為了對防火牆後面的另一個域中的 ldap 伺服器進行身份驗證，需要哪些埠？

我有一個執行 的 Linux 域sssd，我們稱這個域為 NJ。

我希望 NJ 域上的機器能夠對位於防火牆後面的不同域（稱為 NY）上的 Active Directory ldap 伺服器進行身份驗證。

僅允許兩個域之間的埠 389 就足夠了，還是需要任何其他埠才能讓 NJ 域上的機器對 NY 域中的 ldap 伺服器進行身份驗證？

只要它僅 LDAP 身份驗證（而不是 AD/Kerberos 等），389 就足夠了。

您應該使用 TCP 埠 389 和/或 636。埠 636 用於 LDAPS，即基於 SSL 的 LDAP。也可以使用 STARTTLS 機制對埠 389 進行加密，但在這種情況下，您應該明確驗證是否正在完成加密。

微軟的知識庫文章說：

• 啟動 TLS 擴展請求

LDAPS 通信通過埠 TCP 636 進行。與全域編錄伺服器的 LDAPS 通信通過 TCP 3269 進行。連接到埠 636 或 3269 時，會在交換任何 LDAP 流量之前協商 SSL/TLS。Windows 2000 不支持啟動 TLS 擴展請求功能。

另請參閱相關的伺服器故障問題。

引用自：https://serverfault.com/questions/682594