J'ai un domaine Linux en cours d'exécution avec sssd
, appelons ce domaine nj.
J'aimerais que des machines sur le domaine NJ puissent authentifier contre un serveur LDAP Active Directory qui réside sur un domaine différent (appelé NY) qui est derrière un pare-feu.
Serait-il suffisant pour autoriser uniquement le port 389 entre les deux domaines ou y avoir des autres ports requis pour que les machines du domaine NJ se authentifient contre les serveurs LDAP dans le domaine NY?
Tant que cela ne ldap authentifie uniquement (et non Ad/Kerberos, etc.), 389
devrait être suffisant.
Vous devez utiliser TCP ports 389 et/ou 636. Le port 636 est destiné aux LDAPS, qui est LDAP sur SSL. Le cryptage sur le port 389 est également possible en utilisant le mécanisme de démarrage, mais dans ce cas, vous devriez Vérifiez explicitement que le cryptage est en cours.
Microsoft Article KB dit:
Démarrez la demande étendue TLS
La communication LDAPS se produit sur Port TCP 636. La communication LDAPS à un serveur de catalogue global survient sur TCP 3269. Lors de la connexion aux ports 636 ou 3269, SSL/TLS est Négocié avant tout trafic LDAP est échangé. Windows 2000 ne prend pas en charge la fonctionnalité de démarrage de la demande étendue TLS.
Voir également la question liée question de défaut de serveur .
SSSD peut être configuré pour récupérer des informations utilisateur à partir du catalogue global Active Directory. Cela nécessiterait du port 3268 https://fedorahosted.org/sssd/wiki/configuring_sssd_with_ad_server
Si vous accédez à des actions Samba, les ports dynamiques seront nécessaires pour vérifier l'accès aux dossiers avant de les ouvrir.
Ce document TechNet répertorie tous les ports potentiels, en fonction des fonctionnalités que vous utiliserez. Il dispose également d'un lien pour limiter les ports dynamiques si vous souhaitez limiter le nombre de ports potentiels. https://technet.microsoft.com/en-us/library/dd772723 (v = ws.10) .aspx
Cela dépend vraiment de la configuration SSSD, en particulier auth_provider. auth_provider = LDAP nécessite soit le port 389 (avec TLS) ou 636 (LDAPS). auth_provider = KRB5 nécessite le port 88.
iPA et les fournisseurs d'annonces exigent à la fois, car même les données d'identité sont cryptées avec GSSAPI, vous avez donc besoin de port 88 pour amorcer le CCACHE pour effectuer une liaison GSSAPI LDAP, puis le port 389 pour rechercher LDAP, puis encore une fois le port 88 pour l'authentification.
L'IPA et les fournisseurs d'annonces s'appuient également fortement sur DNS, de sorte que le port 53 pourrait également être approprié.