<p><br>
> > > >>>> Two questions:<br>
> > > >>>><br>
> > > >>>> - Any ETA on an updated 3.3.3 Users Guide?<br>
> > > >>><br>
> > > >>> Our current plan is to release next documentation release along with<br>
> > > >>> FreeIPA<br>
> > > >>> 3.4, when more documentation fixes are factored in.<br>
> > > >>><br>
> ><br>
> > Would you by any chance know when FreeIPA 3.4 will be realised?<br>
> ><br>
> > Looking to update a version 2.2 and would wait for 3.4 if its<br>
> > reasonably soon.<br>
> ><br>
><br>
> We planned for Feb but it seems like it would slip. How much is unclear.<br>
> We might reduce the scope and cut it earlier (I mean do not slip too<br>
> much) or try to keep the scope and extend the time couple months.<br>
> We will decide in early Feb.</p>
<p>Thanks a lot for the estimated release date. Please do make some announcement once you guys make up your mind which route to take.</p>
<p>William <br>
><br>
> Sorry not to have a more precise answer.<br>
><br>
> Thanks<br>
> Dmitri<br>
><br>
> > William<br>
> ><br>
> > > >>> Just in case you would like to check the most recent status of the<br>
> > > >>> documentation work (or even help us with it), this page describes<br>
> > > >>> the details<br>
> > > >>><br>
> > > >>> <a href="http://www.freeipa.org/page/Contribute/Documentation">http://www.freeipa.org/page/Contribute/Documentation</a><br>
> > > >>><br>
> > > >>> including instructions how to build HTMLs out of our git tree.<br>
> > > >>><br>
> > > >><br>
> > > >> Thanks, I'll take a look.<br>
> > > >><br>
> > > >>>> - Is AD/IPA synchronization still supported in 3.3.3?  Will it<br>
> > always?<br>
> > > >>><br>
> > > >>> The AD/IPA synchronization is supported only in terms in bug fixes.<br>
> > > >>> As for the<br>
> > > >>> enhancements, the FreeIPA core team is focusing on the AD trusts:<br>
> > > >>><br>
> > > >>> <a href="http://www.freeipa.org/page/Trusts">http://www.freeipa.org/page/Trusts</a><br>
> > > >>><br>
> > > >>> (That does not mean we are not open to contributions from the<br>
> > > >>> community)<br>
> > > >>><br>
> > > >>> Martin<br>
> > > >>><br>
> > > >><br>
> > > >> Thanks for the that link - the video was helpful.  Although I'm<br>
> > > >> afraid that is<br>
> > > >> making me lean towards implementing the not recommended "split brain"<br>
> > > >> approach.  Although one thing that is not clear to me is weather<br>
> > > >> doing this<br>
> > > >> consumes CALs for the linux machines since they authenticate<br>
> > against AD.<br>
> > > > Linux machines do not authenticate against AD DC in single sign-on<br>
> > > > case. Instead, usually Windows users obtain their Kerberos TGT upon<br>
> > > > logon to<br>
> > > > Windows machines and then use it to obtain tickets to services on<br>
> > Linux<br>
> > > > machines, by obtaining cross-realm TGT from AD DC and presenting it to<br>
> > > > IPA KDC as a proof. So in single sign-on case it works fine --<br>
> > > > authentication against AD happens on AD side.<br>
> > > ><br>
> > > > Of course, when AD users attempt to log in with password to IPA<br>
> > > > resources, SSSD would perform communication with AD DC to obtain<br>
> > TGT on<br>
> > > > their behalf. There is AD DC involved in making a decision whether<br>
> > > > this AD user is allowed to authenticate. On Kerberos level, however,<br>
> > > > there are no limitations from where the authentication request comes<br>
> > > > (unless it is restricted with the firewalls). CALs play role on using<br>
> > > > Windows resources after authentication happened but in IPA AD trusts<br>
> > > > case currently only IPA resources can be consumed by AD users, IPA<br>
> > users<br>
> > > > cannot yet consume Windows resources and therefore get assigned rights<br>
> > > > to access them.<br>
> > > ><br>
> > ><br>
> > > To clarify the CAL part.<br>
> > > The CALs come in two shapes: per user and per host.<br>
> > > If it is per user and you have users in AD then regardless of how you<br>
> > > integrate with IPA you have to pay these CALs.<br>
> > > If your CALs is around hosts then they are based on the count of the<br>
> > > computer objects in AD.<br>
> > > If the client system is joined directly and has kerberos identity in AD<br>
> > > domain you have an object in AD that counts towards CALs.<br>
> > > If you have client joined to IPA and either trust or sync solution in<br>
> > > place the client is not a member of AD (no computer object in AD) and<br>
> > > this does not count towards CALs.<br>
> > ><br>
> > > HTH<br>
> > ><br>
> > ><br>
> > ><br>
> > ><br>
> > > --<br>
> > > Thank you,<br>
> > > Dmitri Pal<br>
> > ><br>
> > > Sr. Engineering Manager for IdM portfolio<br>
> > > Red Hat Inc.<br>
> > ><br>
> > ><br>
> ><br>
> ><br>
> ><br>
> > _______________________________________________<br>
> > Freeipa-users mailing list<br>
> > <a href="mailto:Freeipa-users@redhat.com">Freeipa-users@redhat.com</a><br>
> > <a href="https://www.redhat.com/mailman/listinfo/freeipa-users">https://www.redhat.com/mailman/listinfo/freeipa-users</a><br>
><br>
><br>
> --<br>
> Thank you,<br>
> Dmitri Pal<br>
><br>
> Sr. Engineering Manager for IdM portfolio<br>
> Red Hat Inc.<br>
><br>
><br>
> -------------------------------<br>
> Looking to carve out IT costs?<br>
> <a href="http://www.redhat.com/carveoutcosts/">www.redhat.com/carveoutcosts/</a><br>
><br>
><br>
><br>
> -------------- next part --------------<br>
> An HTML attachment was scrubbed...<br>
> URL: <<a href="https://www.redhat.com/archives/freeipa-users/attachments/20140112/fe887df9/attachment.html">https://www.redhat.com/archives/freeipa-users/attachments/20140112/fe887df9/attachment.html</a>><br>
><br>
> ---------------------------</p>