<p dir="ltr">Wow thank you Alexander for this information !</p>
<p dir="ltr">Best regards.</p>
<p dir="ltr">Gwenael Le Barzic</p>
<div class="gmail_quote">Le 11 août 2015 08:45, "Alexander Bokovoy" <<a href="mailto:abokovoy@redhat.com">abokovoy@redhat.com</a>> a écrit :<br type="attribution"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">On Mon, 10 Aug 2015, bahan w wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
Hello.<br>
<br>
I don't know if you receive my previous mail, but thank you for your answer.<br>
<br>
I have two additionnal question then :<br>
- Concerning the master_kdc line, is it better to put here the physical<br>
machine or even to remove it if it is optional ?<br>
</blockquote>
I don't think it ever matters as it only used for fallback reasons.<br>
<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
- Do you know how I can check which one of these three servers is currently<br>
used per server with this krb5.conf ? I need to check how I can<br>
resynchronize the last server.<br>
</blockquote>
set KRB5_TRACE=/dev/stderr  in the execution environment and all<br>
Kerberos code will start explaining what it does.<br>
<br>
For example,<br>
 KRB5_TRACE=/dev/stderr kinit<br>
will show which server kinit will contact.<br>
<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<br>
Best regards.<br>
<br>
Bahan<br>
<br>
On Fri, Aug 7, 2015 at 11:05 PM, Alexander Bokovoy <<a href="mailto:abokovoy@redhat.com" target="_blank">abokovoy@redhat.com</a>><br>
wrote:<br>
<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
On Fri, 07 Aug 2015, bahan w wrote:<br>
<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
Hello !<br>
<br>
We are using freeipa version 3 and we are encountering a problem in our<br>
environment.<br>
We have one master kdc and two replicas.<br>
<br>
On the different linux servers on our environment, we have the following<br>
krb5.conf (I modified the hostname for NDA) :<br>
<br>
###<br>
#File modified by ipa-client-install<br>
<br>
includedir /var/lib/sss/pubconf/krb5.include.d/<br>
<br>
[libdefaults]<br>
default_realm = <MYREALM><br>
dns_lookup_realm = false<br>
dns_lookup_kdc = false<br>
 rdns = false<br>
 ticket_lifetime = 24h<br>
 forwardable = yes<br>
<br>
[realms]<br>
 <MYREALM> = {<br>
   kdc = host1.<mydomain>:88<br>
   kdc = host2.<mydomain>:88<br>
   kdc = host3.<mydomain>:88<br>
   master_kdc = host2.<mydomain>:88<br>
   admin_server = host2.<mydomain>:749<br>
   default_domain <mydomain><br>
   pkinit_anchors = FILE:/etc/ipa/ca.crt<br>
 }<br>
<br>
[domain_realm]<br>
 .<mydomain> = <MYREALM><br>
 <mydomain> = <MYREALM><br>
 .<myrealm> = <MYREALM><br>
 <myrealm> = <MYREALM><br>
###<br>
<br>
host1 is a physical machine<br>
host2 and host3 are VM.<br>
<br>
So I have some questions :<br>
Q1 - Does it make sense to put the line master_kdc and admin_server to the<br>
host2, which is a VM instead of the host1 which is a physical machine ?<br>
<br>
</blockquote>
According to manual page of 'krb5.conf',<br>
-------<br>
master_kdc:<br>
Identifies  the  master  KDC(s). Currently, this tag is used in only<br>
one case: If an attempt to get credentials fails because of an invalid<br>
password, the client software will attempt to contact the master KDC, in<br>
case the user's password has just been changed, and the updated database<br>
has not been propagated to the slave servers yet.<br>
-------<br>
<br>
'admin_kdc' is what kadmin is using, so it is irrelevant for day to day<br>
actions in IPA.<br>
<br>
<br>
Q2 - When I try to connect to the UI of host1, I can enter my<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
login/password and it works. When I try to connect to the UI of host2, I<br>
have an error message saying my password is incorrect. When I try to<br>
connect to the UI of host3, it works. Does it mean host1 and host3 are<br>
synchronized but host2 is not ?<br>
<br>
</blockquote>
Most likely, yes.<br>
<br>
<br>
Q3. Does the two last lines make sense ? I mean what is the exact usage of<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
the paragraph [domain_realm] ? Does it mean : if I try to connect to a<br>
server with the domain listed in this list, then I will try to contact the<br>
realm associated ?<br>
<br>
</blockquote>
Since you disabled DNS discovery of realm based on the DNS domain,<br>
Kerberos library will perform some logic to find out which realm<br>
corresponds to the domain. domain_realm section helps here.<br>
<br>
krb5.conf manual page has clear explanation how the section is designed<br>
to work.<br>
<br>
--<br>
/ Alexander Bokovoy<br>
<br>
</blockquote></blockquote>
<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
-- <br>
Manage your subscription for the Freeipa-users mailing list:<br>
<a href="https://www.redhat.com/mailman/listinfo/freeipa-users" rel="noreferrer" target="_blank">https://www.redhat.com/mailman/listinfo/freeipa-users</a><br>
Go to <a href="http://freeipa.org" rel="noreferrer" target="_blank">http://freeipa.org</a> for more info on the project<br>
</blockquote>
<br>
<br>
-- <br>
/ Alexander Bokovoy<br>
</blockquote></div>