<div dir="ltr">...and I tried exporting the DNS data but ended up with a bunch of files that looked liket his:<div><br></div><div><font face="courier new, monospace"># cat foo.net.db</font></div><div><font face="courier new, monospace"><br>
</font></div><div><font face="courier new, monospace">; <<>> DiG 9.9.3-rl.156.01.P1-RedHat-9.9.3-3.P1.fc18 <<>> +onesoa -t AXFR <a href="http://foo.net">foo.net</a></font></div><div><font face="courier new, monospace">;; global options: +cmd</font></div>
<div><font face="courier new, monospace">; Transfer failed.</font></div><div><font face="courier new, monospace">#</font></div><div class="gmail_extra"><br></div><div class="gmail_extra">The logs showed:</div><div class="gmail_extra">
<br></div><div class="gmail_extra"><font face="courier new, monospace"><timestamp> ipamaster named[31633]: client 1.2.3.4#39992 (<a href="http://foo.net">foo.net</a>) : zone transfer '<a href="http://foo.net/AXFR/IN">foo.net/AXFR/IN</a>' denied</font><br clear="all">
<div><div dir="ltr"><div><br></div><div><u><br></u></div><div><b>Bret Wortman</b></div><div><img src="http://damascusgrp.com/item/51f7de33e4b08d2bdb8b4860?format=1500w" width="200" height="53"><br></div><div><a href="http://damascusgrp.com/" target="_blank">http://damascusgrp.com/</a><br>
</div><div><a href="http://about.me/wortmanbret" target="_blank">http://about.me/wortmanbret</a><br></div></div></div>
<br><br><div class="gmail_quote">On Wed, Sep 4, 2013 at 1:32 PM, Simo Sorce <span dir="ltr"><<a href="mailto:simo@redhat.com" target="_blank">simo@redhat.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<div class="HOEnZb"><div class="h5">On Wed, 2013-09-04 at 09:40 -0400, Dmitri Pal wrote:<br>
> On 09/04/2013 09:26 AM, Petr Spacek wrote:<br>
> > On 4.9.2013 15:04, Bret Wortman wrote:<br>
> >> What's the right venue for making a suggestion? In particular, I'd<br>
> >> like to<br>
> >> toss out there that it would be really nice to be able to export, at a<br>
> >> minimum, DNS and user data from IPA in the form of a zone file and a<br>
> >> passwd/shadow file pair.<br>
> >><br>
> >> I realize there might be security implications to the latter, and<br>
> >> masking<br>
> >> out passwords might be advisiable. And there's no easy way,<br>
> >> necessarily, to<br>
> >> get out sudo information. But having DNS and user details would at least<br>
> >> permit a sysadmin having major issues (like I have been for the past two<br>
> >> weeks) to get up and running in some form, using puppet or some other<br>
> >> tool<br>
> >> to distribute flat files with named running against a static zone<br>
> >> file, or<br>
> >> even to migrate off IPA if absolutely necessary.<br>
> ><br>
> > Hello,<br>
> ><br>
> > for DNS you can use normal zone transfer. Just configure IPA zone to<br>
> > allow zone transfer to an IP address (localhost means 'localy to IPA<br>
> > server') and use standard DNS tools, e.g. dig:<br>
> ><br>
> > $ ipa dnszone-mod <a href="http://example.com" target="_blank">example.com</a> --allow-transfer='localhost;'<br>
> > $ dig +onesoa -t AXFR <a href="http://example.com" target="_blank">example.com</a> > /root/example.com.db<br>
> ><br>
> > That is all you need for DNS, you have the standard zone file.<br>
> ><br>
> ><br>
> > I believe that you can use SSSD (with enumeration enabled) to run<br>
> > "getent passwd > /root/passwd.bck". I have no idea how it works with<br>
> > shadow map/password. Try to ask <a href="mailto:sssd-users@lists.fedorahosted.org">sssd-users@lists.fedorahosted.org</a>.<br>
> ><br>
> And to add to it:<br>
> IPA does not keep password in clear or the hashes that are used in<br>
> passwd and shadow files for security reasons so it can't generate these<br>
> files as you suggest.<br>
<br>
</div></div>We do have hashes, the default is SHA256, it is stored in userPassword<br>
and is used to validate LDAP binds, however we never let it out of LDAP,<br>
neither SSSD not the integrate NIS server expose the password hash to<br>
clients. You need Directory Manager privileges to read it.<br>
<span class="HOEnZb"><font color="#888888"><br>
Simo.<br>
<br>
--<br>
Simo Sorce * Red Hat, Inc * New York<br>
</font></span><div class="HOEnZb"><div class="h5"><br>
_______________________________________________<br>
Freeipa-users mailing list<br>
<a href="mailto:Freeipa-users@redhat.com">Freeipa-users@redhat.com</a><br>
<a href="https://www.redhat.com/mailman/listinfo/freeipa-users" target="_blank">https://www.redhat.com/mailman/listinfo/freeipa-users</a><br>
</div></div></blockquote></div><br></div></div>