<div dir="ltr">Suppose we would "bite the bullet" and *move* IPA to another domain. This would be a subdomain (<a href="http://IPA.MYCOMP.EDU">IPA.MYCOMP.EDU</a>). I have to install 2 new IPA servers. No problems there. However, I have to migrate the data. That is a real problem, I think. For HBAC rules, SUDO rules, etc we can do this manually. However Users and DNS is quit a lot *and* we want to migrate the user passwords.<div>
<br></div><div>For DNS we could use zone transfers</div><div><br></div><div>But for user passwords?</div><div><br></div><div>Is there IPA export import type of functionality (in RHEL64) that can provide this?<br><div><br>
</div></div></div><div class="gmail_extra"><br clear="all"><div><div dir="ltr"><br>Met vriendelijke groeten,<br><b><br><font style="color:rgb(51,102,255)" color="#000099">Fre</font><font style="color:rgb(51,102,255)" color="#000099">d van Zwieten</font><br style="color:rgb(51,102,255)">
</b>
<div><font color="#3333ff"><span style="COLOR:rgb(0,0,153)"><b style="color:rgb(51,102,255)">Enterprise Open Source Services</b><br></span></font></div>

<div><b><br><span style="color:rgb(51,102,255)">Consultant</span></b><br><font size="1"><i>(woensdags afwezig)</i></font></div>
<div><br><b><span style="COLOR:rgb(255,0,0)">VX Company IT Services B.V.</span></b><br><span style="COLOR:rgb(0,0,153)"><b><span style="COLOR:rgb(255,0,0)">T</span></b><span style="background-color:rgb(255,255,255);color:rgb(255,255,255)"> <span style="color:rgb(51,102,255)">(035) 539 09 50 mobiel (06) 41 68 28 48</span></span></span><span style="background-color:rgb(255,255,255);color:rgb(51,102,255)"></span><br style="COLOR:rgb(0,0,153)">
<span style="COLOR:rgb(0,0,153)"><b><span style="COLOR:rgb(255,0,0)">F</span></b> <span style="color:rgb(51,102,255)">(035) 539 09 08</span></span><br style="COLOR:rgb(0,0,153)"><span style="COLOR:rgb(0,0,153)"><b style="COLOR:rgb(255,0,0)">E</b><span style="color:rgb(51,102,255)"> </span></span><a style="color:rgb(51,102,255)" href="mailto:fvzwieten@vxcompany.com" target="_blank">fvzwieten@vxcompany.com</a><br style="COLOR:rgb(0,0,153)">
<span style="COLOR:rgb(0,0,153)"><b style="COLOR:rgb(255,0,0)">I</b>  </span><a style="color:rgb(51,102,255)" href="http://www.vxcompany.com/" target="_blank">www.vxcompany.com</a></div><div><br></div><div><span style="background-color:rgb(249,249,249);color:rgb(85,85,85);font-family:sans-serif;font-size:12px;line-height:16.796875px">Seeing, contrary to popular wisdom, isn’t believing. It’s where belief stops, because it isn’t needed any more.</span><span style="color:rgb(85,85,85);font-family:sans-serif;font-size:12px;line-height:16.796875px;background-color:rgb(252,252,252)">. (</span><span style="background-color:rgb(252,252,252);color:rgb(85,85,85);font-family:sans-serif;font-size:12px;line-height:16.796875px">Terry Pratchett)</span><br>
</div></div></div>
<br><br><div class="gmail_quote">On Sun, Sep 22, 2013 at 10:37 PM, Simo Sorce <span dir="ltr"><<a href="mailto:simo@redhat.com" target="_blank">simo@redhat.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<div class="im">On Sun, 2013-09-22 at 18:09 +0200, Fred van Zwieten wrote:<br>
> Well, as explained in this thread, the problem here is that we have an<br>
> IPA domain named "<a href="http://MYCOMP.EDU" target="_blank">MYCOMP.EDU</a>" _and_ an AD domain named "<a href="http://MYCOMP.EDU" target="_blank">MYCOMP.EDU</a>" as<br>
> well. Both have there own DNS servers. It's beyond the scope of this<br>
> mail to explain why we have named them exactly the same, and we do<br>
> wish we didn't, but this is the current situation. Migrating any of<br>
> these to another domain name would be the best solution but would<br>
> involve quite a lot of work.<br>
><br>
><br>
> So now we have a bunch of SAMBA services running on RHEL6.4 boxes that<br>
> are IPA-clients and we would like to give the AD users access to them.<br>
> How to proceed? We cannot use an IPA - AD trust, because both domains<br>
> have the same name. We also cannot make the SAMBA services member of<br>
> the AD domain, because the server itself is an IPA-member and<br>
> krb5.conf already points to the IPA servers for domain <a href="http://MYCOMP.EDU" target="_blank">MYCOMP.EDU</a>..<br>
> Also /etc/resolv points to the DNS services of IPA.<br>
<br>
> See my problem? If not, read the whole mail thread..<br>
><br>
</div>I haven't read all the thread way back, but what you *could* do is to<br>
configure Samba in a completely independent way for the rest of the<br>
machine.<br>
<br>
Join just the samba file server to the Ad domain but use net rpc join<br>
and configure samba with security = domain not security = ads, basically<br>
treat the AD domain as a legacy NT4 domain.<br>
It will allow you to use only NTLM, no kerberos.<br>
<br>
The main issue will be how to provide users to the system.<br>
<br>
If you can map the AD domain SIDs in a different ID range you could run<br>
both the normal sssd and add on top winbindd configured with idmap rid<br>
to map the Ad domain SIDs in a range that do not conflict and use fully<br>
qualified names for users so you have no chance of conflict with the<br>
native IPA users.<br>
<br>
It *might* work, but you'd have to try to know and you need to fully<br>
understand the nsswitch interactions as well as winbindd configuration<br>
nuissances to pull it off. It will be a fragile setup, in any case.<br>
<div class="im">><br>
><br>
> It get's even more complicated. The AD "<a href="http://MYCOMP.EDU" target="_blank">MYCOMP.EDU</a>" domain has a trust<br>
> with an AD "<a href="http://OTHERCOMP.EDU" target="_blank">OTHERCOMP.EDU</a>" and users in "<a href="http://OTHERCOMP.EDU" target="_blank">OTHERCOMP.EDU</a>" must access<br>
> resource in "<a href="http://MYCOMP.EDU" target="_blank">MYCOMP.EDU</a>". There is a trust between the AD domain<br>
> "<a href="http://MYCOMP.EDU" target="_blank">MYCOMP.EDU</a>" and the AD domain "<a href="http://OTHERCOMP.EDU" target="_blank">OTHERCOMP.EDU</a>". This works. We have<br>
> some shares on a NetApp filer who is member of the AD domain<br>
> "<a href="http://MYCOMP.EDU" target="_blank">MYCOMP.EDU</a>" and people from "<a href="http://OTHERCOMP.EDU" target="_blank">OTHERCOMP.EDU</a>" can successfully access<br>
> those shares (given correct group membership offcourse).<br>
><br>
><br>
> Now, we would like to have peoply in the AD domains "<a href="http://OTHERCOMP.EDU" target="_blank">OTHERCOMP.EDU</a>"<br>
> and "<a href="http://MYCOMP.EDU" target="_blank">MYCOMP.EDU</a>" to access shares served by SAMBA services on RHEL64<br>
> machines that are IPA clients in the IPA domain "<a href="http://MYCOMP.EDU" target="_blank">MYCOMP.EDU</a>".<br>
><br>
><br>
> As all out RHEL servers are IPA clients by default we also want the<br>
> servers running SAMBA to stay IPA-clients for system level central<br>
> administration of users, groups, sudo policies, hbac, etc.<br>
><br>
><br>
> Now, how to proceed:<br>
><br>
><br>
> I see 2 possible solutions (besides byting the bullet and name change<br>
> one of the MYCOMP domains):<br>
<br>
</div>Byting the bullet will be by far the easiest I think, although<br>
*changing* here really means installing a new domain and slowly phasing<br>
off the old one.<br>
<div class="im">><br>
> Solution 1:<br>
> Create an intermediary domain. This gives the following trust<br>
> relationships:<br>
><br>
><br>
> AD(<a href="http://OTHERCOMP.EDU" target="_blank">OTHERCOMP.EDU</a>) <--trusts-- AD(<a href="http://MYCOMP.EDU" target="_blank">MYCOMP.EDU</a>) <--trusts--<br>
> AD(<a href="http://MYCOMP-INTERMEDIARY.EDU" target="_blank">MYCOMP-INTERMEDIARY.EDU</a>) <--trusts-- IPA(<a href="http://MYCOMP.EDU" target="_blank">MYCOMP.EDU</a>). I don't like<br>
> this one and I am not even sure it solves my problem. Another problem<br>
> involves adding to (virtual) Windows boxes to maintain this domain.<br>
<br>
</div>We do not have yet full support for transitive trusts, so it will not<br>
work with any released buts, although we *are* getting close.<br>
<div class="im"><br>
><br>
> Solution 2:<br>
> Make a SAMBA only domain. Make one of the SAMBA servers a PDC and one<br>
> BDC. Make a NT-4 style trust to the AD domain <a href="http://MYCOMP.EDU" target="_blank">MYCOMP.EDU</a>. NT-4 style<br>
> to have no Kerberos involvement as that is used for IPA. Also no DNS<br>
> clashes as NT-4 style doesn't use DNS SRV records.<br>
<br>
</div>I do not recall how good the old NT domain stuff is wrt trusts, but it<br>
is certainly a possibility, you have the same Winbindd issues as above<br>
plus having to manage to add the necessary samba objectlasses in the IPA<br>
tree manually when needed for the local users, or you'll have to keep a<br>
separate database, if you do not care exporting samba share tfor IPA<br>
users, you may just not create anything beyond a few admin users locally<br>
on the samba boxes and rely entirely on winbindd to provide trusted<br>
domain users. However at this point you can as well use the solution I<br>
proposed you above.<br>
<div class="im"><br>
> AD(<a href="http://OTHERCOMP.EDU" target="_blank">OTHERCOMP.EDU</a>) <--trusts-- AD(<a href="http://MYCOMP.EDU" target="_blank">MYCOMP.EDU</a>) <--nt-4-trusts--<br>
> NT4(MYCOMP-SAMBA)<br>
><br>
><br>
><br>
> Now, giving correct group memberships and all, users in <a href="http://OTHERCOMP.EDU" target="_blank">OTHERCOMP.EDU</a><br>
> should be able to access shares in MYCOMP-SAMBA.<br>
><br>
><br>
> Correct?<br>
><br>
</div>Once you get through a correctly working trust you should be able to<br>
deal with this relatively easily, yes.<br>
<span class="HOEnZb"><font color="#888888"><br>
Simo.<br>
<br>
--<br>
Simo Sorce * Red Hat, Inc * New York<br>
<br>
</font></span></blockquote></div><br></div>