<div dir="ltr">Hi All,<div><br></div><div>I would like to get right into my current issues. </div><div><br></div><div>Operating system : CentOS Linux release 7.2.1511 (Core)</div><div>Kernel Version : 3.10.0-327.10.1.el7.x86_64</div><div>IPA server Version : ipa-server-4.2.0-15.el7_2.6.x86_64</div><div>VM platform : ProxMox Virtual Environment Version 3.4-9/4b51d87a</div><div><br></div><div><br></div><div>I have prepared, what I would call the "first" master, by preparing and installing the machine via the following method  :</div><div><br></div><div><b>Source</b></div><div><a href="http://www.freeipa.org/page/Quick_Start_Guide#Getting_started_with_IPA" target="_blank">http://www.freeipa.org/page/Quick_Start_Guide#Getting_started_with_IPA</a><br></div><div><a href="https://www.certdepot.net/rhel7-configure-freeipa-server/">https://www.certdepot.net/rhel7-configure-freeipa-server/</a><br></div><div><br></div><div><span style="color:rgb(46,52,54);font-family:'Source Sans Pro',sans-serif;font-size:14px;line-height:20px">Standard FreeIPA version distributed with the OS</span></div><div><span style="color:rgb(46,52,54);font-family:'Source Sans Pro',sans-serif;font-size:14px;line-height:20px"><br></span></div><div><span style="color:rgb(46,52,54);font-size:14px;line-height:20px"><font face="arial, helvetica, sans-serif">yum install freeipa-server</font></span></div><div><span style="font-size:14px;line-height:20px;color:rgb(46,52,54);font-family:arial,helvetica,sans-serif">yum install ipa-server-dns</span></div><div><br></div><div>ipa-server-install --setup-dns  --forwarder=x.x.x.x -a PASSWORD --hostname=<a href="http://ipatester1.xxxxx.com" target="_blank">ipatester1.xxxxx.com</a> --realm IPATESTER.XXXX.XXX -p PASSWORD -n xxxx.xxx -U  <br></div><div><br></div><div>firewall-cmd --permanent --add-service={ntp,http,https,ldap,ldaps,kerberos,kpasswd,dns}<br></div><div>firewall-cmd --reload<br></div><div><span style="color:rgb(46,52,54);font-family:monospace;font-size:14px;line-height:20px"><br></span></div><div>The first master is installed and now I would create a replica instance for multi master replications.</div><div><br></div><div>First, create the replica file from first master : </div><div><br></div><div>ipa-replica-prepare  ipahostname --ip-address x.x.x.x<br></div><div><br></div><div>Copy the replica master info file to the new replica master. Then run the replica install script : </div><div><br></div><div>ipa-replica-install --setup-dns --setup-ca  --forwarder=x.x.x.x /var/lib/ipa/replica-info-ipahostname.gpg  <br></div><div><br></div><div><div>firewall-cmd --permanent --add-service={ntp,http,https,ldap,ldaps,kerberos,kpasswd,dns}<br></div><div>firewall-cmd --reload</div></div><div><span style="color:rgb(46,52,54);font-family:monospace;font-size:14px;line-height:20px"><br></span></div><div>I now have 2 multi-masters with replication agreements. </div><div><br></div><div>ipatester1 - first master</div><div>ipatester2 - replica master</div><div><br></div><div>From master to replica : </div><div><br></div><div><div> ipa-replica-conncheck --replica ipatester2</div><div>Check connection from master to remote replica '<a href="http://ipatester2.macrolan.co.za">ipatester2.macrolan.co.za</a>':</div><div>   Directory Service: Unsecure port (389): OK</div><div>   Directory Service: Secure port (636): OK</div><div>   Kerberos KDC: TCP (88): OK</div><div>   Kerberos KDC: UDP (88): WARNING</div><div>   Kerberos Kpasswd: TCP (464): OK</div><div>   Kerberos Kpasswd: UDP (464): WARNING</div><div>   HTTP Server: Unsecure port (80): OK</div><div>   HTTP Server: Secure port (443): OK</div><div>The following UDP ports could not be verified as open: 88, 464</div><div>This can happen if they are already bound to an application</div><div>and ipa-replica-conncheck cannot attach own UDP responder.</div><div><br></div><div>Connection from master to replica is OK.</div></div><div><br></div><div>From replica to master : </div><div><br></div><div><div>ipa-replica-conncheck --master ipatester1</div><div>Check connection from replica to remote master '<a href="http://ipatester1.macrolan.co.za">ipatester1.macrolan.co.za</a>':</div><div>   Directory Service: Unsecure port (389): OK</div><div>   Directory Service: Secure port (636): OK</div><div>   Kerberos KDC: TCP (88): OK</div><div>   Kerberos Kpasswd: TCP (464): OK</div><div>   HTTP Server: Unsecure port (80): OK</div><div>   HTTP Server: Secure port (443): OK</div><div><br></div><div>The following list of ports use UDP protocol and would need to be</div><div>checked manually:</div><div>   Kerberos KDC: UDP (88): SKIPPED</div><div>   Kerberos Kpasswd: UDP (464): SKIPPED</div><div><br></div><div><b>QUESTION 1 : Determining the Renewal Master/First Master</b></div><div><b><br></b></div><div>Source  : </div><div><a href="http://www.freeipa.org/page/Howto/Promote_CA_to_Renewal_and_CRL_Master">http://www.freeipa.org/page/Howto/Promote_CA_to_Renewal_and_CRL_Master</a> </div><div><br></div></div><div>According to the above source, identifying the Renewal Master/First Master can be done with the following ldap search command : </div><div>ldapsearch -H ldap://$HOSTNAME -D 'cn=Directory Manager' -W -b 'cn=masters,cn=ipa,cn=etc,dc=example,dc=com' '(&(cn=CA)(ipaConfigString=caRenewalMaster))' dn </div><div><br></div><div>However, when I run this ldapsearch I get presented with both masters in the results : </div><div><b><br></b></div><div><b># extended LDIF</b></div><div><b>#</b></div><div><b># LDAPv3</b></div><div><b># base <dc=ipatester,dc=macrolan,dc=com> with scope subtree</b></div><div><b># filter: (&(cn=CA)(ipaConfigString=caRenewalMaster))</b></div><div><b># requesting: dn</b></div><div><b>#</b></div><div><b><br></b></div><div><b># CA, ipatester1.xxxxx.xxx, masters, ipa, etc, ipatester.xxxxx.xxx</b></div><div><b>dn: cn=CA,cn=ipatester1.xxxxx.xxx,cn=masters,cn=ipa,cn=etc,dc=ipatester,dc=xxxx,dc=xxx</b></div><div><b><br></b></div><div><b># CA, ipatester2.xxxxx.xxx, masters, ipa, etc, ipatester.xxxxx.xxx</b></div><div><b>dn: cn=CA,cn=ipatester2.xxxxx.xxx,cn=masters,cn=ipa,cn=etc,dc=ipatester,dc=xxxx,dc=xxx</b></div><div><b><br></b></div><div><b># search result</b></div><div><b>search: 2</b></div><div><b>result: 0 Success</b></div><div><b><br></b></div><div><b># numResponses: 3</b></div><div><b># numEntries: 2</b></div><div><b><br></b></div><div>The above source also states : "There should only one master at a time, otherwise the renewed certificates will step all over each other"</div><div><br></div><div>Two masters appear in the ldapsearch when the replica, installed from the first master, includes a CA installation. Is this correct? Does this mean that the two are indeed both renewal masters? If so, how is it possible to ensure that when a CA is installed  as a replica, that is does not take on the role as a renewal master? </div><div><br></div><div>The CRL generation master seems more straightforward and involves the editing of /etc/pki/<a href="http://pki-tomcat.ca/CS.config">pki-tomcat.ca/CS.config</a> and the /etc/httpd/conf.d/ipa-pki-proxy.conf. </div><div><br></div><div>What is the best method within the IPA environment to test the CRL generation?</div><div><br></div><div><b>QUESTION 2 : Restoring data to the first master from a ipa FULL backup using the ipa-backup, ipa-restore and the ipa-replica-manage / ipa-csreplica-manage  re-initialize commands</b><br></div><div><b><br></b></div><div>As a test I created 5 standard users on the first master. The replication was successful to the replication master as all users appeared on the replication masters user list. I made a backup of the first master using the /usr/sbin/ipa-backup -v command. I then deleted all 5 users from the first master and the replication action-ed the deletion  to the replication master. This mimics a loss of data that would need to be restored. My restore procedure involves a uninstall of the ipa-server on the first master and then a restore of the latest backup using the ipa-restore command. Is this the correct method? i.e first uninstall the ipa-server and then restore because this would mean replication agreements would possibly need to be removed - but since the data will be restored, my assumption is that no replication agreements need to be removed. Is this correct? Should I use the first master to restore to or should I rather use a replica master to restore to? </div><div><br></div><div>Following this procedure, I am able to restore the first master back to an instance before the deletion. All 5 users are back. However, now replication does not exist between the first master and the replica master. I attempt an re-initialize from the replica master to the first master using the ipa-replica-manage command : ipa-replica-manage re-initialize ipatester1 and ipa-csreplica-manage re-initialize ipatester1. </div><div><br></div><div>I have experienced inconsistent results using this method of restore. When running the ip-replica-manage --reinitialize command from the replica master I was experiencing credential issues connecting to ldap and hence why I would like confirmation whether this would be the best method of restore when restoring IPA data and not restoring from a snap shot. As of recently I am getting consistent results. I suspect the issues I have been experiencing relate to not having all the correct ports open on both the first master and the replica master. I have chosen to have all the necessary ports open using UDP and TCP.</div><div><br></div><div>I thank anyone in advance who responds to this message.</div><div><br></div><div>Regards,</div><div><br></div><div>Mike Hyland</div><div><a href="http://www.macrolan.com">www.macrolan.com</a> </div><div> </div><div><br></div><div><br></div><div> <br></div><div><br></div></div>