<div dir="ltr">I see. <div><br></div><div>Generally the SAN thing I mentioned does the job but definitely not in your case.</div><div><br></div><div>A IPA power user is needed here. </div></div><div class="gmail_extra"><br><div class="gmail_quote">On Tue, Jan 3, 2017 at 4:26 PM, Michael Plemmons <span dir="ltr"><<a href="mailto:michael.plemmons@crosschx.com" target="_blank">michael.plemmons@crosschx.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr">Maciej,<div>  Thank you for the information.  I am not terminating at a load balancer.  Originally, I was trying to use a Route53 DNS CNAME entry of <a href="http://ipa.dev.crosschx.com" target="_blank">ipa.dev.crosschx.com</a> but we found documentation that says the entry should be an A record and not a CNAME.  I then created an A record in FreeIPA for <a href="http://ipa.dev.crosschx.com" target="_blank">ipa.dev.crosschx.com</a> and pointed the A record to the IP addresses of <a href="http://ipa-master.dev.crosschx.com" target="_blank">ipa-master.dev.crosschx.com</a> and <a href="http://ipa-replica.dev.crosschx.com" target="_blank">ipa-replica.dev.crosschx.com</a>.</div><div><br></div><div>  I guess using the phrase load balancer may be a poor choice here as I am using FreeIPA DNS as a way to load balance the traffic.</div><div><br></div></div><div class="gmail_extra"><span class=""><br clear="all"><div><div class="m_-4361816503770630695gmail_signature" data-smartmail="gmail_signature"><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><br></div><div dir="ltr"><div dir="ltr" style="font-size:12.8px"><br></div><div dir="ltr" style="font-size:12.8px"><b><font size="2">Mike Plemmons | Senior DevOps Engineer | CROSSCHX</font></b><div><a href="tel:(614)%20741-5475" value="+16147415475" target="_blank">614-741-5475</a></div><div><a href="mailto:mike.plemmons@crosschx.com" target="_blank">mike.plemmons@crosschx.com</a></div><div><a href="http://www.crosschx.com/" target="_blank">www.crosschx.com</a></div></div></div></div></div></div></div></div></div></div></div></div></div></div>
<br></span><div><div class="h5"><div class="gmail_quote">On Tue, Jan 3, 2017 at 10:14 AM, Maciej Drobniuch <span dir="ltr"><<a href="mailto:md@collective-sense.com" target="_blank">md@collective-sense.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr">Hello Mike,<div><br></div><div>I don't know if I'm aligned with your problem, but generally I was facing a SAN cert issue too. </div><div><br></div><div>Not sure if you're terminating SSL/TLS on the load balancer or not?</div><div><br></div><div>Usually I do SAN certs in IPA via GUI/IdM. </div><div>I am adding a service and hosts assigned to that service.</div><div><br></div><div>Every host has an additional https service.</div><div><br></div><div>Then I am simply pasting the SAN csr into the host that owns the main service and this creates a signed SAN cert that you can upload later to your LB.</div><div><br></div><div>In simple words the service is assigned to all hosts but those hosts have also a service added(this is a hack).</div><div><br></div><div>Hope that makes sense and helps solving your problem.</div><div><br></div><div>BR</div></div><div class="gmail_extra"><br><div class="gmail_quote">On Thu, Dec 29, 2016 at 10:48 PM, Michael Plemmons <span dir="ltr"><<a href="mailto:michael.plemmons@crosschx.com" target="_blank">michael.plemmons@crosschx.com</a><wbr>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr">I am trying to get FreeIPA LDAP to work when behind a load balancer and using SSL and I do not understand how I am supposed to get the server to use a certificate I created that has a SAN created.<div><br></div><div>FreeIPA 4.4.0 on CentOS 7<br><div><br></div><div>Here is what I have:</div><div><a href="http://ipa-master.dev.crosschx.com" target="_blank">ipa-master.dev.crosschx.com</a> - master</div><div><a href="http://ipa-replica.dev.crosschx.com" target="_blank">ipa-replica.dev.crosschx.com</a> - replica</div><div><a href="http://ipa.dev.crosschx.com" target="_blank">ipa.dev.crosschx.com</a> - load balancer DNS name which point to the master and replica servers</div><div><br></div><div>Here is what I have done.</div><div>ipa host-add <a href="http://ipa.dev.crosschx.com" target="_blank">ipa.dev.crosschx.com</a> --random --force<br></div><div><br></div><div>ipa service-add --force ldap/<a href="http://ipa.dev.crosschx.com" target="_blank">ipa.dev.crosschx.com</a><br></div><div><br></div><div>ipa service-add-host ldap/<a href="http://ipa.dev.crosschx.com" target="_blank">ipa.dev.crosschx.com</a> --hosts={<a href="http://ipa-master.dev.crosschx.com" target="_blank">ipa-master.dev.crossc<wbr>hx.com</a>,<a href="http://ipa-replica.dev.crosschx.com" target="_blank">ipa-replica.dev.crossch<wbr>x.com</a>}<br></div><div><br></div><div>ipa service-allow-retrieve-keytab ldap/<a href="http://ipa.dev.crosschx.com" target="_blank">ipa.dev.crosschx.com</a> --users=admin<br></div><div><br></div><div>ipa-getcert request -d /etc/crosschx -n ipa-load-balancer -N "CN=<a href="http://ipa-master.dev.crosschx.com" target="_blank">ipa-master.dev.crosschx.co<wbr>m</a>,O=<a href="http://DEV.CROSSCHX.COM" target="_blank">DEV.CROSSCHX.COM</a>" -D <a href="http://ipa.dev.crosschx.com" target="_blank">ipa.dev.crosschx.com</a> -K ldap/<a href="http://ipa-master.dev.crosschx.com" target="_blank">ipa-master.dev.crosschx.c<wbr>om</a><br></div><div><div><div class="m_-4361816503770630695m_-310899264143836232m_945896695088540632gmail_signature"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><br></div><div dir="ltr"><div dir="ltr" style="font-size:12.8px"><br></div><div style="font-size:12.8px">I can see the certificate is being monitored by IPA when I run ipa-getcert list but I am lost at the step to have this cert put into the database so that IPA will properly respond when I try to connect over LDAPS.</div><div style="font-size:12.8px"><br></div><div style="font-size:12.8px">I was testing the connection with the following command and I see the the ipa-master.dev cert being served.</div><div style="font-size:12.8px"><br></div><div><span style="font-size:12.8px">openssl s_client -connect <a href="http://ipa-master.dev.crosschx.com:636" target="_blank">ipa-master.dev.crosschx.com:63<wbr>6</a> -servername <a href="http://ipa.dev.crosschx.com" target="_blank">ipa.dev.crosschx.com</a></span><br></div><div><span style="font-size:12.8px"><br></span></div><div><span style="font-size:12.8px">Can you point me to the documentation I need to follow?</span></div><div><span style="font-size:12.8px"><br></span></div><div><span style="font-size:12.8px">Thank you.</span></div><div dir="ltr" style="font-size:12.8px"><br></div><div dir="ltr" style="font-size:12.8px"><br></div><div dir="ltr" style="font-size:12.8px"><b><font size="2">Mike Plemmons | Senior DevOps Engineer | CROSSCHX</font></b><div><a href="tel:(614)%20741-5475" value="+16147415475" target="_blank">614-741-5475</a></div><div><a href="mailto:mike.plemmons@crosschx.com" target="_blank">mike.plemmons@crosschx.com</a></div><div><a href="http://www.crosschx.com/" target="_blank">www.crosschx.com</a></div></div></div></div></div></div></div></div></div></div></div><span class="m_-4361816503770630695HOEnZb"><font color="#888888">
</font></span></div></div></div><span class="m_-4361816503770630695HOEnZb"><font color="#888888">
<br>--<br>
Manage your subscription for the Freeipa-users mailing list:<br>
<a href="https://www.redhat.com/mailman/listinfo/freeipa-users" rel="noreferrer" target="_blank">https://www.redhat.com/mailman<wbr>/listinfo/freeipa-users</a><br>
Go to <a href="http://freeipa.org" rel="noreferrer" target="_blank">http://freeipa.org</a> for more info on the project<br></font></span></blockquote></div><span class="m_-4361816503770630695HOEnZb"><font color="#888888"><br><br clear="all"><div><br></div>-- <br><div class="m_-4361816503770630695m_-310899264143836232gmail_signature" data-smartmail="gmail_signature"><div dir="ltr"><div><div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr">Best regards</div><div dir="ltr"><br><div><span style="font-size:12.8px">Maciej Drobniuch</span></div><div>Network Security Engineer</div><div><div style="font-size:small"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div><div style="font-size:12.8px">Collective-Sense,LLC</div></div></div></div></div></div></div></div></div></div></div></div></div></div></div>
</font></span></div>
</blockquote></div><br></div></div></div>
</blockquote></div><br><br clear="all"><div><br></div>-- <br><div class="gmail_signature" data-smartmail="gmail_signature"><div dir="ltr"><div><div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr">Best regards</div><div dir="ltr"><br><div><span style="font-size:12.8px">Maciej Drobniuch</span></div><div>Network Security Engineer</div><div><div style="font-size:small"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div><div style="font-size:12.8px">Collective-Sense,LLC</div></div></div></div></div></div></div></div></div></div></div></div></div></div></div>
</div>