<div dir="ltr">One thing I noticed was that once I had set up the proxy as per the document from Jan, I was getting access denied to /ipa until I disabled the Kerberos authentication stuff:<div><br></div><div><div># Protect /ipa and everything below it in webspace with Apache Kerberos auth</div><div><Location "/ipa"></div><div>#  AuthType GSSAPI</div><div>#  AuthName "Kerberos Login"</div><div>#  GssapiCredStore keytab:/etc/httpd/conf/ipa.keytab</div><div>#  GssapiCredStore client_keytab:/etc/httpd/conf/ipa.keytab</div><div>#  GssapiDelegCcacheDir /var/run/httpd/ipa/clientcaches</div><div>#  GssapiUseS4U2Proxy on</div><div>#  Require valid-user</div><div>#  ErrorDocument 401 /ipa/errors/unauthorized.html</div><div>  WSGIProcessGroup ipa</div><div>  WSGIApplicationGroup ipa</div><div></Location></div></div><div><br></div><div><br></div><div><br></div><div>Once that change was made, the following proxy worked:</div><div><br></div><div><div>Listen 9443</div><div><br></div><div><VirtualHost *:9443></div><div><br></div><div>ErrorLog /etc/httpd/logs/password-error_log</div><div>TransferLog /etc/httpd/logs/password-access_log</div><div>LogLevel debug</div><div><br></div><div>NSSEngine on</div><div><br></div><div>NSSCipherSuite +rsa_rc4_128_md5,+rsa_rc4_128_sha,+rsa_3des_sha,-rsa_des_sha,-rsa_rc4_40_md5,-rsa_rc2_40_md5,-rsa_null_md5,-rsa_null_sha,+fips_3des_sha,-fips_des_sha,-fortezza,-fortezza_rc4_128_sha,-fortezza_null,-rsa_des_56_sha,-rsa_rc4_56_sha,+rsa_aes_128_sha,+rsa_aes_256_sha</div><div><br></div><div>NSSProtocol TLSv1.0,TLSv1.1,TLSv1.2</div><div><br></div><div>NSSNickname Server-Cert</div><div><br></div><div>NSSCertificateDatabase /etc/httpd/alias</div><div><br></div><div>NSSProxyEngine on</div><div>NSSProxyCipherSuite +rsa_rc4_128_md5,+rsa_rc4_128_sha,+rsa_3des_sha,-rsa_des_sha,-rsa_rc4_40_md5,-rsa_rc2_40_md5,-rsa_null_md5,-rsa_null_sha,+fips_3des_sha,-fips_des_sha,-fortezza,-fortezza_rc4_128_sha,-fortezza_null,-rsa_des_56_sha,-rsa_rc4_56_sha,+rsa_aes_128_sha,+rsa_aes_256_sha</div><div><br></div><div>ProxyPass / <a href="https://ns01.dev.example.net/">https://ns01.dev.example.net/</a></div><div>ProxyPassReverse / <a href="https://ns01.dev.example.net/">https://ns01.dev.example.net/</a></div><div>ProxyPassReverseCookieDomain <a href="http://ns01.dev.example.net">ns01.dev.example.net</a> <a href="http://password.example.net">password.example.net</a></div><div>RequestHeader edit Referer ^<a href="https://password">https://password</a>\.example\.net/ <a href="https://ns01.dev.example.net/">https://ns01.dev.example.net/</a></div><div></VirtualHost></div></div><div><br></div><div>I hope this helps someone down the line.</div><div><br></div><div>-Anthony Clark</div><div><br></div></div><div class="gmail_extra"><br><div class="gmail_quote">On Mon, Jun 6, 2016 at 7:29 AM, Karl Forner <span dir="ltr"><<a href="mailto:karl.forner@gmail.com" target="_blank">karl.forner@gmail.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Thanks a lot Jan. It works perfectly, and it is crystal-clear.<br>
Best,<br>
Karl<br>
<div class="HOEnZb"><div class="h5"><br>
On Mon, Jun 6, 2016 at 11:13 AM, Jan Pazdziora <<a href="mailto:jpazdziora@redhat.com">jpazdziora@redhat.com</a>> wrote:<br>
> On Fri, Jun 03, 2016 at 10:42:59PM +0200, Jan Pazdziora wrote:<br>
>><br>
>> Hope this helps. I will likely do another writeup about this setup.<br>
><br>
> <a href="https://www.adelton.com/freeipa/freeipa-behind-proxy-with-different-name" rel="noreferrer" target="_blank">https://www.adelton.com/freeipa/freeipa-behind-proxy-with-different-name</a><br>
><br>
> --<br>
> Jan Pazdziora<br>
> Senior Principal Software Engineer, Identity Management Engineering, Red Hat<br>
<br>
--<br>
Manage your subscription for the Freeipa-users mailing list:<br>
<a href="https://www.redhat.com/mailman/listinfo/freeipa-users" rel="noreferrer" target="_blank">https://www.redhat.com/mailman/listinfo/freeipa-users</a><br>
Go to <a href="http://freeipa.org" rel="noreferrer" target="_blank">http://freeipa.org</a> for more info on the project<br>
</div></div></blockquote></div><br></div>