Active-Directory
為了對防火牆後面的另一個域中的 ldap 伺服器進行身份驗證,需要哪些埠?
我有一個執行 的 Linux 域
sssd
,我們稱這個域為 NJ。我希望 NJ 域上的機器能夠對位於防火牆後面的不同域(稱為 NY)上的 Active Directory ldap 伺服器進行身份驗證。
僅允許兩個域之間的埠 389 就足夠了,還是需要任何其他埠才能讓 NJ 域上的機器對 NY 域中的 ldap 伺服器進行身份驗證?
只要它僅 LDAP 身份驗證(而不是 AD/Kerberos 等),
389
就足夠了。
您應該使用 TCP 埠 389 和/或 636。埠 636 用於 LDAPS,即基於 SSL 的 LDAP。也可以使用 STARTTLS 機制對埠 389 進行加密,但在這種情況下,您應該明確驗證是否正在完成加密。
微軟的知識庫文章說:
- 啟動 TLS 擴展請求
LDAPS 通信通過埠 TCP 636 進行。與全域編錄伺服器的 LDAPS 通信通過 TCP 3269 進行。連接到埠 636 或 3269 時,會在交換任何 LDAP 流量之前協商 SSL/TLS。Windows 2000 不支持啟動 TLS 擴展請求功能。
另請參閱相關的伺服器故障問題。