<div dir="ltr"><div><div><div>Okay. Added the port range to ipa-adtrust-install and updated the man page to reflect firewall requirements.<br></div>The firewall section seems a little rough, so let me know what you think it would need to be smoothed over (if anything).<br><br></div>thanks,<br><br></div>Gabe<br></div><div class="gmail_extra"><br><div class="gmail_quote">On Fri, Oct 30, 2015 at 4:12 AM, Petr Spacek <span dir="ltr"><<a href="mailto:pspacek@redhat.com" target="_blank">pspacek@redhat.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div class="HOEnZb"><div class="h5">On 30.10.2015 11:10, Alexander Bokovoy wrote:<br>
> On Fri, 30 Oct 2015, Petr Spacek wrote:<br>
>> On 30.10.2015 07:54, Alexander Bokovoy wrote:<br>
>>> On Thu, 29 Oct 2015, Gabe Alford wrote:<br>
>>>> Hello,<br>
>>>><br>
>>>> Fix for <a href="https://fedorahosted.org/freeipa/ticket/5414" rel="noreferrer" target="_blank">https://fedorahosted.org/freeipa/ticket/5414</a><br>
>>>><br>
>>>> Thanks,<br>
>>>><br>
>>>> Gabe<br>
>>><br>
>>>> From 515582d66252521a3cbf6a6a48f33745bd788c86 Mon Sep 17 00:00:00 2001<br>
>>>> From: Gabe <<a href="mailto:redhatrises@gmail.com">redhatrises@gmail.com</a>><br>
>>>> Date: Thu, 29 Oct 2015 20:28:27 -0600<br>
>>>> Subject: [PATCH] Incomplete ports for IPA AD Trust<br>
>>>><br>
>>>> <a href="https://fedorahosted.org/freeipa/ticket/5414" rel="noreferrer" target="_blank">https://fedorahosted.org/freeipa/ticket/5414</a><br>
>>>> ---<br>
>>>> install/tools/ipa-adtrust-install | 1 +<br>
>>>> 1 file changed, 1 insertion(+)<br>
>>>><br>
>>>> diff --git a/install/tools/ipa-adtrust-install<br>
>>>> b/install/tools/ipa-adtrust-install<br>
>>>> index<br>
>>>> 1f41cc437e8a930c350eac0fb34e5bebc9f9b55b..84e28b57524b2c3308e52cc56b4b370276add0b7<br>
>>>><br>
>>>> 100755<br>
>>>> --- a/install/tools/ipa-adtrust-install<br>
>>>> +++ b/install/tools/ipa-adtrust-install<br>
>>>> @@ -472,6 +472,7 @@ Setup complete<br>
>>>><br>
>>>> You must make sure these network ports are open:<br>
>>>> \tTCP Ports:<br>
>>>> +\t  * 135: epmap<br>
>>>> \t  * 138: netbios-dgm<br>
>>>> \t  * 139: netbios-ssn<br>
>>>> \t  * 445: microsoft-ds<br>
>>> This is good but not complete. What end-point mapper does is creating a<br>
>>> listener based on the incoming request and access to the listener needs<br>
>>> to be provided as well. A listener is created currently in the range of<br>
>>> 1024..1300/TCP but we already have request to make this range<br>
>>> configurable (it is hard coded right now in Samba code) because with<br>
>>> Windows 2008 Microsoft moved it from 1025..5000 to 49152..65535:<br>
>>> <a href="https://support.microsoft.com/en-us/kb/929851" rel="noreferrer" target="_blank">https://support.microsoft.com/en-us/kb/929851</a><br>
>>><br>
>>> We were thinking to add a call out hook on Samba side to call<br>
>>> firewall-related script that could do hole punching on demand but it is<br>
>>> not there yet.<br>
>>><br>
>>> What we could do in ipa-adtrust-install, is to add section about TCP/UDP<br>
>>> ports to the manual page and explicitly reference that one in case of<br>
>>> epmap line:<br>
>>> \t  *135: epmap (see ipa-adtrust-install(1) man page for details)<br>
>>><br>
>>> We don't have the firewall section in the manpage at all, btw.<br>
>>><br>
>>> What do you think?<br>
>><br>
>> Maybe I'm missing something, but ... Could we simply put current range<br>
>> 1024..1300/TCP to the installer now and do other changes as Samba evolves? I<br>
>> think that it is good enough as a hotfix and that we do not need to<br>
>> over-complicate it in the beginning.<br>
> That's essentially what I said too -- but I want to have firewall<br>
> requirements documented in the manpage so that they are available<br>
> beforehand _and_ people actually read them when they are referenced in<br>
> the output.<br>
><br>
> I'm not asking for anything else here. Documentation is needed.<br>
<br>
</div></div>Thanks for clarification, I was under the impression that you wanted to put it<br>
only into the man page :-)<br>
<span class="HOEnZb"><font color="#888888"><br>
--<br>
Petr^2 Spacek<br>
</font></span><div class="HOEnZb"><div class="h5"><br>
--<br>
Manage your subscription for the Freeipa-devel mailing list:<br>
<a href="https://www.redhat.com/mailman/listinfo/freeipa-devel" rel="noreferrer" target="_blank">https://www.redhat.com/mailman/listinfo/freeipa-devel</a><br>
Contribute to FreeIPA: <a href="http://www.freeipa.org/page/Contribute/Code" rel="noreferrer" target="_blank">http://www.freeipa.org/page/Contribute/Code</a><br>
</div></div></blockquote></div><br></div>