<div dir="ltr">Thanks for the quick responses, you have both answered everything I was looking for!</div><div class="gmail_extra"><br><div class="gmail_quote">On Tue, Mar 29, 2016 at 9:48 AM, Alexander Bokovoy <span dir="ltr"><<a href="mailto:abokovoy@redhat.com" target="_blank">abokovoy@redhat.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class="">On Tue, 29 Mar 2016, Simo Sorce wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
On Tue, 2016-03-29 at 08:51 -0600, Master P. wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
Hello,<br>
<br>
I am using FreeIPA on the cloud and am worried about MITM attacks.  I'm<br>
assuming all network traffic can be easily read and possibly manipulated by<br>
an attacker.<br>
<br>
When following<br>
<a href="https://docs.fedoraproject.org/en-US/Fedora/15/html/FreeIPA_Guide/installing-ipa.html" rel="noreferrer" target="_blank">https://docs.fedoraproject.org/en-US/Fedora/15/html/FreeIPA_Guide/installing-ipa.html</a>,<br>
some of the listed ports for FreeIPA (80 and 389) are unencrypted ports.<br>
</blockquote>
<br>
The only thing port 80 does is redirect to 443.<br>
</blockquote></span>
There is also a CA certificate access on port 80 in case LDAP-based<br>
access didn't work.<span class=""><br>
<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
Port 389 is the only use LDAP port and clients will use the STARTTLS<br>
command to transition to to a TLS encrypted connection or use GSSAPI and<br>
confidentiality to encrypt the traffic.<br>
</blockquote></span>
Also, any LDAP BIND with password will be refused without STARTTLS<br>
command.<span class="HOEnZb"><font color="#888888"><br>
<br>
-- <br>
/ Alexander Bokovoy<br>
</font></span></blockquote></div><br></div>