<div dir="ltr"><br><div class="gmail_extra"><br><div class="gmail_quote">On Fri, Apr 1, 2016 at 2:57 PM, Rob Crittenden <span dir="ltr"><<a href="mailto:rcritten@redhat.com" target="_blank">rcritten@redhat.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Jeremy Utley wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class="">
Hello all on the list.<br>
<br>
First off, if this is documented somewhere I'm not aware of, I apologize<br>
for the noise.  I've spent a couple of hours google searching google<br>
without success, so pointers to any documentation I've missed would be<br>
greatly appreciated!<br>
<br>
We're in the process of setting up a FreeIPA system within our<br>
ultra-secure PCI zone.  It's currently working well, and we are very<br>
happy with it.  However, we know that come our next audit, we're going<br>
to get hit on a few things, so I would like to ask about blocking off<br>
some additional ports (specifically 80, 389, 53).  53 I think will be<br>
safe to block off, as all our clients actually use a dedicated caching<br>
DNS system with unbound, which has been configured to forward all<br></span>
queries for the zone "<a href="http://ipa.domain.com" rel="noreferrer" target="_blank">ipa.domain.com</a> <<a href="http://ipa.domain.com" rel="noreferrer" target="_blank">http://ipa.domain.com</a>>" to the<span class=""><br>
FreeIPA servers, so we should be able to block 53 from everywhere but<br>
the unbound servers without breakage.<br>
<br>
However, port 80 and 389 I'm not so sure about.  I know most things that<br>
hit port 80 get redirected to 443, and 389 provides STARTTLS<br>
functionality, but in theory, these ports can provide unencrypted<br>
communications, and therefore our auditors will ask that they be closed<br>
off.  However, in my research so far, I have not been able to find out<br>
what the ramifications would be to blocking these ports for the IPA<br>
system itself (would it fall back to using SSL on 636? Would API calls<br>
fail if port 80 is closed?).<br>
<br>
I also know that the ipa-client-install script will check to ensure<br>
these ports are open - temporarily opening them for the client setup<br>
will not be an issue, if we can close it back down after that.  We do<br>
not add systems within this zone very often, so this is a minor issue.<br>
<br>
Thanks for any advice you can give!<br>
<br>
Jeremy<br>
<br>
<br>
</span></blockquote>
<br>
See this thread from earlier this week, <a href="https://www.redhat.com/archives/freeipa-users/2016-March/msg00295.html" rel="noreferrer" target="_blank">https://www.redhat.com/archives/freeipa-users/2016-March/msg00295.html</a><span class="HOEnZb"><font color="#888888"><br>
<br>
rob<br>
</font></span></blockquote></div><br></div><div class="gmail_extra">Thank you, Rob!  I think that will answer my questions, and hopefully the auditors!<br><br></div><div class="gmail_extra">Jeremy<br></div></div>