Active-Directory

為了對防火牆後面的另一個域中的 ldap 伺服器進行身份驗證,需要哪些埠?

  • April 20, 2015

我有一個執行 的 Linux 域sssd,我們稱這個域為 NJ。

我希望 NJ 域上的機器能夠對位於防火牆後面的不同域(稱為 NY)上的 Active Directory ldap 伺服器進行身份驗證。

僅允許兩個域之間的埠 389 就足夠了,還是需要任何其他埠才能讓 NJ 域上的機器對 NY 域中的 ldap 伺服器進行身份驗證?

只要它僅 LDAP 身份驗證(而不是 AD/Kerberos 等),389 足夠了。

您應該使用 TCP 埠 389 和/或 636。埠 636 用於 LDAPS,即基於 SSL 的 LDAP。也可以使用 STARTTLS 機制對埠 389 進行加密,但在這種情況下,您應該明確驗證是否正在完成加密。

微軟的知識庫文章說:

  • 啟動 TLS 擴展請求

LDAPS 通信通過埠 TCP 636 進行。與全域編錄伺服器的 LDAPS 通信通過 TCP 3269 進行。連接到埠 636 或 3269 時,會在交換任何 LDAP 流量之前協商 SSL/TLS。Windows 2000 不支持啟動 TLS 擴展請求功能。

另請參閱相關的伺服器故障問題

引用自:https://serverfault.com/questions/682594