用于活动目录协议和用户 ID 通信到防火墙的端口

 以下信息描述了帕洛阿尔托网络防火墙之间用于通信的端口,

用户 id 代理 (以及无代理用户 id) 和活动目录域控制器通信

协议。

协议

1。ldap (用于与 ldap 进行对话的端口 (用于身份验证和组映射)

· tcp 389 >> tcp 端口389和 636 LDAPS (LDAP 安全)

· TCP 3268 >> 全局编录默认情况下在端口3268和3269上可用 LDAPs

2。半径: UDP 端口1812用于 radius 身份验证。某些网络访问服务器可能会使用

用于 RADIUS 身份验证消息的 UDP 端口1645

3。Kerberos: 默认情况下使用 UDP 端口88

用户 id (用于与用户 id 代理进行对话的端口)

· TCP 5007 (默认的 Windows 用户 ID 代理服务端口号为 5007, 尽管它是

多变

用于活动目录协议和用户 ID 通信到防火墙的端口

代理

·无代理用户 ID 使用 WMI 来提取最初使用端口389的安全日志, 然后协商

对数据使用动态随机端口。因此, 允许所有端口都需要允许。

请参见

用户 ID 的最佳做法-潘-OS 5.0 6.0