为了对防火墙后面的另一个域中的 ldap 服务器进行身份验证，需要哪些端口？

Question 1

只要它仅进行 LDAP 身份验证（而不是 AD/Kerberos 等），389 应该就足够了。

Answer

只要它仅进行 LDAP 身份验证（而不是 AD/Kerberos 等），389 应该就足够了。

Question 2

您应该使用 TCP 端口 389 和/或 636。端口 636 用于 LDAPS，即基于 SSL 的 LDAP。使用 STARTTLS 机制也可以在端口 389 上进行加密，但在这种情况下，您应该明确验证是否正在进行加密。

启动 TLS 扩展请求

LDAPS 通信通过端口 TCP 636 进行。LDAPS 与全局目录服务器的通信通过 TCP 3269 进行。连接到端口 636 或 3269 时，在交换任何 LDAP 流量之前会协商 SSL/TLS。Windows 2000 不支持 Start TLS 扩展请求功能。

另请参阅相关服务器故障问题。

Answer

您应该使用 TCP 端口 389 和/或 636。端口 636 用于 LDAPS，即基于 SSL 的 LDAP。使用 STARTTLS 机制也可以在端口 389 上进行加密，但在这种情况下，您应该明确验证是否正在进行加密。

微软的知识库文章说：

启动 TLS 扩展请求

LDAPS 通信通过端口 TCP 636 进行。LDAPS 与全局目录服务器的通信通过 TCP 3269 进行。连接到端口 636 或 3269 时，在交换任何 LDAP 流量之前会协商 SSL/TLS。Windows 2000 不支持 Start TLS 扩展请求功能。

另请参阅相关服务器故障问题。

Question 3

这实际上取决于 SSSD 配置，特别是 auth_provider。auth_provider=ldap 需要端口 389（使用 TLS）或 636（ldaps）。auth_provider=krb5 需要端口 88。

ipa 和 AD 提供商实际上都需要这两者，因为即使身份数据也是用 GSSAPI 加密的，所以您需要端口 88 来启动 ccache 以执行 GSSAPI LDAP 绑定，然后使用端口 389 来搜索 LDAP，然后再次使用端口 88 进行身份验证。

IPA 和 AD 提供商也严重依赖 DNS，因此端口 53 也可能合适。

Answer

这实际上取决于 SSSD 配置，特别是 auth_provider。auth_provider=ldap 需要端口 389（使用 TLS）或 636（ldaps）。auth_provider=krb5 需要端口 88。

ipa 和 AD 提供商实际上都需要这两者，因为即使身份数据也是用 GSSAPI 加密的，所以您需要端口 88 来启动 ccache 以执行 GSSAPI LDAP 绑定，然后使用端口 389 来搜索 LDAP，然后再次使用端口 88 进行身份验证。

IPA 和 AD 提供商也严重依赖 DNS，因此端口 53 也可能合适。

Question 4

SSSD 可以配置为从 Active Directory 全局目录检索用户信息。这将需要端口 3268 https://fedorahosted.org/sssd/wiki/Configuring_sssd_with_ad_server

如果您要访问任何 SAMBA 共享，则在打开文件夹之前需要动态端口来验证对文件夹的访问。

此 TechNet 文档列出了所有潜在端口，具体取决于您将使用的功能。如果您想限制潜在端口的数量，它还提供了限制动态端口的链接。 https://technet.microsoft.com/en-us/library/dd772723(v=ws.10).aspx

Answer

SSSD 可以配置为从 Active Directory 全局目录检索用户信息。这将需要端口 3268 https://fedorahosted.org/sssd/wiki/Configuring_sssd_with_ad_server

如果您要访问任何 SAMBA 共享，则在打开文件夹之前需要动态端口来验证对文件夹的访问。

此 TechNet 文档列出了所有潜在端口，具体取决于您将使用的功能。如果您想限制潜在端口的数量，它还提供了限制动态端口的链接。 https://technet.microsoft.com/en-us/library/dd772723(v=ws.10).aspx

为了对防火墙后面的另一个域中的 ldap 服务器进行身份验证，需要哪些端口？

答案1

答案2

答案3

答案4

相关内容