<div dir="ltr">Thanks Alexander. Reviewing the proxy requirements now.</div><div class="gmail_extra"><br><div class="gmail_quote">On Tue, Nov 25, 2014 at 3:32 PM, Alexander Bokovoy <span dir="ltr"><<a href="mailto:abokovoy@redhat.com" target="_blank">abokovoy@redhat.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class="">On Tue, 25 Nov 2014, Dimitar Georgievski wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
My case for HTTP load balancing is little different. Ideally I would like<br>
to use a real load balancer (A10 in this case) for balancing HTTP and HTTPS<br>
services.<br>
Would that be possible?<br>
<br>
Based on the info in this thread, and Apache configuration for IPA<br>
(ipa.conf) the following steps were performed<br>
- Added host for <a href="http://sso.example.com" target="_blank">sso.example.com</a><br>
- Added service for HTTP/<a href="http://sso.example.com" target="_blank">sso.example.com</a><br>
- added new entry for HTTP/<a href="http://sso.example.com" target="_blank">sso.example.com</a> to /etc/httpd/conf/ipa.keytab.<br>
This keytab is listed in the conf.d/ipa.conf under the Location '/ipa'<br>
groups of directives.<br>
 ipa-getkeytab -s `hostname` -p HTTP/<a href="http://sso.example.com" target="_blank">sso.example.com</a> -k<br>
/etc/httpd/conf/ipa.keytab<br>
<br>
- modifed the conf.d/ipa-rewrite.conf and ipa-pki-proxy.conf to redirect<br>
requests to <a href="http://sso.example.com" target="_blank">sso.example.com</a><br>
<br>
The login page loads but unfortunately authentication is failing with HTTP<br>
401 (unauthorized) response from the server. I wonder what I am doing wrong.<br>
</blockquote></span>
Can you show your /var/log/krb5kdc.log, lines concerning<br>
HTTP/<a href="http://sso.example.com" target="_blank">sso.example.com</a> principal at the time you are trying to access IPA<br>
UI.<br>
<br>
FreeIPA limits service principals' ability to impersonate user<br>
principals (or any other principals). FreeIPA UI runs as HTTP/ principal<br>
and is given permission to impersonate user principal when talking to<br>
ldap/ service. This setup is explicit and requires additional<br>
configuration for those Kerberos principals which ask for additional<br>
access.<br>
<br>
For more detailed description read my article at<br>
<a href="http://vda.li/en/posts/2013/07/29/Setting-up-S4U2Proxy-with-FreeIPA/index.html" target="_blank">http://vda.li/en/posts/2013/<u></u>07/29/Setting-up-S4U2Proxy-<u></u>with-FreeIPA/index.html</a><span class="HOEnZb"><font color="#888888"><br>
<br>
-- <br>
/ Alexander Bokovoy<br>
</font></span></blockquote></div><br></div>