ファイアウォールの背後にある別のドメインのLDAPサーバーに対して認証を行うには、どのポートが必要ですか?
Linuxドメインでsssdを実行しています。このドメインをNJと呼びましょう。
NJドメインのマシンが、ファイアウォールの背後にある別のドメイン(NYと呼ばれる)にあるActive Directory LDAPサーバーに対して認証できるようにしたい。
両方のドメイン間でポート389のみを許可するだけで十分ですか、それともNJドメインのマシンがNYドメインのLDAPサーバーに対して認証するために必要な他のポートがありますか?
LDAP認証のみ(AD/Kerberosなどは不可)である限り、389すべきで十分です。
TCPポート389および/または636を使用する必要があります。ポート636はLDAPS(LDAP over SSL)用です。ポート389での暗号化は、STARTTLSメカニズムを使用して行うこともできますが、その場合は暗号化が行われていることを明示的に確認します。
Microsoftの KB記事 は言う:
TLS拡張リクエストを開始します
LDAPS通信はポートTCP 636で発生します。グローバルカタログサーバーへのLDAPS通信はTCP 3269で発生します。ポート636または3269に接続すると、SSL/TLSはLDAPトラフィックが交換される前にネゴシエートされたWindows 2000は、Start TLS拡張要求機能をサポートしていません。
関連する サーバー障害の質問 も参照してください。
SSSDは、Active Directoryグローバルカタログからユーザー情報を取得するように設定できます。これにはポート3268が必要です https://fedorahosted.org/sssd/wiki/Configuring_sssd_with_ad_server
SAMBA共有にアクセスする場合、フォルダを開く前にフォルダへのアクセスを確認するために動的ポートが必要になります。
このTechNetドキュメントには、使用する機能に応じて、すべての潜在的なポートがリストされています。潜在的なポートの数を制限する場合は、動的ポートの制限へのリンクもあります。 https://technet.Microsoft.com/en-us/library/dd772723(v = ws.10).aspx
これは実際にはSSSD設定、特にauth_providerに依存します。 auth_provider = ldapには、ポート389(TLSを使用)または636(ldaps)のいずれかが必要です。 auth_provider = krb5にはポート88が必要です。
iDAでもGSSAPIで暗号化されるため、ipaとADプロバイダーの両方で実際に両方が必要です。GSSAPILDAPバインドを行うには、ccacheを準備するためにポート88が必要です。次に、LDAPを検索するためにポート389が必要です。また、認証のために再びポート88が必要です。
IPAおよびADプロバイダーもDNSに大きく依存しているため、ポート53も適切な場合があります。