<div dir="ltr"><div class="gmail_extra"><br><div class="gmail_quote">On Mon, Jan 13, 2014 at 1:24 PM, Petr Spacek <span dir="ltr"><<a href="mailto:pspacek@redhat.com" target="_blank">pspacek@redhat.com</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">On 13.1.2014 15:50, Alexander Bokovoy wrote:<br>
<blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">
On Mon, 13 Jan 2014, tizo wrote:<br>
<blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">
Hi there,<br>
<br>
We have a working authentication system for GNU/Linux consisting in a Mit<br>
Kerberos Server, and an OpenLDAP directory with a particular structure. I<br>
was wondering if we could use Freeipa to administer those working<br>
components as they are, without having to deploy a new Freeipa server from<br>
scratch.<br>
</blockquote>
In short, no, it is not possible.<br>
</blockquote>
<br>
I would like to elaborate this a bit more:<br>
You really can't use FreeIPA WebUI with home-grown LDAP+Kerberos system, but FreeIPA provides migrate-ds scripts which ease the transition from OpenLDAP.<br>
<br>
Please see<br>
<a href="http://docs.fedoraproject.org/en-US/Fedora/18/html/FreeIPA_Guide/Migrating_from_a_Directory_Server_to_IPA.html" target="_blank">http://docs.fedoraproject.org/<u></u>en-US/Fedora/18/html/FreeIPA_<u></u>Guide/Migrating_from_a_<u></u>Directory_Server_to_IPA.html</a><br>

<br>
You need to migrate OpenLDAP data to one FreeIPA server and then you can simply create FreeIPA server replicas as need.<br>
<br>
In other words, the migrate-ds script is run only once even if you have multiple servers with replicated data.<br>
<br>
There are some limited capabilities for migration with user passwords, but I will let other people to elaborate - this is not area of my expertise.<br>
<br>
Let us know if you need any assistance during migration.<span class=""><font color="#888888"><br>
<br>
-- <br>
Petr^2 Spacek<br>
</font></span></blockquote></div><br></div><div class="gmail_extra">I had discarded the Freeipa option, as we couldn't use our OpenLDAP server and Kerberos as they were. Now, I am thinking that could be very useful for us (because of another reason), but I have a question about it. In short: can Freeipa internal LDAP server be used as any other LDAP server?.<br>
<br>In detail: we have some Java applications that use authentication against our actual OpenLDAP server. The LDAP authentication is used in this case, with an overlay for password policies (as in <a href="http://www.openldap.org/doc/admin24/overlays.html#Password%20Policies">http://www.openldap.org/doc/admin24/overlays.html#Password%20Policies</a>). The users that would use Freeipa are a subset from the users that use the Java applications. So, I would like that, at least at first, users from Java applications continue authenticating as they are doing now. I don't know if that can be done, and I have never worked with 389 directory service, so any help is appreciated.<br>
<br></div></div>