<div dir="ltr">Yes, this approach would work, and it would be a good enhancement. It would make migration from NIS easier with very little impact to users. Are you saying that something like this can be implemented right now? Or do you mean that this is how it could be done in future ? How does a host submit a request to the host admin? Is there a host admin daemon that listens for these requests ?<div><br></div><div><br></div></div><div class="gmail_extra"><br><div class="gmail_quote">On Sat, Mar 21, 2015 at 1:50 PM, Dmitri Pal <span dir="ltr"><<a href="mailto:dpal@redhat.com" target="_blank">dpal@redhat.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
  
    
  
  <div bgcolor="#FFFFFF" text="#000000"><span class="">
    <div>On 03/21/2015 05:53 AM, Prasun Gera
      wrote:<br>
    </div>
    <blockquote type="cite">
      <div dir="ltr">Is it possible to completely automate the client
        enrollment process similar to securenets in NIS? I'm trying to
        migrate NIS to IDM, and hoping that it runs largely in
        auto-pilot mode. The kickstarter method suggests adding host
        entries with a one time kerberos password to launch unattended
        client installs. That, however, needs the admin's involvement
        every time a new host has to be added. Securenets works pretty
        well in our case since we can authenticate based on the IP
        address. User addition is still manual, but that's all right
        since that is infrequent. Is it possible to do something similar
        using IP masks or fqdn regex in ipa ? </div>
      <br>
      <fieldset></fieldset>
      <br>
    </blockquote></span>
    No but if you trust your network you can create a host admin that
    would have the host add privilege and host enroll privilege and
    nothing else and use this admin.<br>
    <br>
    IMO it would be a nice enhancement to have a way to restrict such
    enrollments to specific subnets. The logic on the server would be
    something like this:<br>
    <br>
    Enrollment request comes in<br>
    If host entry there?<br>
    Yes - follow the current logic <br>
    Check user privileges<br>
    <Check that the client is coming from one of the given IPA
    ranges> <-new<br>
    Enroll<br>
    <br>
    Would you mind filing an RFE if this approach would work for you?<span class="HOEnZb"><font color="#888888"><br>
    <pre cols="72">-- 
Thank you,
Dmitri Pal

Sr. Engineering Manager IdM portfolio
Red Hat, Inc.</pre>
  </font></span></div>

<br>--<br>
Manage your subscription for the Freeipa-users mailing list:<br>
<a href="https://www.redhat.com/mailman/listinfo/freeipa-users" target="_blank">https://www.redhat.com/mailman/listinfo/freeipa-users</a><br>
Go to <a href="http://freeipa.org" target="_blank">http://freeipa.org</a> for more info on the project<br></blockquote></div><br></div>