<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40"><head><meta http-equiv=Content-Type content="text/html; charset=utf-8"><meta name=Generator content="Microsoft Word 12 (filtered medium)"><style><!--
/* Font Definitions */
@font-face
        {font-family:"Cambria Math";
        panose-1:2 4 5 3 5 4 6 3 2 4;}
@font-face
        {font-family:Calibri;
        panose-1:2 15 5 2 2 2 4 3 2 4;}
@font-face
        {font-family:Tahoma;
        panose-1:2 11 6 4 3 5 4 4 2 4;}
@font-face
        {font-family:Verdana;
        panose-1:2 11 6 4 3 5 4 4 2 4;}
/* Style Definitions */
p.MsoNormal, li.MsoNormal, div.MsoNormal
        {margin:0in;
        margin-bottom:.0001pt;
        font-size:12.0pt;
        font-family:"Times New Roman","serif";}
a:link, span.MsoHyperlink
        {mso-style-priority:99;
        color:blue;
        text-decoration:underline;}
a:visited, span.MsoHyperlinkFollowed
        {mso-style-priority:99;
        color:purple;
        text-decoration:underline;}
p
        {mso-style-priority:99;
        mso-margin-top-alt:auto;
        margin-right:0in;
        mso-margin-bottom-alt:auto;
        margin-left:0in;
        font-size:12.0pt;
        font-family:"Times New Roman","serif";}
p.MsoAcetate, li.MsoAcetate, div.MsoAcetate
        {mso-style-priority:99;
        mso-style-link:"Balloon Text Char";
        margin:0in;
        margin-bottom:.0001pt;
        font-size:8.0pt;
        font-family:"Tahoma","sans-serif";}
span.EmailStyle18
        {mso-style-type:personal-reply;
        font-family:"Calibri","sans-serif";
        color:#1F497D;}
span.BalloonTextChar
        {mso-style-name:"Balloon Text Char";
        mso-style-priority:99;
        mso-style-link:"Balloon Text";
        font-family:"Tahoma","sans-serif";}
.MsoChpDefault
        {mso-style-type:export-only;}
@page WordSection1
        {size:8.5in 11.0in;
        margin:1.0in 1.0in 1.0in 1.0in;}
div.WordSection1
        {page:WordSection1;}
--></style><!--[if gte mso 9]><xml>
<o:shapedefaults v:ext="edit" spidmax="1026" />
</xml><![endif]--><!--[if gte mso 9]><xml>
<o:shapelayout v:ext="edit">
<o:idmap v:ext="edit" data="1" />
</o:shapelayout></xml><![endif]--></head><body lang=EN-US link=blue vlink=purple><div class=WordSection1><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'><o:p> </o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'>While you can make it sort of work, it will be a lot more difficulty, and will never work quite how you want. You would be better off using Active Directory or Samba4, and creating trusts between the two domains. <o:p></o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'><o:p> </o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'><o:p> </o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'> -DTK<o:p></o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'><o:p> </o:p></span></p><p class=MsoNormal><span style='font-size:10.0pt;font-family:"Verdana","sans-serif";color:#1F497D'>--<br>david t. klein<br><br>Cisco Certified Network Associate (CSCO11281885)<br>Linux Professional Institute Certification (LPI000165615)<br>Redhat Certified Engineer (805009745938860)<br><br>Quis custodiet ipsos custodes?<br><br><br></span><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'><o:p></o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'><o:p> </o:p></span></p><div style='border:none;border-top:solid #B5C4DF 1.0pt;padding:3.0pt 0in 0in 0in'><p class=MsoNormal><b><span style='font-size:10.0pt;font-family:"Tahoma","sans-serif"'>From:</span></b><span style='font-size:10.0pt;font-family:"Tahoma","sans-serif"'> freeipa-users-bounces@redhat.com [mailto:freeipa-users-bounces@redhat.com] <b>On Behalf Of </b>Bob Sauvage<br><b>Sent:</b> Thursday, January 24, 2013 4:05 AM<br><b>To:</b> dpal@redhat.com<br><b>Cc:</b> freeipa-users@redhat.com<br><b>Subject:</b> [Freeipa-users] Re : Re: Re : Re: Some interrogations about the freeipa deployment<o:p></o:p></span></p></div><p class=MsoNormal><o:p> </o:p></p><div><p class=MsoNormal><span style='font-size:9.0pt;font-family:"Verdana","sans-serif"'>Hi Dimitri, <o:p></o:p></span></p></div><div><p class=MsoNormal><span style='font-size:9.0pt;font-family:"Verdana","sans-serif"'> <o:p></o:p></span></p></div><div><p class=MsoNormal><span style='font-size:9.0pt;font-family:"Verdana","sans-serif"'>Thanks for your response but I'm a little bit confused. Indeed, some users tell me that it's possible to join an IPA domain from a windows workstation and you say this is not possible. <o:p></o:p></span></p></div><div><p class=MsoNormal><span style='font-size:9.0pt;font-family:"Verdana","sans-serif"'> <o:p></o:p></span></p></div><div><p class=MsoNormal><span style='font-size:9.0pt;font-family:"Verdana","sans-serif"'>I don't have an AD server, I want to configure IPA to act like an AD. My network contains Windows/Linux workstations and I want to centrally manage authentications. <o:p></o:p></span></p></div><div><p class=MsoNormal><span style='font-size:9.0pt;font-family:"Verdana","sans-serif"'><br>Regards<o:p></o:p></span></p></div><p class=MsoNormal style='margin-bottom:12.0pt'><span style='font-size:9.0pt;font-family:"Verdana","sans-serif"'><o:p> </o:p></span></p><p style='margin:0in;margin-bottom:.0001pt'><span style='font-size:9.0pt;font-family:"Verdana","sans-serif"'> <o:p></o:p></span></p><blockquote style='border:none;border-left:solid #CCCCCC 1.0pt;padding:0in 0in 0in 4.0pt;margin-left:3.75pt;margin-right:0in'><p style='margin:0in;margin-bottom:.0001pt'><span style='font-size:9.0pt;font-family:"Verdana","sans-serif"'>----- Message d'origine -----<o:p></o:p></span></p><p style='margin:0in;margin-bottom:.0001pt'><span style='font-size:9.0pt;font-family:"Verdana","sans-serif"'>De : Dmitri Pal<o:p></o:p></span></p><p style='margin:0in;margin-bottom:.0001pt'><span style='font-size:9.0pt;font-family:"Verdana","sans-serif"'>Envoyés : 24.01.13 00:53<o:p></o:p></span></p><p style='margin:0in;margin-bottom:.0001pt'><span style='font-size:9.0pt;font-family:"Verdana","sans-serif"'>À : <a href="mailto:freeipa-users@redhat.com">freeipa-users@redhat.com</a><o:p></o:p></span></p><p style='margin:0in;margin-bottom:.0001pt'><span style='font-size:9.0pt;font-family:"Verdana","sans-serif"'>Objet : Re: [Freeipa-users] Re : Re: Some interrogations about the freeipa deployment<o:p></o:p></span></p><p class=MsoNormal><span style='font-size:9.0pt;font-family:"Verdana","sans-serif"'><o:p> </o:p></span></p><div><p class=MsoNormal><span style='font-size:9.0pt;font-family:"Verdana","sans-serif"'>On 01/23/2013 03:59 PM, Bob Sauvage wrote:<br>><br> <o:p></o:p></span></p><p class=MsoNormal><span style='font-size:9.0pt;font-family:"Verdana","sans-serif"'>                     > Hi Dale,<br> <o:p></o:p></span></p><p class=MsoNormal><span style='font-size:9.0pt;font-family:"Verdana","sans-serif"'>                     ><br> <o:p></o:p></span></p><p class=MsoNormal><span style='font-size:9.0pt;font-family:"Verdana","sans-serif"'>                     > You mean that if I turn this option to 'yes', I'll be able to connect to the server through SSH without needing to authenticate again ? Even if I'm connected on the domain from a Windows workstation ?<br> <o:p></o:p></span></p><p class=MsoNormal><span style='font-size:9.0pt;font-family:"Verdana","sans-serif"'>                     ><br><br>If you setup trusts between IPA and AD then yes.<br>If not then you need to ssh from the system that belongs to the API domain.<br>IPA does not support Windows systems to be joined to IPA domain. But you can configure kerberos for Windows and use local Windows accounts. There are some HowTos on the wiki about it.<br>Alternatively you join Linux systems to AD and use it as your central authentication server then SSO would also work but you will loose ability to manage your Linux related policies.<br><br>Trusts is probably the best for you but there will be dragons.<br><a href="http://freeipa.org/page/Howto/IPAv3_AD_trust_setup">http://freeipa.org/page/Howto/IPAv3_AD_trust_setup</a><br><br><br>> Regards,<br> <o:p></o:p></span></p><p class=MsoNormal><span style='font-size:9.0pt;font-family:"Verdana","sans-serif"'>                     ><br> <o:p></o:p></span></p><p class=MsoNormal><span style='font-size:9.0pt;font-family:"Verdana","sans-serif"'>                     ><br> <o:p></o:p></span></p><p class=MsoNormal><span style='font-size:9.0pt;font-family:"Verdana","sans-serif"'>                     ><br> <o:p></o:p></span></p><p class=MsoNormal><span style='font-size:9.0pt;font-family:"Verdana","sans-serif"'>                     >> ----- Message d'origine -----<br> <o:p></o:p></span></p><p class=MsoNormal><span style='font-size:9.0pt;font-family:"Verdana","sans-serif"'>                     >><br> <o:p></o:p></span></p><p class=MsoNormal><span style='font-size:9.0pt;font-family:"Verdana","sans-serif"'>                     >> De : Dale Macartney<br> <o:p></o:p></span></p><p class=MsoNormal><span style='font-size:9.0pt;font-family:"Verdana","sans-serif"'>                     >><br> <o:p></o:p></span></p><p class=MsoNormal><span style='font-size:9.0pt;font-family:"Verdana","sans-serif"'>                     >> Envoyés : 22.01.13 23:13<br> <o:p></o:p></span></p><p class=MsoNormal><span style='font-size:9.0pt;font-family:"Verdana","sans-serif"'>                     >><br> <o:p></o:p></span></p><p class=MsoNormal><span style='font-size:9.0pt;font-family:"Verdana","sans-serif"'>                     >> À : <a href="mailto:freeipa-users@redhat.com">freeipa-users@redhat.com</a><br> <o:p></o:p></span></p><p class=MsoNormal><span style='font-size:9.0pt;font-family:"Verdana","sans-serif"'>                     >><br> <o:p></o:p></span></p><p class=MsoNormal><span style='font-size:9.0pt;font-family:"Verdana","sans-serif"'>                     >> Objet : Re: [Freeipa-users] Some interrogations about the freeipa deployment<br> <o:p></o:p></span></p><p class=MsoNormal><span style='font-size:9.0pt;font-family:"Verdana","sans-serif"'>                     >><br> <o:p></o:p></span></p><p class=MsoNormal><span style='font-size:9.0pt;font-family:"Verdana","sans-serif"'>                     >><br> <o:p></o:p></span></p><p class=MsoNormal><span style='font-size:9.0pt;font-family:"Verdana","sans-serif"'>                     >><br><br><o:p></o:p></span></p><p class=MsoNormal><span style='font-size:9.0pt;font-family:"Verdana","sans-serif"'><br>On 01/22/2013 09:51 PM, Steven Jones wrote:<br>> Hi,<br><br>> I have all done this, so from what you write I think IPA would be a good fit for what you want, except that is the single sign on bit I have not looked to see if that can be done. For http restart you control that via sudo in IPA so its centrally managed, I have this working for one such server though I use the reload option instead.<br>to enable SSO with SSH from a ipa workstation, just edit /etc/ssh/sshd_config and make sure the line below is set to yes<br>"GSSAPIAuthentication yes"<br><br>If you've just made the change, it won't take effect until SSH is restarted. So do the usual service sshd restart.<br><br><br>> I would also not run one instance of IPA myself but with such a small site that's your call.<br><br>> regards<br><br>> Steven Jones<br><br>> Technical Specialist - Linux RHCE<br><br>> Victoria University, Wellington, NZ<br><br>> 0064 4 463 6272<br><br>> -------------------------<br>> *From:* <a href="mailto:freeipa-users-bounces@redhat.com">freeipa-users-bounces@redhat.com</a> [<a href="mailto:freeipa-users-bounces@redhat.com">freeipa-users-bounces@redhat.com</a>] on behalf of Bob Sauvage [<a href="mailto:Bob.sauvage@gmx.fr">Bob.sauvage@gmx.fr</a>]<br>> *Sent:* Wednesday, 23 January 2013 9:51 a.m.<br>> *To:* <a href="mailto:freeipa-users@redhat.com">freeipa-users@redhat.com</a><br>> *Subject:* [Freeipa-users] Some interrogations about the freeipa deployment<br><br>> Hi *,<br><br>> I plan to review the network architecture of my office. 10 Windows/Linux desktops and 2 Linux servers will be deployed on the network.<br><br>> I want to install freeipa on the first server to act like an AD DS. I want to authenticate users on the server and controlling what can be done or not by them on the network. 10 other linux web servers should be accessible (console) by specific users and without the need to authenticating again (single sign on). On these web servers, users can issue specific commands like "/etc/init.d/httpd restart".<br><br>> Is it possible to achive this with freeipa ? Do you have some articles ?<br><br>> Thanks in advance,<br><br>> Bob !<br><br><br>> _______________________________________________<br>> Freeipa-users mailing list<br>> <a href="mailto:Freeipa-users@redhat.com">Freeipa-users@redhat.com</a><br>> <a href="https://www.redhat.com/mailman/listinfo/freeipa-users">https://www.redhat.com/mailman/listinfo/freeipa-users</a><br> <o:p></o:p></span></p><p class=MsoNormal><span style='font-size:9.0pt;font-family:"Verdana","sans-serif"'>>><br> <o:p></o:p></span></p><p class=MsoNormal><span style='font-size:9.0pt;font-family:"Verdana","sans-serif"'>                     ><br> <o:p></o:p></span></p><p class=MsoNormal><span style='font-size:9.0pt;font-family:"Verdana","sans-serif"'>                     ><br> <o:p></o:p></span></p><p class=MsoNormal><span style='font-size:9.0pt;font-family:"Verdana","sans-serif"'>                     ><br> <o:p></o:p></span></p><p class=MsoNormal><span style='font-size:9.0pt;font-family:"Verdana","sans-serif"'>                     ><br> <o:p></o:p></span></p><p class=MsoNormal><span style='font-size:9.0pt;font-family:"Verdana","sans-serif"'>                     ><br> <o:p></o:p></span></p><p class=MsoNormal><span style='font-size:9.0pt;font-family:"Verdana","sans-serif"'>                     ><br> <o:p></o:p></span></p><p class=MsoNormal><span style='font-size:9.0pt;font-family:"Verdana","sans-serif"'>                     > _______________________________________________<br> <o:p></o:p></span></p><p class=MsoNormal><span style='font-size:9.0pt;font-family:"Verdana","sans-serif"'>                     > Freeipa-users mailing list<br> <o:p></o:p></span></p><p class=MsoNormal><span style='font-size:9.0pt;font-family:"Verdana","sans-serif"'>                     > <a href="mailto:Freeipa-users@redhat.com">Freeipa-users@redhat.com</a><br> <o:p></o:p></span></p><p class=MsoNormal><span style='font-size:9.0pt;font-family:"Verdana","sans-serif"'>                     > <a href="https://www.redhat.com/mailman/listinfo/freeipa-users">https://www.redhat.com/mailman/listinfo/freeipa-users</a><br><br>--<br>Thank you,<br>Dmitri Pal<br><br>Sr. Engineering Manager for IdM portfolio<br>Red Hat Inc.<br><br><br>-------------------------------<br>Looking to carve out IT costs?<br><a href="http://www.redhat.com/carveoutcosts/">www.redhat.com/carveoutcosts/</a><br><br><br> <o:p></o:p></span></p></div></blockquote><p style='margin:0in;margin-bottom:.0001pt'><span style='font-size:9.0pt;font-family:"Verdana","sans-serif"'> <o:p></o:p></span></p><p class=MsoNormal><o:p> </o:p></p></div></body></html>