Contanto que seja apenas LDAP auth (e não AD / Kerberos, etc.), 389
deve ser suficiente.
Eu tenho um domínio Linux rodando com sssd
, vamos chamar esse domínio de NJ.
Gostaria que as máquinas no domínio NJ pudessem se autenticar em um servidor ldap do Active Directory que reside em um domínio diferente (chamado NY) que está protegido por um firewall.
Seria suficiente permitir apenas a porta 389 entre os dois domínios ou existem outras portas que sejam necessárias para que as máquinas no domínio NJ sejam autenticadas nos servidores ldap no domínio NY?
Você deve usar as portas TCP 389 e / ou 636. A porta 636 é para LDAPS, que é LDAP sobre SSL. A criptografia na porta 389 também é possível usando o mecanismo STARTTLS, mas, nesse caso, você deve verificar explicitamente se a criptografia está sendo feita.
O artigo da KB da Microsoft diz:
Start TLS extended request
LDAPS communication occurs over port TCP 636. LDAPS communication to a global catalog server occurs over TCP 3269. When connecting to ports 636 or 3269, SSL/TLS is negotiated before any LDAP traffic is exchanged. Windows 2000 does not support the Start TLS extended-request functionality.
Veja também a questão de falha no servidor relacionada.
Isso realmente depende da configuração do SSSD, em particular do auth_provider. auth_provider = O ldap requer a porta 389 (com TLS) ou 636 (ldaps). auth_provider = krb5 requer a porta 88.
ipa e provedores de AD requerem ambos na verdade, porque mesmo os dados de identidade são criptografados com GSSAPI, então você precisa da porta 88 para preparar o ccache para fazer uma ligação LDAP GSSAPI, então a porta 389 para pesquisar LDAP e novamente novamente 88 para autenticação .
Os provedores de IPA e AD também dependem muito do DNS, então a porta 53 também pode ser apropriada.
O SSSD pode ser configurado para recuperar informações do usuário do Catálogo Global do Active Directory. Isso exigiria porta 3268 link
Se você acessar os compartilhamentos SAMBA, as portas dinâmicas serão necessárias para verificar o acesso às pastas antes de abri-las.
Este documento do TechNet lista todas as portas possíveis, dependendo dos recursos que você usará. Ele também possui um link para restringir portas dinâmicas se você quiser limitar o número de portas potenciais. link