<div dir="ltr"><div>Thank you ! This is at last crystal clear for me ! <br></div>Thank you also for the VPN/tunneling suggestion, I'll look into it.<br><div><br> <br><div><div class="gmail_extra"><br><div class="gmail_quote">On Mon, Oct 17, 2016 at 12:12 PM, Alexander Bokovoy <span dir="ltr"><<a href="mailto:abokovoy@redhat.com" target="_blank">abokovoy@redhat.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class="">On ma, 17 loka 2016, Karl Forner wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
On Mon, Oct 17, 2016 at 10:33 AM, Alexander Bokovoy <<a href="mailto:abokovoy@redhat.com" target="_blank">abokovoy@redhat.com</a>><br>
wrote:<br>
<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
On ma, 17 loka 2016, Karl Forner wrote:<br>
<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
Thanks Alexander, unfortunately I could only find outdated documentation.<br>
I just realized that my question is not precise enough.<br>
<br>
</blockquote>
The documentation I linked is the up-to-date one.<br>
<br>
</blockquote>
<br>
Yes I know. I was explaining...<br>
<br>
<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<br>
<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
>From your answer, I understand that during the replica setup process,<br>
all I need (because I do not use RHEL) is a ssh port between the master<br>
and the replica.<br>
<br>
</blockquote>
You did not read carefully what I quoted. SSH port is in addition to the<br>
ports required to be open for normal IPA master.<br>
<br>
</blockquote>
<br>
I did read.  I wrote "between the master and the replica". Each server has<br>
its own set of open ports in its own network, used by its clients.<br>
</blockquote></span>
IPA replica is a client of IPA master, there isn't much difference,<br>
except where Kerberos tickets are obtained from as each master/replica<br>
host own KDC with exactly same keys, so they are able to 'short cut' it<br>
here.  However, the rest stands.<span class=""><br>
<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
What I want to know is what ports are used by the replication process, i.e.<br>
what ports must I open on my firewall to enable the replication.<br>
</blockquote></span>
Exactly the same ports as specified in the documentation.<span class=""><br>
<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
Maybe all the ports are used for that purpose, but this is not, unless<br>
mistaken, clearly stated in the documentation.<br>
</blockquote></span>
You are mistaken and the mistake most likely comes from your idea that<br>
somehow IPA master/replica are different from other IPA clients. They<br>
are not, they are IPA clients themselves. Replication exchange is built<br>
on LDAP protocol.<span class=""><br>
<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
In that case, this may be a security problem opening that many ports in the<br>
firewall.<br>
</blockquote></span>
Nothing prevents you from organizing a proper VPN or other types of tunneling<br>
between the networks.<span class="HOEnZb"><font color="#888888"><br>
<br>
-- <br>
/ Alexander Bokovoy<br>
</font></span></blockquote></div><br></div></div></div></div>