<div dir="ltr"><div class="gmail_default" style="font-family:'trebuchet ms',sans-serif">For the replication issues please see <a href="http://directory.fedoraproject.org/docs/389ds/howto/howto-replicationmonitoring.html" target="_blank">http://directory.fedoraproject.org/docs/389ds/howto/howto-replicationmonitoring.html</a></div><div class="gmail_default" style="font-family:'trebuchet ms',sans-serif"><br></div><div class="gmail_default" style="font-family:'trebuchet ms',sans-serif">This has a perl script that you can use. </div><div class="gmail_default" style="font-family:'trebuchet ms',sans-serif"><br></div><div class="gmail_default" style="font-family:'trebuchet ms',sans-serif">As for the authentication of the user monitoring replication, we thought about it and ended up allowing anonymous reads on the replication status. Thus you don't store any user/password at all. </div><div class="gmail_default" style="font-family:'trebuchet ms',sans-serif"><br></div><div class="gmail_default" style="font-family:'trebuchet ms',sans-serif">In addition to this, we use Monit heavily. Its pretty flexible.</div><div class="gmail_default" style="font-family:'trebuchet ms',sans-serif"><br></div><div class="gmail_default" style="font-family:'trebuchet ms',sans-serif">--Prashant</div><div class="gmail_extra"><br><div class="gmail_quote">On 18 May 2016 at 15:38, Roderick Johnstone <span dir="ltr"><<a href="mailto:rmj@ast.cam.ac.uk" target="_blank">rmj@ast.cam.ac.uk</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Hi<br>
<br>
I'm trying to set up some monitoring of our freeipa installation. To start with, I'd like to know eg:<br>
<br>
1) If replication stopped<br>
<br>
2) Whether the ldap datatbases on replicas are inconsistent with each other.<br>
<br>
We have RHEL7 freeipa servers and RHEL6 and RHEL7 clients, all with latest distribution packages.<br>
<br>
I see a number of pages at <a href="http://www.ipa.org" rel="noreferrer" target="_blank">www.ipa.org</a> about monitoring freeipa in various ways, but I'm not sure any were actually implemented yet.<br>
<br>
Then I found this: <a href="https://github.com/peterpakos/ipa_check_consistency" rel="noreferrer" target="_blank">https://github.com/peterpakos/ipa_check_consistency</a><br>
which looks useful but seems to require a plain text password for a privileged ldap account to be embedded in a file, which is less than ideal.<br>
<br>
So, I was wondering, as a stop gap, whether its possible to control the server that the ipa commands talk to at the command line?<br>
<br>
One could then run a cron job to iterate through the servers and compare various outputs from ipa commands. However, the ipa man page suggests the ipa command will go for either the server explicitly set in /etc/ipa/default.conf or if unavailable use those set in the DNS _SRV_ records.<br>
<br>
Maybe there is a better way to do this that I missed altogether?<span><font color="#888888"><br>
<br>
Roderick Johnstone<br>
<br>
-- <br>
Manage your subscription for the Freeipa-users mailing list:<br>
<a href="https://www.redhat.com/mailman/listinfo/freeipa-users" rel="noreferrer" target="_blank">https://www.redhat.com/mailman/listinfo/freeipa-users</a><br>
Go to <a href="http://freeipa.org" rel="noreferrer" target="_blank">http://freeipa.org</a> for more info on the project<br>
</font></span></blockquote></div><br></div></div>