Quais portas são necessárias para autenticar em um servidor ldap em outro domínio que esteja atrás de um firewall?

4

Eu tenho um domínio Linux rodando com sssd , vamos chamar esse domínio de NJ.

Gostaria que as máquinas no domínio NJ pudessem se autenticar em um servidor ldap do Active Directory que reside em um domínio diferente (chamado NY) que está protegido por um firewall.

Seria suficiente permitir apenas a porta 389 entre os dois domínios ou existem outras portas que sejam necessárias para que as máquinas no domínio NJ sejam autenticadas nos servidores ldap no domínio NY?

    
por Itai Ganot 14.04.2015 / 15:36

4 respostas

3

Contanto que seja apenas LDAP auth (e não AD / Kerberos, etc.), 389 deve ser suficiente.

    
por 14.04.2015 / 15:47
10

Você deve usar as portas TCP 389 e / ou 636. A porta 636 é para LDAPS, que é LDAP sobre SSL. A criptografia na porta 389 também é possível usando o mecanismo STARTTLS, mas, nesse caso, você deve verificar explicitamente se a criptografia está sendo feita.

O artigo da KB da Microsoft diz:

  • Start TLS extended request

    LDAPS communication occurs over port TCP 636. LDAPS communication to a global catalog server occurs over TCP 3269. When connecting to ports 636 or 3269, SSL/TLS is negotiated before any LDAP traffic is exchanged. Windows 2000 does not support the Start TLS extended-request functionality.

Veja também a questão de falha no servidor relacionada.

    
por 14.04.2015 / 19:52
0

Isso realmente depende da configuração do SSSD, em particular do auth_provider. auth_provider = O ldap requer a porta 389 (com TLS) ou 636 (ldaps). auth_provider = krb5 requer a porta 88.

ipa e provedores de AD requerem ambos na verdade, porque mesmo os dados de identidade são criptografados com GSSAPI, então você precisa da porta 88 para preparar o ccache para fazer uma ligação LDAP GSSAPI, então a porta 389 para pesquisar LDAP e novamente novamente 88 para autenticação .

Os provedores de IPA e AD também dependem muito do DNS, então a porta 53 também pode ser apropriada.

    
por 14.04.2015 / 21:37
0

O SSSD pode ser configurado para recuperar informações do usuário do Catálogo Global do Active Directory. Isso exigiria porta 3268 link

Se você acessar os compartilhamentos SAMBA, as portas dinâmicas serão necessárias para verificar o acesso às pastas antes de abri-las.

Este documento do TechNet lista todas as portas possíveis, dependendo dos recursos que você usará. Ele também possui um link para restringir portas dinâmicas se você quiser limitar o número de portas potenciais. link

    
por 20.04.2015 / 17:25