на серверах ldap в домене NY?

Вы должны использовать TCP-порты 389 и / или 636. Порт 636 предназначен для LDAPS, то есть LDAP через SSL. Шифрование на порту 389 также возможно с использованием механизма STARTTLS, но в этом случае вы должны явно проверить, что шифрование выполняется.

Microsoft Статья в базе знаний говорит:

  • Начать расширенный запрос TLS

    Связь LDAPS происходит через порт TCP 636. Связь LDAPS с сервером глобального каталога происходит через TCP 3269. При подключении к портам 636 или 3269 SSL / TLS согласовывается до обмена любым трафиком LDAP. Windows 2000 не поддерживает функцию расширенного запроса Start TLS.

Также см. Связанные Вопрос о сбое сервера.

Если это только проверка подлинности LDAP (а не AD / Kerberos и т. Д.), 389 должен быть достаточным.

SSSD можно настроить для получения информации о пользователях из глобального каталога Active Directory. Для этого потребуется порт 3268 https://fedorahosted.org/sssd/wiki/Configuring_sssd_with_ad_server

Если вы получите доступ к каким-либо общим ресурсам SAMBA, вам потребуются динамические порты для проверки доступа к папкам перед их открытием.

В этом документе TechNet перечислены все возможные порты в зависимости от функций, которые вы будете использовать. В нем также есть ссылка на ограничение динамических портов, если вы хотите ограничить количество потенциальных портов. https://technet.microsoft.com/en-us/library/dd772723(v=ws.10).aspx

Это действительно зависит от конфигурации SSSD, в частности auth_provider. auth_provider = ldap требуется порт 389 (с TLS) или 636 (ldaps). auth_provider = krb5 требуется порт 88.

Поставщики ipa и AD фактически требуют и того, и другого, потому что даже идентификационные данные зашифрованы с помощью GSSAPI, поэтому вам нужен порт 88 для загрузки ccache для выполнения привязки GSSAPI LDAP, затем порт 389 для поиска LDAP и затем снова порт 88 для аутентификации.

Поставщики IPA и AD также в значительной степени полагаются на DNS, поэтому порт 53 также может быть подходящим.