Используемые порты (firewall)
Используемые порты (firewall)#
Из документации:
Service |
Ports |
Protocol |
Comments |
|---|---|---|---|
HTTP, HTTPS |
|
TCP |
|
LDAP, LDAPS |
|
TCP |
|
Kerberos |
|
TCP and UDP |
|
DNS |
|
TCP and UDP (optional) |
if used as DNS server |
NTP |
|
UDP (optional) |
is used as NTP server (current version can’t without chronyd) |
Note
IdM uses ports 80 and 389. This is a secure practice because of the
following safeguards:
IdM normally redirects requests that arrive on port
80to port443. Port80(HTTP) is only used to provide Online Certificate Status Protocol (OCSP) responses and Certificate Revocation Lists (CRL). Both are digitally signed and therefore secured against man-in-the-middle attacks.Port
389(LDAP) uses STARTTLS and Generic Security Services API (GSSAPI) for encryption.
In addition, ports 8080, 8443, and 749 must be free as they are
used internally. Do not open these ports and instead leave them blocked
by a firewall.
Note
53-ий порт нужен для динамического обновления DNS-записей от клиентов, в том
числе при добавлении нового клиента в домен.
80-ый используется для получение сертификата CA FreeIPA при добавлении
нового клиента с помощью роли ipaclients freeipa-ansible, — как минимум,
при использовании OTP (одноразового пароля), м.б. всегда.
See also
Источник: RHEL8 - Installing Identity Management - Port requirements for IdM
Hint
Порт 7389 для репликации в текущей версии FreeIPA 4 уже не используется.
В правилах DFW мы можем использовать следующие записи (в firewall’е эджа придётся указывать каждый порт отдельно):
порты tcp:
53,80,88,389,443,464,636порты udp:
53,88,123,464