<div dir="ltr">I would say that it is worth keeping in FreeIPA. I know myself and some customers use its functionality by having the clients sync to the IPA servers and have the servers sync to the NTP source. This way if the NTP source ever gets disrupted for long periods of time (which has happened in my environment) the client time drifts with the authentication source. This is the way that AD often works and is configured.<br></div><div class="gmail_extra"><br><div class="gmail_quote">On Tue, Nov 22, 2016 at 7:05 AM, Jan Cholasta <span dir="ltr"><<a href="mailto:jcholast@redhat.com" target="_blank">jcholast@redhat.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div class="HOEnZb"><div class="h5">On 22.11.2016 13:06, Petr Spacek wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
On 22.11.2016 12:15, David Kupka wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
Hello everyone!<br>
<br>
Is it worth to keep configuring NTP in FreeIPA?<br>
<br>
In usual environment there're no special requirements for time synchronization<br>
and the distribution default (be it ntpd, chrony or anything else) will just<br>
work. Any tampering with the configuration can't make it any better.<br>
<br>
In environment with special requirements (network disconnected from public<br>
internet, nodes disconnected from topology for longer time, ...) time<br>
synchronization must be taken care of accordingly by system administrator and<br>
FreeIPA simply can't help here.<br>
<br>
Also there are problems and weird behavior with the current FreeIPA installers:<br>
<br>
* ipa-client-install replaces all servers in /etc/ntp.conf with the ones<br>
specified by user or resolved from DNS. If none were provided nor resolved the<br>
FreeIPA server specified/resolved during installation it used. This leads in<br>
just single server in the configuration and no time synchronization when this<br>
server is down/decommissioned.<br>
<br>
* ipa-client-install replaces the NTP configuration. If there was any parts<br>
previously edited by system administrator it's lost.<br>
<br>
* ipa-server-install adds {0-4}.$<a href="http://PLATFORM.pool.ntp.org" rel="noreferrer" target="_blank">PLATFORM.pool.ntp.org</a> to /etc/ntp.conf.<br>
What's the point in doing that? These servers're already in the configuration<br>
file installed with ntp package.<br>
<br>
I have NTP-related WIP patches that solve some of the issues but in general I<br>
would prefer to remove the whole thing together with documenting "Please make<br>
sure that time on all FreeIPA servers and clients is synchronized. On most<br>
distributions this was already done during system installation."<br>
<br>
Can we mark NTP options deprecated in 4.5 and remove them and stop touching<br>
any time syncing service in 4.6?<br>
</blockquote>
<br>
Considering that default config is just fine for normal cases, and given how<br>
poorly integrated it is into FreeIPA, I agree with David. FreeIPA should get<br>
out of configuration management business.<br>
</blockquote>
<br></div></div>
+1<span class="HOEnZb"><font color="#888888"><br>
<br>
-- <br>
Jan Cholasta</font></span><div class="HOEnZb"><div class="h5"><br>
<br>
-- <br>
Manage your subscription for the Freeipa-devel mailing list:<br>
<a href="https://www.redhat.com/mailman/listinfo/freeipa-devel" rel="noreferrer" target="_blank">https://www.redhat.com/mailman<wbr>/listinfo/freeipa-devel</a><br>
Contribute to FreeIPA: <a href="http://www.freeipa.org/page/Contribute/Code" rel="noreferrer" target="_blank">http://www.freeipa.org/page/Co<wbr>ntribute/Code</a><br>
</div></div></blockquote></div><br></div>