<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 3.2//EN">
<HTML>
<HEAD>
<META HTTP-EQUIV="Content-Type" CONTENT="text/html; charset=us-ascii">
<META NAME="Generator" CONTENT="MS Exchange Server version 08.00.0681.000">
<TITLE>RE: [libvirt] [RFC]: Secure migration</TITLE>
</HEAD>
<BODY>
<!-- Converted from text/plain format -->

<P><FONT SIZE=2>> From: libvir-list-bounces@redhat.com [<A HREF="mailto:libvir-list-">mailto:libvir-list-</A></FONT>

<BR><FONT SIZE=2>> bounces@redhat.com] On Behalf Of Daniel P. Berrange</FONT>

<BR><FONT SIZE=2>...</FONT>

<BR><FONT SIZE=2>> > c) libvirtd is using SASL gssapi on the dst machine.  When the src</FONT>

<BR><FONT SIZE=2>> machine tries</FONT>

<BR><FONT SIZE=2>> > to connect to the dst, it needs to have the right configuration (i.e.</FONT>

<BR><FONT SIZE=2>> > /etc/krb5.conf and /etc/sasl2/libvirt.conf need to work), and it also</FONT>

<BR><FONT SIZE=2>> has to get</FONT>

<BR><FONT SIZE=2>> > some kind of principal from the kerberos server (but which</FONT>

<BR><FONT SIZE=2>> principal?).</FONT>

<BR><FONT SIZE=2>> </FONT>

<BR><FONT SIZE=2>> Each server has a kerberos principal, so I'd expect they can directly</FONT>

<BR><FONT SIZE=2>> auth to each other, assuming suitable ACL configs.</FONT>

<BR><FONT SIZE=2>[IH] you are assuming anyone using Libvirt will be using Kerberos?</FONT>
</P>

</BODY>
</HTML>