<div>>>Hi,</div>Hello,<br>>>Is the zone not transferring at all, or is it just the updates that's<br>>>not transferred to the AD slave server?<br>It's not transferring at all.<br>>>If the zone is not transferring at all: Did yo modify the "Allow<br>
>>transfer" property of the zone ?<br>yes, I change the parameter to allow zone transfers from the AD<div>>>If the updates is not transferring: I believe automatic increment of the<br>>>zone serial number will be supported in IPA 3.0. The IPA developers will<br>
>>have to confirm that. However you can manually change the serial number<br>>>under Zone Settings.</div><div>Yes, I also read this information but I was hoping there was some other solution to the issue. And I've done manually change the serial number of the zone but without success<br>
>>Hope this helps.</div><div>Thanks</div><div><br></div>>>Regards,<br>>>Siggi<br><br><div class="gmail_quote">2012/8/20  <span dir="ltr"><<a href="mailto:freeipa-users-request@redhat.com" target="_blank">freeipa-users-request@redhat.com</a>></span><br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Send Freeipa-users mailing list submissions to<br>
        <a href="mailto:freeipa-users@redhat.com">freeipa-users@redhat.com</a><br>
<br>
To subscribe or unsubscribe via the World Wide Web, visit<br>
        <a href="https://www.redhat.com/mailman/listinfo/freeipa-users" target="_blank">https://www.redhat.com/mailman/listinfo/freeipa-users</a><br>
or, via email, send a message with subject or body 'help' to<br>
        <a href="mailto:freeipa-users-request@redhat.com">freeipa-users-request@redhat.com</a><br>
<br>
You can reach the person managing the list at<br>
        <a href="mailto:freeipa-users-owner@redhat.com">freeipa-users-owner@redhat.com</a><br>
<br>
When replying, please edit your Subject line so it is more specific<br>
than "Re: Contents of Freeipa-users digest..."<br>
<br>
<br>
Today's Topics:<br>
<br>
   1. Re: Active Directory slave zone in FreeIPA DNS (Sigbjorn Lie)<br>
   2. Re: sssd client cache timer and merging IPA domains<br>
      (Rob Crittenden)<br>
   3. Re: Question about migration and scripts variables<br>
      (Rob Crittenden)<br>
   4. Specifying load balancing to SSSD clients (Innes, Duncan)<br>
   5. Re: Specifying load balancing to SSSD clients (Mark St. Laurent)<br>
<br>
<br>
----------------------------------------------------------------------<br>
<br>
Message: 1<br>
Date: Sun, 19 Aug 2012 18:23:20 +0200<br>
From: Sigbjorn Lie <<a href="mailto:sigbjorn@nixtra.com">sigbjorn@nixtra.com</a>><br>
To: <a href="mailto:freeipa-users@redhat.com">freeipa-users@redhat.com</a><br>
Subject: Re: [Freeipa-users] Active Directory slave zone in FreeIPA<br>
        DNS<br>
Message-ID: <<a href="mailto:503112F8.8000900@nixtra.com">503112F8.8000900@nixtra.com</a>><br>
Content-Type: text/plain; charset="iso-8859-1"; Format="flowed"<br>
<br>
On 08/19/2012 04:39 PM, Franklin Catoni wrote:<br>
> Greetings community.<br>
><br>
> I do not speak English so I will do my best.<br>
><br>
> I have two environments in my company, a domain "<a href="http://ejemplo.com" target="_blank">ejemplo.com</a><br>
> <<a href="http://ejemplo.com" target="_blank">http://ejemplo.com</a>>" with Windows Active Directory running on Windows<br>
> Server 2003 Enterprise Edition SP2 and domain  "<a href="http://ejemplo.gob.ve" target="_blank">ejemplo.gob.ve</a><br>
> <<a href="http://ejemplo.gob.ve" target="_blank">http://ejemplo.gob.ve</a>>" with FreeIPA v2.2. mounted on Centos 6.3 x64.<br>
>  This is because we are in the middle of a platform migration process<br>
> (a very slow process) from proprietary solutions to open source.<br>
><br>
> DNS and DHCP service for my two environments is offered by the server<br>
> Centos 6.3 which is mounted FreeIPA directory, clients are Windows<br>
> computers Active Directory domain and linux computers in the domain Ipa.<br>
><br>
> Currently the zone "<a href="http://ejemplo.gob.ve" target="_blank">ejemplo.gob.ve</a> <<a href="http://ejemplo.gob.ve" target="_blank">http://ejemplo.gob.ve</a>>" is<br>
> administered by the FreeIPA DNS using the plugin<br>
> (bind-dyndb-ldap.x86_64 v1.1.0) and I configure a slave zone using<br>
> bind (bind-9.8.2-0.10.rc1.el6_3.2 . x86_64) for the domain<br>
> "<a href="http://ejemplo.com" target="_blank">ejemplo.com</a> <<a href="http://ejemplo.com" target="_blank">http://ejemplo.com</a>>" Active Directory<br>
><br>
> Name resolution works perfectly for both Linux and Windows clients.<br>
><br>
> Now here comes the tricky part<br>
><br>
> In order to find a more centralized management of my services, I try<br>
> to configure a slave zone to Active Directory through FreeIPA with<br>
> dyndb bind-plugin-ldap and so to eliminate configuration through bind,<br>
> but the transfers zone does not work, causing this many problems on<br>
> both platforms.<br>
><br>
> The log shows me the following error:<br>
><br>
> ServidorIPA named[3706]: zone <a href="http://ejemplo.com/IN/local" target="_blank">ejemplo.com/IN/local</a><br>
> <<a href="http://ejemplo.com/IN/local" target="_blank">http://ejemplo.com/IN/local</a>>: zone serial (2012081801) unchanged.<br>
> zone may fail to transfer to slaves<br>
><br>
> I've spent enough time looking at Super Google information that can<br>
> help me but it has not been easy, because it seems to be a rare situation.<br>
><br>
> I ask. You can set this up under these circumstances?<br>
> Someone has accomplished?<br>
> Some information that horiente me to get a solution?<br>
><br>
> Thanks for your time.<br>
><br>
Hi,<br>
<br>
Is the zone not transferring at all, or is it just the updates that's<br>
not transferred to the AD slave server?<br>
<br>
If the zone is not transferring at all: Did yo modify the "Allow<br>
transfer" property of the zone ?<br>
<br>
If the updates is not transferring: I believe automatic increment of the<br>
zone serial number will be supported in IPA 3.0. The IPA developers will<br>
have to confirm that. However you can manually change the serial number<br>
under Zone Settings.<br>
<br>
Hope this helps.<br>
<br>
<br>
Regards,<br>
Siggi<br>
<br>
-------------- next part --------------<br>
An HTML attachment was scrubbed...<br>
URL: <<a href="https://www.redhat.com/archives/freeipa-users/attachments/20120819/73825288/attachment.html" target="_blank">https://www.redhat.com/archives/freeipa-users/attachments/20120819/73825288/attachment.html</a>><br>

<br>
------------------------------<br>
<br>
Message: 2<br>
Date: Mon, 20 Aug 2012 08:44:32 -0400<br>
From: Rob Crittenden <<a href="mailto:rcritten@redhat.com">rcritten@redhat.com</a>><br>
To: Lucas Yamanishi <<a href="mailto:lyamanishi@sesda2.com">lyamanishi@sesda2.com</a>><br>
Cc: "<a href="mailto:freeipa-users@redhat.com">freeipa-users@redhat.com</a>" <<a href="mailto:freeipa-users@redhat.com">freeipa-users@redhat.com</a>><br>
Subject: Re: [Freeipa-users] sssd client cache timer and merging IPA<br>
        domains<br>
Message-ID: <<a href="mailto:50323130.6030102@redhat.com">50323130.6030102@redhat.com</a>><br>
Content-Type: text/plain; charset=UTF-8; format=flowed<br>
<br>
Lucas Yamanishi wrote:<br>
><br>
> On 08/17/2012 08:38 AM, Rob Crittenden wrote:<br>
>> Lucas Yamanishi wrote:<br>
>>><br>
>>> On 08/16/2012 05:39 PM, Rob Crittenden wrote:<br>
>>>> Lucas Yamanishi wrote:<br>
>>>>><br>
>>>>> On 08/16/2012 05:32 PM, Rob Crittenden wrote:<br>
>>>>>> Lucas Yamanishi wrote:<br>
>>>>>>> I just migrated my IPA instance from one to another a couple days<br>
>>>>>>> ago to<br>
>>>>>>> recover after a lost CA and failed yum upgrade.  The "ipa migrate-ds"<br>
>>>>>>> tool works very well, though I am having a few very minor issues.  On<br>
>>>>>>> the upside, as far as I can tell, you can skip the steps about<br>
>>>>>>> Kerberos<br>
>>>>>>> key generation as outlined in the documentation.  I've been able to<br>
>>>>>>> kinit just fine with my migrated users.<br>
>>>>>>><br>
>>>>>>><br>
>>>>>>> Below are the few errors I've noticed.<br>
>>>>>>><br>
>>>>>>> * When I ssh into an enrolled host using a migrated user's<br>
>>>>>>> credentials I<br>
>>>>>>> get this error:<br>
>>>>>>><br>
>>>>>>>       id: cannot find name for group ID 104600003\<br>
>>>>>><br>
>>>>>> Does a group exist with that GID? You can try something like:<br>
>>>>>><br>
>>>>>> $ ipa group-find --gid=104600003<br>
>>>>>><br>
>>>>><br>
>>>>> The group doesn't exist.  The GID is the counterpart to my UID.<br>
>>>><br>
>>>> Try adding --private.<br>
>>>><br>
>>>> rob<br>
>>>><br>
>>><br>
>>> Nope. It doesn't exist.<br>
>>><br>
>>> Other groups migrated.  Why would the private groups fail?<br>
>><br>
>> I don't know, what have you done to date, including versions?<br>
>><br>
>> rob<br>
> I've been following the stable Scientific Linux releases since 6.1.<br>
> Based on repo archives, I guess that would be 2.0.0-23.el6.x86_64.  The<br>
> version was at 2.2.0-16.el6.x86_64 when I migrated, which I had just<br>
> upgraded from 2.1.3-9.el6.x86_64.  I migrated to and use now<br>
> 2.2.0-16.el6.x86_64.<br>
><br>
> So...<br>
> 2.0.0-23.el6.x86_64 -> 2.1.3-9.el6.x86_64 -> 2.2.0-16.el6.x86_64 ----><br>
> 2.2.0-16.el6.x86_64<br>
><br>
><br>
<br>
Can you verify that managed entries are configured:<br>
<br>
# ipa-managed-entries -l<br>
<br>
It should return:<br>
<br>
UPG Definition<br>
NGP Definition<br>
<br>
This enables user-private groups and netgroup-private groups.<br>
<br>
rob<br>
<br>
<br>
<br>
------------------------------<br>
<br>
Message: 3<br>
Date: Mon, 20 Aug 2012 08:56:51 -0400<br>
From: Rob Crittenden <<a href="mailto:rcritten@redhat.com">rcritten@redhat.com</a>><br>
To: James James <<a href="mailto:jreg2k@gmail.com">jreg2k@gmail.com</a>><br>
Cc: <a href="mailto:freeipa-users@redhat.com">freeipa-users@redhat.com</a><br>
Subject: Re: [Freeipa-users] Question about migration and scripts<br>
        variables<br>
Message-ID: <<a href="mailto:50323413.4090906@redhat.com">50323413.4090906@redhat.com</a>><br>
Content-Type: text/plain; charset=ISO-8859-1; format=flowed<br>
<br>
James James wrote:<br>
> Hi,<br>
><br>
> my first question is about the migrate process. Is it possible to<br>
> renumber the users during the migrate process (ipa migrate-ds) in a way<br>
> that all imported users will have a new UID ?<br>
<br>
I haven't tested this but you might try<br>
--user-ignore-attribute=uidnumber,gidnumber.<br>
<br>
> my second question is about ipalib. I wanted to make a hook on the user<br>
> creation. The hook works fine. I just want to know if there is a way to<br>
> have the value of variables like the username, the name of the creator,<br>
> the e-mail of the creator and stuff like that.<br>
<br>
The current user is available via: principal = getattr(context, 'principal')<br>
<br>
Using this you can look up that user:<br>
<br>
(binddn, bindattrs) = find_entry_by_attr("krbprincipalname", principal,<br>
"krbPrincipalAux")<br>
<br>
rob<br>
<br>
<br>
<br>
------------------------------<br>
<br>
Message: 4<br>
Date: Mon, 20 Aug 2012 14:48:30 +0100<br>
From: "Innes, Duncan" <<a href="mailto:Duncan.Innes@virginmoney.com">Duncan.Innes@virginmoney.com</a>><br>
To: <<a href="mailto:freeipa-users@redhat.com">freeipa-users@redhat.com</a>><br>
Subject: [Freeipa-users] Specifying load balancing to SSSD clients<br>
Message-ID:<br>
        <56343345B145C043AE990701E3D193952B5511@EXVS2.nrplc.localnet><br>
Content-Type: text/plain;       charset="us-ascii"<br>
<br>
Folks,<br>
<br>
Hopefully this isn't a dumb question, but I'm constrained by a few<br>
things on my estate and would be looking to deploy something like the<br>
following:<br>
<br>
2 Datacentres<br>
2 IPA servers at each datacentre<br>
<br>
<a href="http://ipa1.domain.com" target="_blank">ipa1.domain.com</a> \_ datacentre A<br>
<a href="http://ipa2.domain.com" target="_blank">ipa2.domain.com</a> /<br>
<br>
<a href="http://ipa3.domain.com" target="_blank">ipa3.domain.com</a> \_ datacentre B<br>
<a href="http://ipa4.domain.com" target="_blank">ipa4.domain.com</a> /<br>
<br>
The datacentres are linekd, but bandwidth not great.<br>
<br>
Client's in datacentre A should therefore use <a href="http://ipa1.domain.com" target="_blank">ipa1.domain.com</a> and<br>
<a href="http://ipa2.domain.com" target="_blank">ipa2.domain.com</a> as primary servers and only fail over to ipa3 & ipa4<br>
when both 1 & 2 are out of action.  Clients would revert to using<br>
ipa1/ipa2 whenever either of them came back online.<br>
<br>
I understand this configuration has already been done as part of<br>
<a href="https://fedorahosted.org/freeipa/ticket/2282" target="_blank">https://fedorahosted.org/freeipa/ticket/2282</a><br>
<br>
What I'm wondering is if I can force my clients to load balance<br>
communication between ipa1 & ipa2.<br>
<br>
I don't have the ability to use the _srv_ records in DNS as that's set<br>
up for the AD servers on our network.  I also can't create separate DNS<br>
servers for the Linux estate (not that I'd particularly want to).<br>
<br>
Is there any current configuration that I can use to force load<br>
balancing between ipa1/ipa2 under ideal conditions.  Falling back to<br>
ipa2 when ipa1 is out of action.  Falling back to (load balanced<br>
perhaps?) ipa3/ipa4 when ipa1 & ipa2 are both out of action.<br>
<br>
Hope the description is reasonable.<br>
<br>
Thanks<br>
<br>
Duncan Innes | Linux Architect<br>
<br>
<br>
Northern Rock plc is part of the Virgin Money group of companies.<br>
<br>
This e-mail is intended to be confidential to the recipient. If you receive a copy in error, please inform the sender and then delete this message.<br>
<br>
Virgin Money Personal Financial Service Limited is authorised and regulated by the Financial Services Authority. Company no. 3072766.<br>
<br>
Virgin Money Unit Trust Managers Limited is authorised and regulated by the Financial Services Authority. Company no. 3000482.<br>
<br>
Virgin Money Cards Limited. Introducer appointed representative only of Virgin Money Personal Financial Service Limited. Company no. 4232392.<br>
<br>
Virgin Money Management Services Limited. Company no. 3072772.<br>
<br>
Virgin Money Holdings (UK) Limited. Company no. 3087587.<br>
<br>
Each of the above companies is registered in England and Wales and has its registered office at Discovery House, Whiting Road, Norwich NR4 6EJ.<br>
<br>
Northern Rock plc. Authorised and regulated by the Financial Services Authority. Registered in England and Wales (Company no. 6952311) with its registered office at Northern Rock House, Gosforth, Newcastle upon Tyne NE3 4PL.<br>

<br>
The above companies use the trading name Virgin Money.<br>
<br>
<br>
<br>
<br>
------------------------------<br>
<br>
Message: 5<br>
Date: Mon, 20 Aug 2012 10:15:08 -0400 (EDT)<br>
From: "Mark St. Laurent" <<a href="mailto:mstlaure@redhat.com">mstlaure@redhat.com</a>><br>
To: Duncan Innes <<a href="mailto:Duncan.Innes@virginmoney.com">Duncan.Innes@virginmoney.com</a>><br>
Cc: <a href="mailto:freeipa-users@redhat.com">freeipa-users@redhat.com</a><br>
Subject: Re: [Freeipa-users] Specifying load balancing to SSSD clients<br>
Message-ID:<br>
        <<a href="mailto:290044214.13057699.1345472108805.JavaMail.root@redhat.com">290044214.13057699.1345472108805.JavaMail.root@redhat.com</a>><br>
Content-Type: text/plain; charset="utf-8"<br>
<br>
<a href="http://www.redhat.com/products/enterprise-linux-add-ons/load-balancing/" target="_blank">http://www.redhat.com/products/enterprise-linux-add-ons/load-balancing/</a><br>
<br>
<br>
Norman "Mark" St. Laurent<br>
Federal Team: Senior Solutions Architect<br>
Red Hat<br>
8260 Greensboro Drive, Suite 300<br>
McLean VA, 22102<br>
Email: <a href="mailto:msl@redhat.com">msl@redhat.com</a><br>
Cell: 703.772.1434<br>
<br>
Check this Link out!!! Cool Stuff: <a href="http://mil-oss.org/" target="_blank">http://mil-oss.org/</a><br>
<br>
----- Original Message -----<br>
<br>
From: "Duncan Innes" <<a href="mailto:Duncan.Innes@virginmoney.com">Duncan.Innes@virginmoney.com</a>><br>
To: <a href="mailto:freeipa-users@redhat.com">freeipa-users@redhat.com</a><br>
Sent: Monday, August 20, 2012 9:48:30 AM<br>
Subject: [Freeipa-users] Specifying load balancing to SSSD clients<br>
<br>
Folks,<br>
<br>
Hopefully this isn't a dumb question, but I'm constrained by a few<br>
things on my estate and would be looking to deploy something like the<br>
following:<br>
<br>
2 Datacentres<br>
2 IPA servers at each datacentre<br>
<br>
<a href="http://ipa1.domain.com" target="_blank">ipa1.domain.com</a> \_ datacentre A<br>
<a href="http://ipa2.domain.com" target="_blank">ipa2.domain.com</a> /<br>
<br>
<a href="http://ipa3.domain.com" target="_blank">ipa3.domain.com</a> \_ datacentre B<br>
<a href="http://ipa4.domain.com" target="_blank">ipa4.domain.com</a> /<br>
<br>
The datacentres are linekd, but bandwidth not great.<br>
<br>
Client's in datacentre A should therefore use <a href="http://ipa1.domain.com" target="_blank">ipa1.domain.com</a> and<br>
<a href="http://ipa2.domain.com" target="_blank">ipa2.domain.com</a> as primary servers and only fail over to ipa3 & ipa4<br>
when both 1 & 2 are out of action. Clients would revert to using<br>
ipa1/ipa2 whenever either of them came back online.<br>
<br>
I understand this configuration has already been done as part of<br>
<a href="https://fedorahosted.org/freeipa/ticket/2282" target="_blank">https://fedorahosted.org/freeipa/ticket/2282</a><br>
<br>
What I'm wondering is if I can force my clients to load balance<br>
communication between ipa1 & ipa2.<br>
<br>
I don't have the ability to use the _srv_ records in DNS as that's set<br>
up for the AD servers on our network. I also can't create separate DNS<br>
servers for the Linux estate (not that I'd particularly want to).<br>
<br>
Is there any current configuration that I can use to force load<br>
balancing between ipa1/ipa2 under ideal conditions. Falling back to<br>
ipa2 when ipa1 is out of action. Falling back to (load balanced<br>
perhaps?) ipa3/ipa4 when ipa1 & ipa2 are both out of action.<br>
<br>
Hope the description is reasonable.<br>
<br>
Thanks<br>
<br>
Duncan Innes | Linux Architect<br>
<br>
<br>
Northern Rock plc is part of the Virgin Money group of companies.<br>
<br>
This e-mail is intended to be confidential to the recipient. If you receive a copy in error, please inform the sender and then delete this message.<br>
<br>
Virgin Money Personal Financial Service Limited is authorised and regulated by the Financial Services Authority. Company no. 3072766.<br>
<br>
Virgin Money Unit Trust Managers Limited is authorised and regulated by the Financial Services Authority. Company no. 3000482.<br>
<br>
Virgin Money Cards Limited. Introducer appointed representative only of Virgin Money Personal Financial Service Limited. Company no. 4232392.<br>
<br>
Virgin Money Management Services Limited. Company no. 3072772.<br>
<br>
Virgin Money Holdings (UK) Limited. Company no. 3087587.<br>
<br>
Each of the above companies is registered in England and Wales and has its registered office at Discovery House, Whiting Road, Norwich NR4 6EJ.<br>
<br>
Northern Rock plc. Authorised and regulated by the Financial Services Authority. Registered in England and Wales (Company no. 6952311) with its registered office at Northern Rock House, Gosforth, Newcastle upon Tyne NE3 4PL.<br>

<br>
The above companies use the trading name Virgin Money.<br>
<br>
<br>
_______________________________________________<br>
Freeipa-users mailing list<br>
<a href="mailto:Freeipa-users@redhat.com">Freeipa-users@redhat.com</a><br>
<a href="https://www.redhat.com/mailman/listinfo/freeipa-users" target="_blank">https://www.redhat.com/mailman/listinfo/freeipa-users</a><br>
<br>
-------------- next part --------------<br>
An HTML attachment was scrubbed...<br>
URL: <<a href="https://www.redhat.com/archives/freeipa-users/attachments/20120820/30f4d804/attachment.html" target="_blank">https://www.redhat.com/archives/freeipa-users/attachments/20120820/30f4d804/attachment.html</a>><br>

<br>
------------------------------<br>
<br>
_______________________________________________<br>
Freeipa-users mailing list<br>
<a href="mailto:Freeipa-users@redhat.com">Freeipa-users@redhat.com</a><br>
<a href="https://www.redhat.com/mailman/listinfo/freeipa-users" target="_blank">https://www.redhat.com/mailman/listinfo/freeipa-users</a><br>
<br>
End of Freeipa-users Digest, Vol 49, Issue 34<br>
*********************************************<br>
</blockquote></div><br>