我有一个运行sssd的Linux域,我们称之为域NJ。
我希望NJ域上的机器能够对位于防火墙后面的不同域(称为NY)上的Active Directory ldap服务器进行身份validation。
只允许两个域之间的端口389是足够的,还是有任何其他端口所需的,以便NJ域上的机器对NY域中的ldap服务器进行身份validation?
只要LDAPauthentication(而不是AD / Kerberos等), 389就足够了。
您应该使用TCP端口389和/或636.端口636适用于LDAPS,即LDAP over SSL。 使用STARTTLS机制也可以对端口389进行encryption,但是在这种情况下,您应该明确validation是否正在完成encryption。
微软的KB文章说:
启动TLS扩展请求
LDAPS通讯通过TCP 636端口进行。到全局编录服务器的LDAPS通讯通过TCP 3269进行。当连接到端口636或3269时,SSL / TLS在任何LDAP通讯交换之前进行协商。 Windows 2000不支持启动TLS扩展请求function。
另请参阅相关的服务器故障问题 。
这真的取决于SSSDconfiguration,特别是auth_provider。 auth_provider = ldap要求端口389(使用TLS)或636(ldaps)。 auth_provider = krb5需要端口88。
ipa和AD提供者实际上都需要,因为即使是身份数据也使用GSSAPI进行encryption,所以您需要使用端口88来启动ccache来执行GSSAPI LDAP绑定,然后使用端口389来searchLDAP,然后再再次使用端口88进行身份validation。
IPA和AD提供者也严重依赖于DNS,因此端口53也可能是合适的。
SSSD可以configuration为从Active Directory全局编录检索用户信息。 这将需要端口3268 https://fedorahosted.org/sssd/wiki/Configuring_sssd_with_ad_server
如果您将访问任何SAMBA共享,那么在打开它们之前,将需要dynamic端口来validation对文件夹的访问。
此TechNet文档列出了所有可能的端口,具体取决于您将使用的function。 如果你想限制潜在的端口数,它也有一个限制dynamic端口的链接。 https://technet.microsoft.com/en-us/library/dd772723(v=ws.10).aspx