Ich habe eine Linux-Domain mit sssd
, nennen wir diese Domain NJ.
Ich möchte, dass Computer in der NJ-Domäne sich bei einem Active Directory-LDAP-Server authentifizieren können, der sich in einer anderen Domäne (NY) befindet, die sich hinter einer Firewall befindet.
Wäre es ausreichend, nur Port 389 zwischen beiden Domänen zuzulassen, oder gibt es andere Ports, die erforderlich sind, damit sich die Computer in der NJ-Domäne bei LDAP-Servern in der NY-Domäne authentifizieren können?
active-directory
authentication
centos6
port
sssd
Itai Ganot
quelle
quelle
Sie sollten die TCP-Ports 389 und / oder 636 verwenden. Port 636 ist für LDAPS, dh LDAP über SSL. Die Verschlüsselung an Port 389 ist auch mit dem STARTTLS-Mechanismus möglich. In diesem Fall sollten Sie jedoch explizit überprüfen, ob die Verschlüsselung durchgeführt wird.
Der KB-Artikel von Microsoft lautet:
Siehe auch die entsprechende Frage zum Serverfehler .
quelle
Dies hängt wirklich von der SSSD-Konfiguration ab, insbesondere von auth_provider. auth_provider = ldap benötigt entweder Port 389 (mit TLS) oder 636 (ldaps). auth_provider = krb5 benötigt Port 88.
IPA- und AD-Anbieter benötigen tatsächlich beides, da sogar Identitätsdaten mit GSSAPI verschlüsselt sind. Sie benötigen also Port 88, um den Ccache für eine GSSAPI-LDAP-Bindung vorzubereiten, dann Port 389, um LDAP zu durchsuchen, und dann erneut Port 88 für die Authentifizierung.
IPA- und AD-Anbieter verlassen sich ebenfalls stark auf DNS, sodass auch Port 53 geeignet sein könnte.
quelle
SSSD kann so konfiguriert werden, dass Benutzerinformationen aus dem globalen Active Directory-Katalog abgerufen werden. Dies würde Port 3268 https://fedorahosted.org/sssd/wiki/Configuring_sssd_with_ad_server erfordern
Wenn Sie auf SAMBA-Freigaben zugreifen, sind dynamische Ports erforderlich, um den Zugriff auf Ordner vor dem Öffnen zu überprüfen.
In diesem TechNet-Dokument werden alle potenziellen Ports aufgelistet, abhängig von den von Ihnen verwendeten Funktionen. Es enthält auch einen Link zum Einschränken dynamischer Ports, wenn Sie die Anzahl potenzieller Ports begrenzen möchten. https://technet.microsoft.com/en-us/library/dd772723(v=ws.10).aspx
quelle