<html><body><p>Thank you Simo,<br><br><br>  Is there a better source for the IPA ports required you can direct me to other than this <a href="https://access.redhat.com/solutions/357673">https://access.redhat.com/solutions/357673</a><br>which shows the below:<br><br><b><font size="6">Resolution</font></b><br><b><font size="5">IdM Server <-> Clients</font></b><table border="0" cellspacing="0" cellpadding="0"><tr valign="top"><td width="97" valign="middle"><div align="center"><b><font size="4">Name</font></b></div></td><td width="160" valign="middle"><div align="center"><b><font size="4">Destination-port / Type</font></b></div></td><td width="689" valign="middle"><div align="center"><b><font size="4">Purpose</font></b></div></td></tr>
<tr valign="top"><td width="97" valign="middle"><font size="4">HTTP/HTTPS </font></td><td width="160" valign="middle"><font size="4">80 / 443 TCP             </font></td><td width="689" valign="middle"><font size="4">WebUI and IPA CLI admin tools communication.</font></td></tr>
<tr valign="top"><td width="97" valign="middle"><font size="4">LDAP/LDAPS</font></td><td width="160" valign="middle"><font size="4">389 / 636 TCP            </font></td><td width="689" valign="middle"><font size="4">directory service communication.</font></td></tr>
<tr valign="top"><td width="97" valign="middle"><font size="4">Kerberos    </font></td><td width="160" valign="middle"><font size="4">88 / 464 TCP and UDP</font></td><td width="689" valign="middle"><font size="4">communication for authentication</font></td></tr>
<tr valign="top"><td width="97" valign="middle"><font size="4">DNS         </font></td><td width="160" valign="middle"><font size="4">53 TCP and UDP   </font></td><td width="689" valign="middle"><font size="4">nameservice, used also for autodiscovery, autoregistration and High Availability Authentication(sssd), optional</font></td></tr>
<tr valign="top"><td width="97" valign="middle"><font size="4">NTP        </font></td><td width="160" valign="middle"><font size="4">123 UDP                </font></td><td width="689" valign="middle"><font size="4">network time protocol, optional</font></td></tr>
<tr valign="top"><td width="97" valign="middle"><font size="4">kadmind     </font></td><td width="160" valign="middle"><font size="4">464 / 749 TCP           </font></td><td width="689" valign="middle"><font size="4">used for principal generation, password changes etc.</font></td></tr></table><br><b><font size="5">IdM Server <-> IdM Server (i.e. Replica)</font></b><table border="0" cellspacing="0" cellpadding="0"><tr valign="top"><td width="97" valign="middle"><div align="center"><b><font size="4">Name</font></b></div></td><td width="160" valign="middle"><div align="center"><b><font size="4">Destination-port/Type</font></b></div></td><td width="804" valign="middle"><div align="center"><b><font size="4">Purpose</font></b></div></td></tr>
<tr valign="top"><td width="97" valign="middle"><font size="4">HTTP/HTTPS </font></td><td width="160" valign="middle"><font size="4">80 / 443 TCP            </font></td><td width="804" valign="middle"><font size="4">WebUI and IPA CLI admin tools communication.</font></td></tr>
<tr valign="top"><td width="97" valign="middle"><font size="4">LDAP/LDAPS</font></td><td width="160" valign="middle"><font size="4">389 / 636 TCP           </font></td><td width="804" valign="middle"><font size="4">directory service communication.</font></td></tr>
<tr valign="top"><td width="97" valign="middle"><font size="4">Kerberos    </font></td><td width="160" valign="middle"><font size="4">88 / 464 TCP and UDP</font></td><td width="804" valign="middle"><font size="4">communication for authentication</font></td></tr>
<tr valign="top"><td width="97" valign="middle"><font size="4">DNS         </font></td><td width="160" valign="middle"><font size="4">53 / TCP and UDP      </font></td><td width="804" valign="middle"><font size="4">nameservice, used also for autodiscovery, autoregistration and High Availability Authentication(sssd), </font><b><font size="4">optional</font></b></td></tr>
<tr valign="top"><td width="97" valign="middle"><font size="4">NTP         </font></td><td width="160" valign="middle"><font size="4">123 UDP                </font></td><td width="804" valign="middle"><font size="4">network time protocol, </font><b><font size="4">optional</font></b></td></tr>
<tr valign="top"><td width="97" valign="middle"><font size="4">kadmind     </font></td><td width="160" valign="middle"><font size="4">464 / 749 TCP            </font></td><td width="804" valign="middle"><font size="4">used only via localhost</font></td></tr>
<tr valign="top"><td width="97" valign="middle"><font size="4">dogtag      </font></td><td width="160" valign="middle"><font size="4">7389 TCP                 </font></td><td width="804" valign="middle"><font size="4">Server and replica communication</font></td></tr>
<tr valign="top"><td width="97" valign="middle"><font size="4">replica conf</font></td><td width="160" valign="middle"><font size="4">9443 / 9444 / 9445 TCP</font></td><td width="804" valign="middle"><font size="4">Recplica configuration, only needed during initial replica installation -- IPAv3/RHEL6 only (not required at all in IPAv4/RHEL7)</font></td></tr></table>
<p><b><font size="4">Note:</font></b><font size="4"> In RHEL 7, 389 port is used for replication instead of 7389 port.</font><p><p><font size="4">I have a hard time thinking ntp is required bidirectional as well which I assume is the indication with the <-> but I was also wrong thinking tcp port 53 would not be required which it is(found out hard way) so I was leaning on the docs a lot.</font><p><font size="4">What would be your take on bidirectional vs uni from the above list?</font><p><font size="4">We are running DNS and NTP from IPA.</font><p><p><br>  <br>Sean Hogan<br><br><br><br><img width="16" height="16" src="cid:1__=88BB0AB3DFEEFEF18f9e8a93df938690918c88B@" border="0" alt="Inactive hide details for Simo Sorce ---08/31/2016 03:36:00 PM---On Wed, 2016-08-31 at 14:22 -0700, Sean Hogan wrote: >"><font color="#424282">Simo Sorce ---08/31/2016 03:36:00 PM---On Wed, 2016-08-31 at 14:22 -0700, Sean Hogan wrote: ></font><br><br><font size="2" color="#5F5F5F">From:        </font><font size="2">Simo Sorce <simo@redhat.com></font><br><font size="2" color="#5F5F5F">To:        </font><font size="2">Sean Hogan/Durham/IBM@IBMUS</font><br><font size="2" color="#5F5F5F">Cc:        </font><font size="2">freeipa-users <freeipa-users@redhat.com></font><br><font size="2" color="#5F5F5F">Date:        </font><font size="2">08/31/2016 03:36 PM</font><br><font size="2" color="#5F5F5F">Subject:        </font><font size="2">Re: [Freeipa-users] IPA port 80</font><br><hr width="100%" size="2" align="left" noshade style="color:#8091A5; "><br><br><br><tt>On Wed, 2016-08-31 at 14:22 -0700, Sean Hogan wrote:<br>> <br>> <br>> Hi all,<br>> <br>>   Been reading a lot about Port 80 for IPA and firewalls but have not found<br>> a concrete answer.  I know the redhat docs indicate port 80 is required<br>> bidirectional however I need to investigate if it is truly needed.<br>> <br>> GUI only responds to 443 so not sure what else would be utilizing port 80.<br>> I have seen some references that dogtag proxies its ports to 80 and 443 but<br>> if the gui is running on 443 does that mean dogtag is proxying via 443<br>> only?  Or is there a way to tell?   Has anyone attempted not opening port<br>> 80 from IPA Server to IPA Server and clients to IPA server?<br>> ipa-server-3.0.0-50.el6.1.x86_64<br><br>Port 80 is not required, the only thing you'll find there is a redirect<br>to the HTTPS port.<br><br>Simo.<br><br>-- <br>Simo Sorce * Red Hat, Inc * New York<br><br></tt><br><br><BR>
</body></html>