<div class="gmail_quote">On Tue, Jun 19, 2012 at 6:54 PM, Simo Sorce <span dir="ltr"><<a href="mailto:simo@redhat.com" target="_blank">simo@redhat.com</a>></span> wrote:<br><div> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">
Yes with IPA you can use service principals to initiate context w/o<br>
problems. That's why I suggested you use a service principal.<br>
AD has a limitation that you must use an actual user to initiate a<br>
context, that may be where the suggestion is coming from.<br>
<div class="im HOEnZb"><br></div></blockquote></div><br>I was just wondering how to to use a service principal coupled to a host in the case of a webapp. We all know those, applications that require binding to a database with a login/pass combo in a file. And was assuming that creating a service principal and then creating a postgresql role with the name of the principal would not work, that I could not login postgresql with that kerberos principal.<br>
<br>It turns out it does work! I can create service principals and have them connect to our postgresql servers. Awesome!<br><br>I need to test this more thouroughly, but this is looking great security wise.<br><br>Thanks for the tip! :-)<br>
-- <br>natxo<br><br><br>