<div dir="ltr">I know the Quick Start Guide and Deployment Recommendations cover this in depth, but there are still some ambiguities.<div><br></div><div>I'm trying to figure out if a company like us, <a href="http://lautus.net">lautus.net</a> should use a DNS subdomain like <a href="http://ipa.lautus.net">ipa.lautus.net</a> for the IPA domain, or not.</div><div><br></div><div>On the one hand 2.3.1 of the Linux Domain Identity, Authentication, and Policy Guide says "The integrated DNS server provided by IdM is not designed to be used as a general-purpose DNS server. It only supports features related to IdM deployment and maintenance". OK, so <a href="http://lautus.net">lautus.net</a> should continue to be hosted by DNS servers elsewhere that delegate say, <a href="http://ipa.lautus.net">ipa.lautus.net</a> to FreeIPA.</div><div><br></div><div>But on the other hand the same doc is full of examples where a Kerberos realm like <a href="http://EXAMPLE.COM">EXAMPLE.COM</a> (instead of <a href="http://IPA.EXAMPLE.COM">IPA.EXAMPLE.COM</a>) is used, i.e example 2.2. of secion 2.3.4. But the same guide also says that the Kerberos realm should be the same as the ipa DNS domain, just uppercased. So example 2.2. implies that <a href="http://example.com">example.com</a> is running their DNS domain on FreeIPA, for everything, not just for IPA SRV and TXT entries.</div><div><br></div><div>And when ipa-client-install is run on <a href="http://somehost.lautus.net">somehost.lautus.net</a>, it also defaults to <a href="http://LAUTUS.NET">LAUTUS.NET</a> for Kerberos domain, as if the default expectation is that your toplevel company DNS name would be your kerberos domain.</div><div><br></div><div>And when I install a trial IPA server on host <a href="http://ipa-server-1.lautus.net">ipa-server-1.lautus.net</a> using "ipa-server-install --setup-dns --realm <a href="http://IPA.LAUTUS.NET">IPA.LAUTUS.NET</a> --domain <a href="http://ipa.lautus.net">ipa.lautus.net</a> --forwarder=8.8.8.8", and then look at the DNS Zones  in the Web UI, I see not only <a href="http://ipa.lautus.net">ipa.lautus.net</a>, but also lautus, with record "@ NS <a href="http://ipa-server-1.lautus.net">ipa-server-1.lautus.net</a>". In other words the IPA server defaults to thinking it owns the domain above <a href="http://ipa.lautus.net">ipa.lautus.net</a> too. Which goes against 2.3.1 above.</div><div><br></div><div>The docs say I should manually add SRV records to a parent DNS domain like <a href="http://lautus.net">lautus.net</a> if IPA does not manage that with integrated DNS. But then what's the point of the integrated DNS, if the docs say the integrated DNS is not supposed to be used as a general-purpose DNS server? In that case, everybody is always gonna need to manually add SRV records every time they add a IPA replication peer anyway, unless they run their company DNS on the integrated DNS server, which the docs seem to discourage?</div><div><div><br></div>-- <br><div class="gmail_signature"><div dir="ltr"><div><div dir="ltr">Pieter Nagel<div>Lautus Solutions (Pty) Ltd</div><div><div style="font-size:small">Building 27, The Woodlands, 20 Woodlands Drive, Woodmead, Gauteng</div></div><div>0832587540</div></div></div></div></div>
</div></div>