Quais portas são necessárias para autenticar em um servidor ldap em outro domínio que esteja atrás de um firewall?

Contanto que seja apenas LDAP auth (e não AD / Kerberos, etc.), 389 deve ser suficiente.

Você deve usar as portas TCP 389 e / ou 636. A porta 636 é para LDAPS, que é LDAP sobre SSL. A criptografia na porta 389 também é possível usando o mecanismo STARTTLS, mas, nesse caso, você deve verificar explicitamente se a criptografia está sendo feita.

O artigo da KB da Microsoft diz:

• Start TLS extended request

  LDAPS communication occurs over port TCP 636. LDAPS communication to a global catalog server occurs over TCP 3269. When connecting to ports 636 or 3269, SSL/TLS is negotiated before any LDAP traffic is exchanged. Windows 2000 does not support the Start TLS extended-request functionality.

Veja também a questão de falha no servidor relacionada.

Isso realmente depende da configuração do SSSD, em particular do auth_provider. auth_provider = O ldap requer a porta 389 (com TLS) ou 636 (ldaps). auth_provider = krb5 requer a porta 88.

ipa e provedores de AD requerem ambos na verdade, porque mesmo os dados de identidade são criptografados com GSSAPI, então você precisa da porta 88 para preparar o ccache para fazer uma ligação LDAP GSSAPI, então a porta 389 para pesquisar LDAP e novamente novamente 88 para autenticação .

Os provedores de IPA e AD também dependem muito do DNS, então a porta 53 também pode ser apropriada.

O SSSD pode ser configurado para recuperar informações do usuário do Catálogo Global do Active Directory. Isso exigiria porta 3268 link

Se você acessar os compartilhamentos SAMBA, as portas dinâmicas serão necessárias para verificar o acesso às pastas antes de abri-las.

Este documento do TechNet lista todas as portas possíveis, dependendo dos recursos que você usará. Ele também possui um link para restringir portas dinâmicas se você quiser limitar o número de portas potenciais. link