<div dir="ltr"><div>Thanks, that was actually very helpful. <br><br>"Host Enrollment" privilege does not actually allow you to enroll hosts, not sure what that is about. But "Host Administrators" worked just fine.<br>
<br></div>-M<br></div><div class="gmail_extra"><br><br><div class="gmail_quote">On Fri, Aug 15, 2014 at 1:18 AM, Martin Kosek <span dir="ltr"><<a href="mailto:mkosek@redhat.com" target="_blank">mkosek@redhat.com</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div class="HOEnZb"><div class="h5">On 08/14/2014 10:23 PM, Michael Lasevich wrote:<br>
> Is there somewhere a documented minimum set of permissions required to<br>
> create a special role/account/principal to auto-join machines to the domain?<br>
><br>
> I am not all too comfortable to run this as admin user and not quite ready<br>
> to set up the orchestration needed to pre-join the host.<br>
><br>
> Thanks,<br>
><br>
> -M<br>
><br>
><br>
><br>
<br>
</div></div>You can simply create a system user or a joiner service and assign it a "Host<br>
Administrators" privilege:<br>
<br>
# ipa privilege-show "Host Administrators"<br>
  Privilege name: Host Administrators<br>
  Description: Host Administrators<br>
  Permissions: add hosts, remove hosts, modify hosts, manage host ssh public keys,<br>
               manage host keytab, enroll a host, retrieve certificates from<br>
the ca,<br>
               revoke certificate, add krbprincipalname to a host<br>
  Granting privilege to roles: IT Specialist<br>
<br>
HTH,<br>
Martin<br>
</blockquote></div><br></div>