<div dir="ltr"><div>Thanks for all the info. I think I sorted out the rewrite rules now, and the error I get is "Secure Connection Failed. SSL_ERROR_UNRECOGNIZED_NAME_ALERT".<br><br></div>I'm going to try and google this, since I'm assuming I need a ServerAlias somewhere. If someone knows the correct way, please let me know :) <br></div><div class="gmail_extra"><br clear="all"><div><div class="gmail_signature" data-smartmail="gmail_signature">-Harry<br></div></div>
<br><div class="gmail_quote">On 13 July 2016 at 08:11, Rob Crittenden <span dir="ltr"><<a href="mailto:rcritten@redhat.com" target="_blank">rcritten@redhat.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class="">Harry Kashouli wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
I tried uncommenting everything in the ipa-rewrite.conf file, but it<br>
still changed the web address. I'll try clearing the cache, in case that<br>
was still remembering the links.<br>
<br>
I may be attacking my original thought badly, if this is going to be bad<br>
for security. I'm wanting to allow users to change their passwords<br>
remotely, so I figured giving them public access to the Web UI was the<br>
way to go. Is there a better solution?<br>
</blockquote>
<br></span>
Moving back to list.<br>
<br>
Getting the rewrite rules right can be tricky sometimes. You might have an easier time using a proxy instead. Exposing the UI increases the attack surface area so as usual it's a balance of security and convenience that you need to assess.<br>
<br>
A community portal was started last summer but has largely stalled. This is the long-term plan for what you're looking for. The design and a pointer to the current code is at <a href="https://www.freeipa.org/page/V4/Community_Portal" rel="noreferrer" target="_blank">https://www.freeipa.org/page/V4/Community_Portal</a><br>
<br>
rob<br>
<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class="">
<br>
-Harry<br>
<br>
On 11 July 2016 at 19:56, Rob Crittenden <<a href="mailto:rcritten@redhat.com" target="_blank">rcritten@redhat.com</a><br></span><span class="">
<mailto:<a href="mailto:rcritten@redhat.com" target="_blank">rcritten@redhat.com</a>>> wrote:<br>
<br>
    Harry Kashouli wrote:<br>
<br>
        Hi all,<br>
<br>
        I have a freeipa server set up, and would like to access the Web UI<br>
        remotely (from outside my home network).<br>
<br>
        I set up a fresh Fedora 24 server install, and installed<br>
        freeipa-server.<br>
           - I own a domain, <a href="http://domain.com" rel="noreferrer" target="_blank">domain.com</a> <<a href="http://domain.com" rel="noreferrer" target="_blank">http://domain.com</a>><br>
        <<a href="http://domain.com" rel="noreferrer" target="_blank">http://domain.com</a>><br>
           - The hostname of my freeipa server is<br>
        <a href="http://hostname.subdomain.domain.com" rel="noreferrer" target="_blank">hostname.subdomain.domain.com</a> <<a href="http://hostname.subdomain.domain.com" rel="noreferrer" target="_blank">http://hostname.subdomain.domain.com</a>><br>
        <<a href="http://hostname.subdomain.domain.com" rel="noreferrer" target="_blank">http://hostname.subdomain.domain.com</a>><br>
           - My home network domain is <a href="http://subdomain.domain.com" rel="noreferrer" target="_blank">subdomain.domain.com</a><br>
        <<a href="http://subdomain.domain.com" rel="noreferrer" target="_blank">http://subdomain.domain.com</a>><br>
        <<a href="http://subdomain.domain.com" rel="noreferrer" target="_blank">http://subdomain.domain.com</a>><br>
<br>
        I set up a CNAME <a href="http://hostname.domain.com" rel="noreferrer" target="_blank">hostname.domain.com</a><br></span>
        <<a href="http://hostname.domain.com" rel="noreferrer" target="_blank">http://hostname.domain.com</a>> <<a href="http://hostname.domain.com" rel="noreferrer" target="_blank">http://hostname.domain.com</a>> and<span class=""><br>
        port forwardings, and I tested this works with nginx on the same<br>
        machine; I can successfully see the nginx test page.<br>
        I then assumed I could do the same with the freeipa Web UI, but<br>
        when I<br>
        navigate to <a href="http://hostname.domain.com" rel="noreferrer" target="_blank">http://hostname.domain.com</a>:<external_port>, it<br>
        switches to<br>
        <a href="https://hostname.subdomain.domain.com" rel="noreferrer" target="_blank">https://hostname.subdomain.domain.com</a>:<internal_port>, and with the<br>
        following error: "Server not found"<br>
<br>
        What am I doing wrong?<br>
<br>
<br>
    Look at ipa-rewrite.conf in the IPA Apache config. It does rewriting<br>
    to the real name of the IPA server when it was installed. You can<br>
    try tweaking this to allow both names, or to just not do the rewriting.<br>
<br>
    You may have issues with Kerberos and SSL due to using a different name.<br>
<br>
    You definitely don't want to use IPA over an unsecure channel.<br>
<br>
    rob<br>
<br>
<br>
</span></blockquote>
<br>
</blockquote></div><br></div>