<div dir="ltr">Hi Fraser,<div><br></div><div>I actually attempted that procedure (<a href="https://www.freeipa.org/page/Using_3rd_part_certificates_for_HTTP/LDAP">https://www.freeipa.org/page/Using_3rd_part_certificates_for_HTTP/LDAP</a>) but it completely broke my IPA install. I could no longer log in with any users including admin, enrollment/client auth broke, etc. Unfortunately I couldn't find any way to roll back to the self-signed CA cert so I ended up having to do a full re-provision and reinstall.</div><div><br></div><div>Needless to say, I'm a bit reticent to try that again.</div><div><br></div><div><br></div></div><div class="gmail_extra"><br><div class="gmail_quote">On Sun, Apr 26, 2015 at 5:32 PM, Fraser Tweedale <span dir="ltr"><<a href="mailto:ftweedal@redhat.com" target="_blank">ftweedal@redhat.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div class="HOEnZb"><div class="h5">On Fri, Apr 24, 2015 at 11:45:23AM -0700, Benjamen Keroack wrote:<br>
> Hi,<br>
><br>
> Does anybody have any experience putting the IPA web UI behind a reverse<br>
> proxy? In an attempt to allow our users to access the UI without browser<br>
> warnings and without having to add the root CA certificate to their trusted<br>
> store (there was some resistance to that idea), I set up an nginx server as<br>
> a simple reverse proxy.<br>
><br>
> Every request returns an "Unable to verify your Kerberos credentials" error<br>
> page. The headers returned:<br>
><br>
> $ http -h GET <a href="https://proxy/ipa" target="_blank">https://proxy/ipa</a><br>
> HTTP/1.1 401 Unauthorized<br>
> Accept-Ranges: bytes<br>
> Connection: keep-alive<br>
> Content-Length: 1474<br>
> Content-Type: text/html; charset=UTF-8<br>
> Date: Fri, 24 Apr 2015 18:43:06 GMT<br>
> Last-Modified: Thu, 19 Mar 2015 18:38:36 GMT<br>
> Server: nginx/1.4.6 (Ubuntu)<br>
> WWW-Authenticate: Negotiate<br>
><br>
> I saw this thread from 2013:<br>
> <a href="https://www.redhat.com/archives/freeipa-users/2013-August/thread.html#00065" target="_blank">https://www.redhat.com/archives/freeipa-users/2013-August/thread.html#00065</a><br>
><br>
> I'm sending the proper Host and Referer headers by the proxy as specified,<br>
> and I modified the Apache rewriting rules to not redirect to the hostname<br>
> of the backend IPA server.<br>
><br>
> Any ideas how this can be done?<br>
><br>
</div></div>Hi Benjamen,<br>
<br>
You could use a 3rd-party certificate (signed by trusted, public CA)<br>
for the Web UI; see the guide:<br>
<a href="https://www.freeipa.org/page/Using_3rd_part_certificates_for_HTTP/LDAP" target="_blank">https://www.freeipa.org/page/Using_3rd_part_certificates_for_HTTP/LDAP</a><br>
<br>
If you decide to continue with the Web UI behind a reverse proxy,<br>
Simo recent blogged about Kerberos authentication issues with this<br>
sort of setup; you may find inspiration here:<br>
<a href="https://ssimo.org/blog/id_019.html" target="_blank">https://ssimo.org/blog/id_019.html</a><br>
<br>
Cheers,<br>
Fraser<br>
<br>
> Thanks,<br>
<span class="HOEnZb"><font color="#888888">><br>
> --<br>
> Benjamen Keroack<br>
> *Infrastructure/DevOps Engineer*<br>
> <a href="mailto:benjamen@dollarshaveclub.com">benjamen@dollarshaveclub.com</a><br>
<br>
> --<br>
> Manage your subscription for the Freeipa-users mailing list:<br>
> <a href="https://www.redhat.com/mailman/listinfo/freeipa-users" target="_blank">https://www.redhat.com/mailman/listinfo/freeipa-users</a><br>
> Go to <a href="http://freeipa.org" target="_blank">http://freeipa.org</a> for more info on the project<br>
<br>
</font></span></blockquote></div><br><br clear="all"><div><br></div>-- <br><div class="gmail_signature"><div dir="ltr"><div><div dir="ltr"><div>Benjamen Keroack</div><div><i>Infrastructure/DevOps Engineer</i></div><div><a href="mailto:benjamen@dollarshaveclub.com" target="_blank">benjamen@dollarshaveclub.com</a></div><div><br></div></div></div></div></div>
</div>