<html>
  <head>
    <meta content="text/html; charset=windows-1252"
      http-equiv="Content-Type">
  </head>
  <body bgcolor="#FFFFFF" text="#000000">
    On 4/4/15 11:44 AM, Dmitri Pal wrote:<br>
    <blockquote cite="mid:55203123.1030703@redhat.com" type="cite">
      <meta content="text/html; charset=windows-1252"
        http-equiv="Content-Type">
      <div class="moz-cite-prefix">On 04/04/2015 12:30 PM, Nadav Mavor
        wrote:<br>
      </div>
      <blockquote
cite="mid:CAN5Z3gO+hC3rMyP6BoG5JoEogZbNuBUzZSK5qnmyNmUPQia-Lw@mail.gmail.com"
        type="cite">
        <div dir="ltr">
          <div>i use F5 and 3 IPA servers no big issues but some notes :<br>
          </div>
          1) as note you cant use it for  kerberos<br>
          <div>2) for the DNS we use group and not L/B do to the zone
            serial (the zone serial num is not geting sync so if you
            round robin you will get deferent zone num evey time and it
            will mess up  zone sync to external dns servers)<br>
          </div>
          <div>3) for the  GUI (443) make sure to use stickiness  so the
            user wont get bounce after the login <br>
          </div>
        </div>
      </blockquote>
      <br>
      I did not quite get 2) above...<br>
      Can you please describe it in more details?<br>
      If you know how to make LB work with IPA's DNS and kerberos a nice
      HOWTO wiki page would be really welcome!<br>
      <br>
      <br>
      <blockquote
cite="mid:CAN5Z3gO+hC3rMyP6BoG5JoEogZbNuBUzZSK5qnmyNmUPQia-Lw@mail.gmail.com"
        type="cite">
        <div class="gmail_extra"><br>
          <div class="gmail_quote">On Sat, Apr 4, 2015 at 11:47 AM, Simo
            Sorce <span dir="ltr"><<a moz-do-not-send="true"
                href="mailto:simo@redhat.com" target="_blank">simo@redhat.com</a>></span>
            wrote:<br>
            <blockquote class="gmail_quote" style="margin:0 0 0
              .8ex;border-left:1px #ccc solid;padding-left:1ex">We use
              SASL/GSSAPI/krb5 to authenticate clients to the LDAP
              server.<br>
              If you want to load balance by using a common DNS name in
              front of all<br>
              servers, you will need to deal with issues with krb5
              authentication.<br>
              <br>
              At the very least you should add keys to all servers for a
              principal<br>
              named after the common name. However we do not test this
              scenario and I<br>
              am not 100% sure it works correctly when you factor in
              that we use<br>
              GSSAPI also for replication.<br>
              <br>
              Simo.<br>
              <span class=""><br>
                On Sat, 2015-04-04 at 22:16 +0700, Brian Topping wrote:<br>
                > I believe LDAP can be load balanced without any
                problem. It is a TCP<br>
                > based protocol without persistent state between
                transactions so it<br>
                > should be just fine.<br>
                ><br>
                ></span><br>
            </blockquote>
          </div>
        </div>
      </blockquote>
    </blockquote>
    The reason I brought this up - <br>
    <br>
    been doing some testing with different LBs and well, some of them
    seem to cause a lot of stuck/CLOSE_WAIT ports, while others don't.
    My guess is I am just incorrectly configuring the ones that are
    causing problems.  But I guess too, I was wondering if there were
    any known bugs in some LBs for others, that would cause issues?<br>
    <br>
    ~J<br>
    <br>
    <br>
  </body>
</html>