Welche Ports sind erforderlich, um sich bei einem LDAP-Server in einer anderen Domäne zu authentifizieren, die sich hinter einer Firewall befindet?

7

Ich habe eine Linux-Domain mit sssd, nennen wir diese Domain NJ.

Ich möchte, dass Computer in der NJ-Domäne sich bei einem Active Directory-LDAP-Server authentifizieren können, der sich in einer anderen Domäne (NY) befindet, die sich hinter einer Firewall befindet.

Wäre es ausreichend, nur Port 389 zwischen beiden Domänen zuzulassen, oder gibt es andere Ports, die erforderlich sind, damit sich die Computer in der NJ-Domäne bei LDAP-Servern in der NY-Domäne authentifizieren können?

Itai Ganot
quelle

Antworten:

4

Solange nur LDAP-Authentifizierung (und nicht AD / Kerberos usw.) vorhanden ist, 389 sollte dies ausreichen.

Sven
quelle
1
+1, aber er möchte möglicherweise auch mit dem Firewall-Administrator auf der NY-Seite überprüfen, ob er die Dinge standardmäßig ausführt und keine ausgeflippte Portweiterleitung oder ähnliches ausführt.
MDMoore313
Vielen Dank für Ihre Antwort, Sven, aber Active Directory verwendet meines Wissens auch Kerberos zur Authentifizierung. Muss kein weiterer Port geöffnet werden?
Itai Ganot
@ItaiGanot: AD verwendet Kerberos, ja, und wenn Sie etwas davon möchten, reicht nur Port 389 nicht aus. Es ist jedoch möglich, sich nur gegen den LDAP-Teil von ActiveDirectory zu authentifizieren, und es wird sich nicht allzu sehr von einem OpenLDAP- oder 389DS-Server unterscheiden.
Sven
13

Sie sollten die TCP-Ports 389 und / oder 636 verwenden. Port 636 ist für LDAPS, dh LDAP über SSL. Die Verschlüsselung an Port 389 ist auch mit dem STARTTLS-Mechanismus möglich. In diesem Fall sollten Sie jedoch explizit überprüfen, ob die Verschlüsselung durchgeführt wird.

Der KB-Artikel von Microsoft lautet:

  • Starten Sie die erweiterte TLS-Anforderung

    Die LDAPS-Kommunikation erfolgt über Port TCP 636. Die LDAPS-Kommunikation zu einem globalen Katalogserver erfolgt über TCP 3269. Bei der Verbindung mit den Ports 636 oder 3269 wird SSL / TLS ausgehandelt, bevor LDAP-Verkehr ausgetauscht wird. Windows 2000 unterstützt die erweiterte TLS-Anforderungsfunktion nicht.

Siehe auch die entsprechende Frage zum Serverfehler .

200_Erfolg
quelle
Vielen Dank, dass Sie die anderen Ports in Ihrer Antwort erwähnt haben.
GuitarPicker
1

Dies hängt wirklich von der SSSD-Konfiguration ab, insbesondere von auth_provider. auth_provider = ldap benötigt entweder Port 389 (mit TLS) oder 636 (ldaps). auth_provider = krb5 benötigt Port 88.

IPA- und AD-Anbieter benötigen tatsächlich beides, da sogar Identitätsdaten mit GSSAPI verschlüsselt sind. Sie benötigen also Port 88, um den Ccache für eine GSSAPI-LDAP-Bindung vorzubereiten, dann Port 389, um LDAP zu durchsuchen, und dann erneut Port 88 für die Authentifizierung.

IPA- und AD-Anbieter verlassen sich ebenfalls stark auf DNS, sodass auch Port 53 geeignet sein könnte.

jhrozek
quelle
Vielen Dank für Ihre Antwort, ich werde es morgen versuchen, wenn ich bei der Arbeit bin und Sie wissen lassen.
Itai Ganot
1

SSSD kann so konfiguriert werden, dass Benutzerinformationen aus dem globalen Active Directory-Katalog abgerufen werden. Dies würde Port 3268 https://fedorahosted.org/sssd/wiki/Configuring_sssd_with_ad_server erfordern

Wenn Sie auf SAMBA-Freigaben zugreifen, sind dynamische Ports erforderlich, um den Zugriff auf Ordner vor dem Öffnen zu überprüfen.

In diesem TechNet-Dokument werden alle potenziellen Ports aufgelistet, abhängig von den von Ihnen verwendeten Funktionen. Es enthält auch einen Link zum Einschränken dynamischer Ports, wenn Sie die Anzahl potenzieller Ports begrenzen möchten. https://technet.microsoft.com/en-us/library/dd772723(v=ws.10).aspx

Zach Bolinger
quelle