<div dir="ltr"><br><div class="gmail_extra"><br><div class="gmail_quote">On Thu, Jan 15, 2015 at 3:26 AM, Jan Cholasta <span dir="ltr"><<a href="mailto:jcholast@redhat.com" target="_blank">jcholast@redhat.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Hi,<br>
<br>
Dne 14.1.2015 v 14:54 Brian Topping napsal(a):<span class=""><br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
Hi Martin, thanks for your response!<br>
<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
What I realize now is the certificate CRL points to the server that<br>
no longer exists and I'd like to get that cleaned up. I found<br>
<a href="http://www.freeipa.org/page/Howto/Promote_CA_to_Renewal_and_CRL_Master" target="_blank">http://www.freeipa.org/page/<u></u>Howto/Promote_CA_to_Renewal_<u></u>and_CRL_Master</a> <<a href="http://www.freeipa.org/page/Howto/Promote_CA_to_Renewal_and_CRL_Master" target="_blank">http://www.freeipa.org/page/<u></u>Howto/Promote_CA_to_Renewal_<u></u>and_CRL_Master</a>>,<br>
is that relevant for my situation?<br>
</blockquote>
<br>
Yes, this is the procedure to follow for servers older than FreeIPA<br>
4.1. Jan is<br>
that correct? If yes, the page deserves a warning/update.<br>
</blockquote></blockquote>
<br></span>
This is the procedure to follow on IPA < 4.0. On IPA >= 4.0, the information about renewal master is stored in LDAP, but you still have to handle CRL master manually.<span class=""><br></span></blockquote><div><br></div><div>I'm still not clear what needs to be done on IPA >= 4.0 when promoting a new CRL master.  Can that page be updated to state these instructions are for IPA < 4.0 and include the manual piece you mention for IPA >= 4.0?<br><br></div><div>Thanks<br></div><div> <br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class="">
<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<br>
</blockquote>
<br>
Ooof! I forgot that vendor repos were so far behind. I'm still at 3.3.3-28.<br>
<br>
Is it reasonable and desirable to run one of my two servers with the<br>
image documented at<br>
<a href="http://seven.centos.org/2014/12/freeipa-4-1-2-and-centos" target="_blank">http://seven.centos.org/2014/<u></u>12/freeipa-4-1-2-and-centos</a>?  I'm<br>
interested in integrating Shiro or some other RBAC against IPA at some<br>
point in the next few months, but I'd wait if the Docker image is a<br>
prelude to 4.x hitting vendor repos soon.<br>
<br>
Cheers, Brian<br>
</blockquote>
<br></span>
Honza<span class="HOEnZb"><font color="#888888"><br>
<br>
-- <br>
Jan Cholasta</font></span><div class="HOEnZb"><div class="h5"><br>
<br>
-- <br>
Manage your subscription for the Freeipa-users mailing list:<br>
<a href="https://www.redhat.com/mailman/listinfo/freeipa-users" target="_blank">https://www.redhat.com/<u></u>mailman/listinfo/freeipa-users</a><br>
Go To <a href="http://freeipa.org" target="_blank">http://freeipa.org</a> for more info on the project<br>
</div></div></blockquote></div><br></div></div>