<div dir="rtl"><div dir="ltr">Hello all again.</div><div dir="ltr"><br></div><div dir="ltr">I am trying to make sense of the documentation on firewall rules for in IPA/AD Trust relationship.</div><div dir="ltr"><br></div><div dir="ltr">The official RHEL 7 Windows Integration Guide states in section - 5.2.6 Firewalls And Ports, that:</div><div dir="ltr"><br></div><div dir="ltr"><i><span style="color:rgb(26,26,26);font-family:'Open Sans','Helvetica Neue',sans-serif;line-height:25.2000007629395px">"For a trust relationship, the Active Directory server and IdM server must have almost all of the required system ports open that are required for an IdM server installation, </span><span class="" style="border:0px none;margin:0px;padding:0px;vertical-align:baseline;font-stretch:inherit;line-height:25.2000007629395px;color:rgb(26,26,26);font-family:'Open Sans','Helvetica Neue',sans-serif;background-image:initial;background-repeat:initial"><span style="border:0px none;margin:0px;padding:0px;vertical-align:baseline;font-stretch:inherit;font-variant:inherit;font-weight:700;line-height:inherit;background:transparent">with the exception of the LDAP ports</span></span><span style="color:rgb(26,26,26);font-family:'Open Sans','Helvetica Neue',sans-serif;line-height:25.2000007629395px">."</span></i><br></div><div dir="ltr">So the following ports should be open (on the side of the IPA) : </div><div dir="ltr">80, 443, 88, 464, 53 - TCP </div><div dir="ltr">88, 464, 53, 123 - UDP</div><div dir="ltr"><br></div><div dir="ltr">And also :</div><div dir="ltr"><br></div><div dir="ltr"><i><span style="color:rgb(0,0,0);font-family:'Open Sans','Helvetica Neue',sans-serif;line-height:25.2000007629395px">"The IdM backend LDAP server </span><span class="" style="border:0px none;margin:0px;padding:0px;vertical-align:baseline;font-stretch:inherit;line-height:25.2000007629395px;color:rgb(0,0,0);font-family:'Open Sans','Helvetica Neue',sans-serif;background-image:initial;background-repeat:initial"><span style="border:0px none;margin:0px;padding:0px;vertical-align:baseline;font-stretch:inherit;font-variant:inherit;font-weight:inherit;line-height:inherit;background:transparent">must not be reachable</span></span><span style="color:rgb(0,0,0);font-family:'Open Sans','Helvetica Neue',sans-serif;line-height:25.2000007629395px"> by the Active Directory domain controller. The associated ports — 389 and 636 — on the IdM server host must be shut down for the Active Directory domain controller."</span></i><br></div><div dir="ltr"><i><span style="color:rgb(0,0,0);font-family:'Open Sans','Helvetica Neue',sans-serif;line-height:25.2000007629395px"><br></span></i></div><div dir="ltr"><a href="https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/7/html-single/Windows_Integration_Guide/index.html#trust-requirements">https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/7/html-single/Windows_Integration_Guide/index.html#trust-requirements</a><br></div><div dir="ltr"><br></div><div dir="ltr">After searching the mail archives i found the next post:</div><div dir="ltr"><br></div><div dir="ltr"><a href="https://www.redhat.com/archives/freeipa-users/2014-August/msg00032.html">https://www.redhat.com/archives/freeipa-users/2014-August/msg00032.html</a><br></div><div dir="ltr"><br></div><div dir="ltr"><pre style="color:rgb(0,0,0);margin:0em"><i>"LDAP over UDP is required for trusts as
connectionless LDAP (CLDAP) is part of discovery protocol that AD
machines expect to work.

Blocking TCP/389 and TCP/636 between AD DCs and IPA servers should not
hurt."</i></pre><pre style="color:rgb(0,0,0);margin:0em"><i><br></i></pre><pre style="color:rgb(0,0,0);margin:0em"><span style="color:rgb(34,34,34);font-family:arial;white-space:normal">But the HowTo documentation (on trust) in FreeIPA site states the following: </span><br></pre><pre style="color:rgb(0,0,0);margin:0em"><span style="color:rgb(34,34,34);font-family:arial;white-space:normal"><br></span></pre><pre style="color:rgb(0,0,0);margin:0em"><span style="color:rgb(46,52,54);font-family:'Source Sans Pro',sans-serif;line-height:20px;white-space:normal"><i>"Previously we recommended that you should make sure that IPA LDAP server is not reachable by AD DC by closing down TCP ports 389 and 636 for AD DC. Our current tests lead to the assumption that this is not necessary anymore."</i></span><span style="color:rgb(34,34,34);font-family:arial;white-space:normal"><br></span></pre><pre style="color:rgb(0,0,0);margin:0em"><span style="color:rgb(34,34,34);font-family:arial;white-space:normal"><br></span></pre><pre style="margin:0em"><font face="arial"><span style="white-space:normal"><a href="http://www.freeipa.org/page/Howto/IPAv3_AD_trust_setup#Firewall_configuration">http://www.freeipa.org/page/Howto/IPAv3_AD_trust_setup#Firewall_configuration</a><br></span></font></pre><pre style="margin:0em"><font face="arial"><span style="white-space:normal"><br></span></font></pre><pre style="margin:0em"><font face="arial"><span style="white-space:normal">Also after the ipa-adtrust-install script completes it outputs the following message:</span></font></pre><pre style="margin:0em"><font face="arial"><span style="white-space:normal"><br></span></font></pre><pre style="margin:0em"><font face="arial"><span style="white-space:normal"><i>Setup complete</i></span></font></pre><pre style="margin:0em"><font face="arial"><span style="white-space:normal"><i>You must make sure these network ports are open: </i></span></font></pre><pre style="margin:0em"><font face="arial"><span style="white-space:normal"><i>TCP Ports: </i></span></font></pre><pre style="margin:0em"><font face="arial"><span style="white-space:normal"><i>* 138: netbios-dgm </i></span></font></pre><pre style="margin:0em"><font face="arial"><span style="white-space:normal"><i>* 139: netbios-ssn </i></span></font></pre><pre style="margin:0em"><font face="arial"><span style="white-space:normal"><i>* 445: microsoft-ds </i></span></font></pre><pre style="margin:0em"><font face="arial"><span style="white-space:normal"><i>UDP Ports: </i></span></font></pre><pre style="margin:0em"><font face="arial"><span style="white-space:normal"><i>* 138: netbios-dgm <br></i></span></font></pre><pre style="margin:0em"><font color="#000000"><i>* 139: netbios-ssn 
* 389: (C)LDAP 
* 445: microsoft-ds </i><br></font></pre><pre style="margin:0em"><font color="#000000"><i><br></i></font></pre><pre style="margin:0em"><font face="arial"><span style="white-space:normal">Those ports need to be opened between the AD and IPA server?</span></font></pre><pre style="margin:0em"><font face="arial"><span style="white-space:normal"><br></span></font></pre><pre style="margin:0em"><font face="arial"><span style="white-space:normal">Finally i would like to understand if all the ports that should to be opened on the side of the IPA server, also should be opened at the AD on the both directions (Incoming, outgoing)? </span></font><span style="white-space:normal;font-family:arial"> </span></pre><pre style="margin:0em"><span style="white-space:normal;font-family:arial"><br></span></pre><pre style="margin:0em"><span style="white-space:normal"><font face="arial">I can see that the firewall configuration for AD not yet documented in the HowTo guide.</font></span></pre><pre style="margin:0em"><span style="white-space:normal"><font face="arial"><br></font></span></pre><pre style="margin:0em"><font face="arial"><span style="white-space:normal">Thanks,</span></font></pre><pre style="margin:0em"><span style="font-family:arial,sans-serif;font-size:13px;white-space:normal">Genadi.</span></pre><pre style="margin:0em"><span style="white-space:normal"><font face="arial"><br></font></span></pre></div></div>