Hi Alexander,<br><br>That is great!<br><br>I hope that someone can find this topic and use it as reference as it tool us some time to find the other one :)<br><br>Thanks!<br><br>Cheers,<br><br>Matt<br><br><div class="gmail_quote">
2013/7/29 Alexander Bokovoy <span dir="ltr"><<a href="mailto:abokovoy@redhat.com" target="_blank">abokovoy@redhat.com</a>></span><br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
Hi Matt,<div class="im"><br>
<br>
On Mon, 29 Jul 2013, Matt . wrote:<br>
</div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div class="im">
Hi all,<br>
<br>
Refering to this topic:<br>
<a href="https://www.redhat.com/archives/freeipa-users/2013-July/msg00318.html" target="_blank">https://www.redhat.com/<u></u>archives/freeipa-users/2013-<u></u>July/msg00318.html</a><br>
<br>
We are no able to do a show_user from a webserver on an IPA server, but<br>
user_add gives a problem in rights.<br>
<br>
On the IPA server there is added to the services:<br></div>
HTTP/test-webserver.dev.<u></u>domain.local@DEV.DOMAIN.LOCAL<<a href="https://test-zip.dev.msp.cullie.local/ipa/ui/#HTTP/test-zip-2.dev.msp.cullie.local@DEV.MSP.CULLIE.LOCAL" target="_blank"><u></u>https://test-zip.dev.msp.<u></u>cullie.local/ipa/ui/#HTTP/<u></u>test-zip-2.dev.msp.cullie.<u></u>local@DEV.MSP.CULLIE.LOCAL</a>><div class="im">
<br>
<br>
We installed mod_auth_kerb on the webserver and the IPA-server and created<br>
a keytab also on both servers.<br></div>
<<a href="https://test-zip.dev.msp.cullie.local/ipa/ui/#HTTP/test-zip-2.dev.msp.cullie.local@DEV.MSP.CULLIE.LOCAL" target="_blank">https://test-zip.dev.msp.<u></u>cullie.local/ipa/ui/#HTTP/<u></u>test-zip-2.dev.msp.cullie.<u></u>local@DEV.MSP.CULLIE.LOCAL</a>><div class="im">
<br>
<br>
With our script we still get the following error because the rights that<br>
the user has:<br>
<br>
ipa: ERROR: Insufficient access: Insufficient 'add' privilege to the<br>
'userPassword' attribute<br>
<br>
When we add a user "apache" to the IPA server and give it admin rights and<br>
set it to the "User Administrator" Role we still don't have the right<br>
privileges to do so.<br>
<br>
We need to setup a S4U2Proxy where we thought of that we did by installing<br>
the mod_auth_kerb on the webserver, but this seems to be on the IPA servers.<br>
<br>
The same question for the keytab, where do we use it when we use a simple<br>
webserver form to add a user ? It's the same as in the topic here where<br>
there is spoken about the "User privileges":<br>
<a href="http://comments.gmane.org/gmane.linux.redhat.freeipa.user/8244" target="_blank">http://comments.gmane.org/<u></u>gmane.linux.redhat.freeipa.<u></u>user/8244</a><br>
<br>
What do we have to do on which server ? We have put a lot of time into the<br>
user_show part and that works, now westill  need the user_add (and so on).<br>
<br>
Has anyone some sort of sample/howto for this ?<br>
</div></blockquote>
As I said on IRC, I'm working on the article which explains all that.<br>
Stay tuned.<span class="HOEnZb"><font color="#888888"><br>
<br>
<br>
-- <br>
/ Alexander Bokovoy<br>
</font></span></blockquote></div><br>