<html><body bgcolor="#FFFFFF"><p>Thanks Peter,<br><br>  <br>So the set up is each vlan has an IPA replica within the firewall boundary acting as its primary auth/policy server.  If it goes down.. then the clients can reach back thru the firewall to our backup IPAs.  So I am trying to pinpoint the actual ports required to be open on the firewall to allow the clients the ability to get back to the back up IPAs.<br><br>It comes down to opening ports thru the firewalls back to our IPA backup servers.  If port 80 is not required for the clients or servers to get to IPA behind the firewall then there is no need in opening more ports than required and getting 443 open adheres more to our security policy than 80.  So if everything is redirected to 443 and 80 is not required as it is all redirected then the docs I am using are not correct.  <br><br>I am hoping Simo can weigh in on this<br><br><br>Redhat link shows this for firewall port openings <a href="https://access.redhat.com/solutions/357673"><u><font size="4" color="#0000FF">https://access.redhat.com/solutions/357673</font></u></a><br>with <-> seeming to indicate bidirectional.  Not sure why NTP requires that for the clients.<br><br><b>Resolution</b><b><br>IdM Server <-> Clients</b><table border="0" cellspacing="0" cellpadding="0"><tr valign="top"><td width="117" valign="middle"><div align="center"><b>Name</b></div></td><td width="160" valign="middle"><div align="center"><b>Destination-port / Type</b></div></td><td width="689" valign="middle"><div align="center"><b>Purpose</b></div></td></tr>
<tr valign="top"><td width="117" valign="middle">HTTP/HTTPS </td><td width="160" valign="middle">80 / 443 TCP             </td><td width="689" valign="middle">WebUI and IPA CLI admin tools communication.</td></tr>
<tr valign="top"><td width="117" valign="middle">LDAP/LDAPS</td><td width="160" valign="middle">389 / 636 TCP            </td><td width="689" valign="middle">directory service communication.</td></tr>
<tr valign="top"><td width="117" valign="middle">Kerberos    </td><td width="160" valign="middle">88 / 464 TCP and UDP</td><td width="689" valign="middle">communication for authentication</td></tr>
<tr valign="top"><td width="117" valign="middle">DNS         </td><td width="160" valign="middle">53 TCP and UDP   </td><td width="689" valign="middle">nameservice, used also for autodiscovery, autoregistration and High Availability Authentication(sssd), optional</td></tr>
<tr valign="top"><td width="117" valign="middle">NTP        </td><td width="160" valign="middle">123 UDP                </td><td width="689" valign="middle">network time protocol, optional</td></tr>
<tr valign="top"><td width="117" valign="middle">kadmind     </td><td width="160" valign="middle">464 / 749 TCP           </td><td width="689" valign="middle">used for principal generation, password changes etc.</td></tr></table><b><br>IdM Server <-> IdM Server (i.e. Replica)</b><table border="0" cellspacing="0" cellpadding="0"><tr valign="top"><td width="117" valign="middle"><div align="center"><b>Name</b></div></td><td width="180" valign="middle"><div align="center"><b>Destination-port/Type</b></div></td><td width="804" valign="middle"><div align="center"><b>Purpose</b></div></td></tr>
<tr valign="top"><td width="117" valign="middle">HTTP/HTTPS </td><td width="180" valign="middle">80 / 443 TCP            </td><td width="804" valign="middle">WebUI and IPA CLI admin tools communication.</td></tr>
<tr valign="top"><td width="117" valign="middle">LDAP/LDAPS</td><td width="180" valign="middle">389 / 636 TCP           </td><td width="804" valign="middle">directory service communication.</td></tr>
<tr valign="top"><td width="117" valign="middle">Kerberos    </td><td width="180" valign="middle">88 / 464 TCP and UDP</td><td width="804" valign="middle">communication for authentication</td></tr>
<tr valign="top"><td width="117" valign="middle">DNS         </td><td width="180" valign="middle">53 / TCP and UDP      </td><td width="804" valign="middle">nameservice, used also for autodiscovery, autoregistration and High Availability Authentication(sssd), <b>optional</b></td></tr>
<tr valign="top"><td width="117" valign="middle">NTP         </td><td width="180" valign="middle">123 UDP                </td><td width="804" valign="middle">network time protocol, <b>optional</b></td></tr>
<tr valign="top"><td width="117" valign="middle">kadmind     </td><td width="180" valign="middle">464 / 749 TCP            </td><td width="804" valign="middle">used only via localhost</td></tr>
<tr valign="top"><td width="117" valign="middle">dogtag      </td><td width="180" valign="middle">7389 TCP                 </td><td width="804" valign="middle">Server and replica communication</td></tr>
<tr valign="top"><td width="117" valign="middle">replica conf</td><td width="180" valign="middle">9443 / 9444 / 9445 TCP</td><td width="804" valign="middle">Recplica configuration, only needed during initial replica installation -- IPAv3/RHEL6 only (not required at all in IPAv4/RHEL7)</td></tr></table><b>Note:</b> In RHEL 7, 389 port is used for replication instead of 7389 port.<br><br><br>Sean Hogan<br><br><br><br><br><br><img width="16" height="16" src="cid:1__=88BB0AB3DFED67658f9e8a93df938690918c88B@" border="0" alt="Inactive hide details for Peter Fern ---08/31/2016 04:01:30 PM---You need to serve CRLs and OCSP via HTTP to avoid clients fail"><font color="#424282">Peter Fern ---08/31/2016 04:01:30 PM---You need to serve CRLs and OCSP via HTTP to avoid clients failing to verify the cert of the host ser</font><br><br><font size="2" color="#5F5F5F">From:        </font><font size="2">Peter Fern <freeipa@0xc0dedbad.com></font><br><font size="2" color="#5F5F5F">To:        </font><font size="2">freeipa-users <freeipa-users@redhat.com></font><br><font size="2" color="#5F5F5F">Date:        </font><font size="2">08/31/2016 04:01 PM</font><br><font size="2" color="#5F5F5F">Subject:        </font><font size="2">Re: [Freeipa-users] IPA port 80</font><br><font size="2" color="#5F5F5F">Sent by:        </font><font size="2">freeipa-users-bounces@redhat.com</font><br><hr width="100%" size="2" align="left" noshade style="color:#8091A5; "><br><br><br><font size="4">You need to serve CRLs and OCSP via HTTP to avoid clients failing to verify the cert of the host serving the CRL/OCSP when the cert on that host needs to be verified at itself.<br><br>I'm not sure why you'd particularly care though - reading the Apache configs and you should see that other than a couple of exceptions, all HTTP traffic is redirected to HTTPS.<br><br>On 01/09/16 07:22, Sean Hogan wrote:</font><ul><ul><font size="4">Hi all,<br><br>Been reading a lot about Port 80 for IPA and firewalls but have not found a concrete answer. I know the redhat docs indicate port 80 is required bidirectional however I need to investigate if it is truly needed.<br><br>GUI only responds to 443 so not sure what else would be utilizing port 80. I have seen some references that dogtag proxies its ports to 80 and 443 but if the gui is running on 443 does that mean dogtag is proxying via 443 only? Or is there a way to tell? Has anyone attempted not opening port 80 from IPA Server to IPA Server and clients to IPA server?<br>ipa-server-3.0.0-50.el6.1.x86_64<br><br><br><br><br>Sean Hogan<br><br><br><br><br></font><p></ul></ul><tt>-- <br>Manage your subscription for the Freeipa-users mailing list:<br></tt><tt><a href="https://www.redhat.com/mailman/listinfo/freeipa-users">https://www.redhat.com/mailman/listinfo/freeipa-users</a></tt><tt><br>Go to </tt><tt><a href="http://freeipa.org">http://freeipa.org</a></tt><tt> for more info on the project</tt><p><p><BR>
</body></html>