<div dir="ltr"><div><div><div><div><div><div>Hi Alexander,<br><br></div>This doc is really great.<br><br></div>I have added the delegation target but we still get an err=50 on when running our "add_user" script on the webserver.<br>
<br></div>On the IPA server we see a keytab file configured in the php.ini and on the webserver we don't. Configs are quite the same here actually.<br><br></div>Something simple must be wrong I guess.<br><br></div><div>
Thanks so far for the effort!<br></div><div><br></div>Cheers,<br><br></div>Matt<br></div><div class="gmail_extra"><br><br><div class="gmail_quote">2013/7/29 Alexander Bokovoy <span dir="ltr"><<a href="mailto:abokovoy@redhat.com" target="_blank">abokovoy@redhat.com</a>></span><br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Hi!<div class="im"><br>
<br>
On Mon, 29 Jul 2013, Matt . wrote:<br>
</div><div class="im"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
Hi Alexander,<br>
<br>
That is great!<br>
<br>
I hope that someone can find this topic and use it as reference as it tool<br>
us some time to find the other one :)<br>
</blockquote></div>
You can find my blog post here:<br>
<a href="http://vda.li/en/posts/2013/07/29/Setting-up-S4U2Proxy-with-FreeIPA/index.html" target="_blank">http://vda.li/en/posts/2013/<u></u>07/29/Setting-up-S4U2Proxy-<u></u>with-FreeIPA/index.html</a><br>
<br>
Hope it helps. I've tested the scenario on Fedora 19.<br>
<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div class="im">
<br>
Thanks!<br>
<br>
Cheers,<br>
<br>
Matt<br>
<br>
2013/7/29 Alexander Bokovoy <<a href="mailto:abokovoy@redhat.com" target="_blank">abokovoy@redhat.com</a>><br>
<br>
</div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div class="im">
Hi Matt,<br>
<br>
<br>
On Mon, 29 Jul 2013, Matt . wrote:<br>
<br>
</div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div class="im">
Hi all,<br>
<br>
Refering to this topic:<br>
</div><a href="https://www.redhat.com/**archives/freeipa-users/2013-**July/msg00318.html" target="_blank">https://www.redhat.com/**<u></u>archives/freeipa-users/2013-**<u></u>July/msg00318.html</a><<a href="https://www.redhat.com/archives/freeipa-users/2013-July/msg00318.html" target="_blank">https://<u></u>www.redhat.com/archives/<u></u>freeipa-users/2013-July/<u></u>msg00318.html</a>><div class="im">
<br>
<br>
We are no able to do a show_user from a webserver on an IPA server, but<br>
user_add gives a problem in rights.<br>
<br>
On the IPA server there is added to the services:<br></div>
HTTP/test-webserver.dev.**<u></u>domain.local@DEV.DOMAIN.LOCAL<<u></u>**<br>
<a href="https://test-zip.dev.msp." target="_blank">https://test-zip.dev.msp.</a>**<u></u>cullie.local/ipa/ui/#HTTP/**<br>
test-zip-2.dev.msp.cullie.**<u></u>local@DEV.MSP.CULLIE.LOCAL<<a href="https://test-zip.dev.msp.cullie.local/ipa/ui/#HTTP/test-zip-2.dev.msp.cullie.local@DEV.MSP.CULLIE.LOCAL" target="_blank">htt<u></u>ps://test-zip.dev.msp.cullie.<u></u>local/ipa/ui/#HTTP/test-zip-2.<u></u>dev.msp.cullie.local@DEV.MSP.<u></u>CULLIE.LOCAL</a>><div class="im">
<br>
><br>
<br>
<br>
We installed mod_auth_kerb on the webserver and the IPA-server and created<br>
a keytab also on both servers.<br></div>
<<a href="https://test-zip.dev.msp." target="_blank">https://test-zip.dev.msp.</a>**<u></u>cullie.local/ipa/ui/#HTTP/**<br>
test-zip-2.dev.msp.cullie.**<u></u>local@DEV.MSP.CULLIE.LOCAL<<a href="https://test-zip.dev.msp.cullie.local/ipa/ui/#HTTP/test-zip-2.dev.msp.cullie.local@DEV.MSP.CULLIE.LOCAL" target="_blank">htt<u></u>ps://test-zip.dev.msp.cullie.<u></u>local/ipa/ui/#HTTP/test-zip-2.<u></u>dev.msp.cullie.local@DEV.MSP.<u></u>CULLIE.LOCAL</a>><div class="im">
<br>
><br>
<br>
<br>
With our script we still get the following error because the rights that<br>
the user has:<br>
<br>
ipa: ERROR: Insufficient access: Insufficient 'add' privilege to the<br>
'userPassword' attribute<br>
<br>
When we add a user "apache" to the IPA server and give it admin rights and<br>
set it to the "User Administrator" Role we still don't have the right<br>
privileges to do so.<br>
<br>
We need to setup a S4U2Proxy where we thought of that we did by installing<br>
the mod_auth_kerb on the webserver, but this seems to be on the IPA<br>
servers.<br>
<br>
The same question for the keytab, where do we use it when we use a simple<br>
webserver form to add a user ? It's the same as in the topic here where<br>
there is spoken about the "User privileges":<br>
</div><a href="http://comments.gmane.org/**gmane.linux.redhat.freeipa.**user/8244" target="_blank">http://comments.gmane.org/**<u></u>gmane.linux.redhat.freeipa.**<u></u>user/8244</a><<a href="http://comments.gmane.org/gmane.linux.redhat.freeipa.user/8244" target="_blank">http://comments.<u></u>gmane.org/gmane.linux.redhat.<u></u>freeipa.user/8244</a>><div class="im">
<br>
<br>
What do we have to do on which server ? We have put a lot of time into the<br>
user_show part and that works, now westill  need the user_add (and so on).<br>
<br>
Has anyone some sort of sample/howto for this ?<br>
<br>
</div></blockquote><div class="im">
As I said on IRC, I'm working on the article which explains all that.<br>
Stay tuned.<br>
<br>
<br>
--<br>
/ Alexander Bokovoy<br>
<br>
</div></blockquote></blockquote><span class="HOEnZb"><font color="#888888">
<br>
<br>
<br>
-- <br>
/ Alexander Bokovoy<br>
</font></span></blockquote></div><br></div>