web-dev-qa-db-fra.com

Quels ports sont nécessaires pour s'authentifier contre un serveur LDAP dans un autre domaine qui est derrière un pare-feu?

J'ai un domaine Linux en cours d'exécution avec sssd, appelons ce domaine nj.

J'aimerais que des machines sur le domaine NJ puissent authentifier contre un serveur LDAP Active Directory qui réside sur un domaine différent (appelé NY) qui est derrière un pare-feu.

Serait-il suffisant pour autoriser uniquement le port 389 entre les deux domaines ou y avoir des autres ports requis pour que les machines du domaine NJ se authentifient contre les serveurs LDAP dans le domaine NY?

7
Itai Ganot

Tant que cela ne ldap authentifie uniquement (et non Ad/Kerberos, etc.), 389devrait être suffisant.

4
Sven

Vous devez utiliser TCP ports 389 et/ou 636. Le port 636 est destiné aux LDAPS, qui est LDAP sur SSL. Le cryptage sur le port 389 est également possible en utilisant le mécanisme de démarrage, mais dans ce cas, vous devriez Vérifiez explicitement que le cryptage est en cours.

Microsoft Article KB dit:

  • Démarrez la demande étendue TLS

    La communication LDAPS se produit sur Port TCP 636. La communication LDAPS à un serveur de catalogue global survient sur TCP 3269. Lors de la connexion aux ports 636 ou 3269, SSL/TLS est Négocié avant tout trafic LDAP est échangé. Windows 2000 ne prend pas en charge la fonctionnalité de démarrage de la demande étendue TLS.

Voir également la question liée question de défaut de serveur .

13
200_success

SSSD peut être configuré pour récupérer des informations utilisateur à partir du catalogue global Active Directory. Cela nécessiterait du port 3268 https://fedorahosted.org/sssd/wiki/configuring_sssd_with_ad_server

Si vous accédez à des actions Samba, les ports dynamiques seront nécessaires pour vérifier l'accès aux dossiers avant de les ouvrir.

Ce document TechNet répertorie tous les ports potentiels, en fonction des fonctionnalités que vous utiliserez. Il dispose également d'un lien pour limiter les ports dynamiques si vous souhaitez limiter le nombre de ports potentiels. https://technet.microsoft.com/en-us/library/dd772723 (v = ws.10) .aspx

1
Zach Bolinger

Cela dépend vraiment de la configuration SSSD, en particulier auth_provider. auth_provider = LDAP nécessite soit le port 389 (avec TLS) ou 636 (LDAPS). auth_provider = KRB5 nécessite le port 88.

iPA et les fournisseurs d'annonces exigent à la fois, car même les données d'identité sont cryptées avec GSSAPI, vous avez donc besoin de port 88 pour amorcer le CCACHE pour effectuer une liaison GSSAPI LDAP, puis le port 389 pour rechercher LDAP, puis encore une fois le port 88 pour l'authentification.

L'IPA et les fournisseurs d'annonces s'appuient également fortement sur DNS, de sorte que le port 53 pourrait également être approprié.

1
jhrozek