<div dir="ltr">My Linux/LDAP domain is <a href="http://lnx.e-bozo.com">lnx.e-bozo.com</a>. The AD domain is <a href="http://ad.e-bozo.com">ad.e-bozo.com</a>. This has always been the case. I set up my FreeIPA server in the <a href="http://lnx.e-bozo.com">lnx.e-bozo.com</a> domain using realm <a href="http://LNX.E-BOZO.COM">LNX.E-BOZO.COM</a>. In light of this, how should I proceed?</div><div class="gmail_extra"><br><div class="gmail_quote">On Mon, Dec 8, 2014 at 9:48 AM, Simo Sorce <span dir="ltr"><<a href="mailto:simo@redhat.com" target="_blank">simo@redhat.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class="">On Mon, 08 Dec 2014 08:58:46 -0500<br>
Dmitri Pal <<a href="mailto:dpal@redhat.com">dpal@redhat.com</a>> wrote:<br>
<br>
> > Perhaps I should have explained that we are not going to set up a<br>
> > new DNS domain for the ipa-managed servers.<br>
<br>
</span>Note that if you cannot set up a new DNS domain and this domain is the<br>
same as the AD domain then you cannot to the stuff Dmitri describe<br>
below. The only way to have accounts on freeipa in this case is to use<br>
the winsync method, which has a number of limitation.<br>
Also clients will be rather confused when you try to<br>
ipa-client-install as they will find AD servers instead of ipa servers,<br>
finally you'll have to use a different realm name for the IPA domain,<br>
one that doesn't match the AD domain.<br>
<br>
HTH,<br>
Simo.<br>
<span class="im HOEnZb"><br>
> > We have an Oracle dsee7<br>
> > server doing LDAP for our Linux servers and accounts. We want to<br>
> > migrate to IPA so we don't have to maintain a Linux/LDAP account<br>
> > for every user who needs access to Linux servers. All of our users<br>
> > start with an account in AD and since none of my predecessors knew<br>
> > about Winbind, they set up dsee7.<br>
> ><br>
> > So I'm thinking we'll need to import all our dsee7 accounts AND<br>
> > make it possible for AD users to access the Linux systems without<br>
> > needing to create them in IPA.<br>
><br>
><br>
> So the approach would be:<br>
><br>
> 1) Install IPA (do not migrate users)<br>
> 2) Establish trust with AD<br>
> 3) Start switching client configuration from using LDAP with dsee7 to<br>
> SSSD pointing to IPA<br>
><br>
> You do not need to migrate users.<br>
<br>
<br>
<br>
</span><span class="HOEnZb"><font color="#888888">--<br>
Simo Sorce * Red Hat, Inc * New York<br>
</font></span><div class="HOEnZb"><div class="h5"><br>
--<br>
Manage your subscription for the Freeipa-users mailing list:<br>
<a href="https://www.redhat.com/mailman/listinfo/freeipa-users" target="_blank">https://www.redhat.com/mailman/listinfo/freeipa-users</a><br>
Go To <a href="http://freeipa.org" target="_blank">http://freeipa.org</a> for more info on the project<br>
</div></div></blockquote></div><br><br clear="all"><div><br></div>-- <br><div class="gmail_signature"><div dir="ltr"><h1 style="margin-top:0pt;margin-right:0pt;margin-bottom:0pt;margin-left:0pt"></h1>If life gives you melons, you may be dyslexic.
                                                        
                                                                                                        </div></div>
</div>