<div dir="ltr">Hello again,<div><br></div><div>I don't know about foreman upstream, the current version that I am using included in the katello installation is 1.6</div><div>And the foreman manpage still requires the configuration of the realm-smart-proxy.</div><div><a href="http://www.theforeman.org/manuals/1.6/index.html#4.3.9Realm" target="_blank">http://www.theforeman.org/manuals/1.6/index.html#4.3.9Realm</a><br></div><div><br></div><div>About the snapshot:</div><div>I removed all the katello entries from my current freeipa installation ( I peeked in the script to see what it did )</div><div>  - user (foreman-realm)<br></div><div>  - role (Smart Host Proxy Manager)</div><div>  - privilege (Smart Host Proxy Management)</div><div>  - 3 custom permissions ( modify host password, write host certificate, modify host userclass )</div><div>applied the update to freeipa 4.1.</div><div>my local dns zones did not resolv again</div><div>running the ipa-ldap-updater did not fix it</div><div><br></div><div>So I guess that it is not due to the katello integration or the realm-smart-proxy script.</div><div><br></div><div>Rob</div></div><div class="gmail_extra"><br><div class="gmail_quote">2014-11-05 14:39 GMT+01:00 Petr Spacek <span dir="ltr"><<a href="mailto:pspacek@redhat.com" target="_blank">pspacek@redhat.com</a>></span>:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class="">On 4.11.2014 17:15, Rob Verduijn wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
The problem with 'foreman-prepare-realm' and freeipa was that it claimed<br>
that a few o thef permissions required did not exist when it tried to add<br>
them to the 'smart proxy host management' privilege.<br>
<br>
I think it was because the permissions were all in lower case without the<br>
'System: ' prefix. This is just an assumption since I did not get to work<br>
even after adding them manually. So I figured to try it again after<br>
reverting back to 3.3.5.<br>
<br>
After downgrading I learned that it did not work due to a bug in a ruby<br>
script. (fixed by commenting out line 505-506<br>
in /usr/share/ruby/xmlrpc/client.<u></u>rb on the katello host, see<br>
<a href="https://bugs.ruby-lang.org/issues/8182" target="_blank">https://bugs.ruby-lang.org/<u></u>issues/8182</a> and<br>
<a href="https://bugzilla.redhat.com/show_bug.cgi?id=1071187" target="_blank">https://bugzilla.redhat.com/<u></u>show_bug.cgi?id=1071187</a> )<br>
<br>
After which I tried the upgrade again.<br>
<br>
regarding<br>
<a href="https://fedorahosted.org/bind-dyndb-ldap/wiki/BIND9/NamedCannotStart" target="_blank">https://fedorahosted.org/bind-<u></u>dyndb-ldap/wiki/BIND9/<u></u>NamedCannotStart</a><br>
I did look again using the kredentials as mentioned in step 4. and saw only<br>
3 objects (1x idnsConfigObject 2x nsContainer)<br>
When using admin credentials I saw all the dns zone entries.<br>
<br>
I can see the zone entries in the ipa gui.<br>
<br>
Also when I look at the permissions in ipa there are no longer any<br>
permissions that have the 'System: ' prefix.<br>
</blockquote>
<br></span>
AFAIK the foreman proxy is not necessary (and not supported) with IPA 4.x because it was obsoleted by 'native' proxy delivered by Foreman upstream.<br>
<br>
Am I right, Rob (Crittenden)? :-)<br>
<br>
Anyway, back to your DNS problem. Did it worked before you installed Foreman proxy? Or not? I.e. is it working when you revert the snapshot?<br>
<br>
Do you have other replicas in the replication topology? Please keep in mind that changes in LDAP (including changes to permissions) are replicated so reverting one VM and not others is not necessarily enough.<br>
<br>
Petr^2 Spacek<div class="HOEnZb"><div class="h5"><br>
<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
2014-11-04 15:52 GMT+01:00 Petr Spacek <<a href="mailto:pspacek@redhat.com" target="_blank">pspacek@redhat.com</a>>:<br>
<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
On 4.11.2014 15:27, Rob Verduijn wrote:<br>
<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
Hello again,<br>
<br>
I've managed to integrate my katello configuration with freeipa.<br>
Now I not only use freeipa authentication in katello but also when a host<br>
is defined in katello it automagically gets created in the freeipa realm ,<br>
certs, otp,dns all working great.<br>
<br>
however, to obtain all this integration greatness I had to downgrade my<br>
freeipa to 3.3.5 again (revert snapshot) because the katello realm<br>
integration tool (foreman-prepare-realm) is not capable of dealing with<br>
4.X<br>
versions of freeipa.<br>
<br>
</blockquote>
It would be nice if you could get tell us more details about the problem<br>
you had with Katello, AFAIK we are not aware of any.<br>
<br>
  And now the named-pkcs11 again does not see my internal zones.<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<br>
This page<br>
<a href="https://fedorahosted.org/bind-dyndb-ldap/wiki/BIND9/NamedCannotStart" target="_blank">https://fedorahosted.org/bind-<u></u>dyndb-ldap/wiki/BIND9/<u></u>NamedCannotStart</a><br>
thinks<br>
I should contact the freeipa-users list<br>
<br>
</blockquote>
<br>
Do I understand correctly that you did all the steps 0-4 successfully and<br>
then you found out that you can't see DNS objects in LDAP (step 5) when<br>
using ldapsearch with DNS principal?<br>
<br>
Can you see the objects in IPA web UI or CLI? If it is the case then we<br>
will need help from LDAP ACI expert (pviktori? :-).<br>
<br>
Petr^2 Spacek<br>
<br>
<br>
  The command 'ipa-ldap-updater<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
/usr/share/ipa/updates/55-<u></u>pbacmemberof.update' didn't fix it.<br>
and the command 'ipa-ldap-updater' didn't fix it either.<br>
<br>
So I am now stuck at freeipa 3.3.5 again (with a working katello<br>
integration, so I got some mixed emotions about it)<br>
Any ideas anyone ?<br>
Rob<br>
<br>
<br>
<br>
<br>
<br>
<br>
2014-10-29 22:14 GMT+01:00 Rob Verduijn <<a href="mailto:rob.verduijn@gmail.com" target="_blank">rob.verduijn@gmail.com</a>>:<br>
<br>
  Hello,<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<br>
I've tested the update again.<br>
<br>
The bind-utils conflict is still there when I issue "yum update<br>
freeipa-server" ( as indicated on the freeipa 4.1 download page<br>
<a href="http://www.freeipa.org/page/Downloads#Upgrading" target="_blank">http://www.freeipa.org/page/<u></u>Downloads#Upgrading</a> )<br>
<br>
'yum update' works fine<br>
<br>
My internal zones didn't resolv after the update<br>
ipa-ldap-updater /usr/share/ipa/updates/55-<u></u>pbacmemberof.update didn't<br>
fix<br>
it<br>
ipa-ldap-updater did fix the 'access control instructions' and my<br>
internal<br>
dns zones started to resolv again :-)<br>
<br>
Cheers<br>
Rob<br>
<br>
<br>
2014-10-29 18:14 GMT+01:00 Petr Spacek <<a href="mailto:pspacek@redhat.com" target="_blank">pspacek@redhat.com</a>>:<br>
<br>
  On 29.10.2014 16:46, Rob Verduijn wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<br>
  Hello,<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<br>
# ipa-ldap-updater /usr/share/ipa/updates/55-<u></u>pbacmemberof.update<br>
    fixes the problem.<br>
<br>
I can resolv my internal dns zones again:-)<br>
<br>
Many thanx.<br>
<br>
Since this problem happened every time I tried to update the freeipa<br>
server.<br>
I could re-run the update with some debug options if you like so you<br>
can<br>
pinpoint what goes wrong with the update script if you like.<br>
<br>
<br>
</blockquote>
I have re-build some packages in mkosek's CORP so now you should not see<br>
encounter dependency problems. Simple 'yum upgrade' should give you all<br>
the<br>
required packages.<br>
<br>
We are looking at other problems in upgrade process right now so there<br>
is<br>
not much to test except package dependencies.<br>
</blockquote></blockquote></blockquote></blockquote></blockquote>
</div></div></blockquote></div><br></div>