<div dir="ltr">With a multi master setup FreeIPA could be considered "resilient" however this is dependant on some other architectural considerations. For our customers we deploy two per location and put both servers as entries in /etc/resolv.conf. As FreeIPA service discovery is done with SRV records this approach seems to just work™.<br><br>Using freeipa for DNS can be a bit of a double edged sword because it does not yet support some of the DNS features essential in complex environments such as split horizon. For vanilla installations it seems DNS is essential to FreeIPA's resilience. Trying to do IP failover or other tricks seems to cause havoc with Kerberos but we never really tried.<div><div class="gmail_extra"><br><div class="gmail_quote">On 16 October 2015 at 07:03, Youenn PIOLET <span dir="ltr"><<a href="mailto:piolet.y@gmail.com" target="_blank">piolet.y@gmail.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex"><div dir="ltr">Hi there.<div><br></div><div>I'd like to integrate FreeIPA in a multi-location production environment. We got servers in US/Europe/South America/Pacific Ocean with some high latency links. The parc I manage is a mixed linux environment with less than 1000 servers. I also plan to use FreeIPA as backend for Radius authentication on various network equipments.</div><div><br></div><div>I plan to deploy a replica architecture similar to the recommandation article in official Documentation: <a href="http://www.freeipa.org/page/Deployment_Recommendations" target="_blank">http://www.freeipa.org/page/Deployment_Recommendations</a> with two replicas per region and at least one replica per DC. FreeIPA will become my DNS for internal resolution.</div><div><br></div><div>FreeIPA servers will run on latest CentOS.</div><div><br></div><div>I've got two questions:</div><div><br></div><div>1) Version:</div><div>Should I wait for IPA 4.2 or is IPA 4.1.4 a good / stable / trust-full solution for authentication, upgrade, maintainability, resilience ? Will 4.2.X be too young and unstable for a massive implementation ? I'm quite interested about 4.2 but don't want to wait too long for a release on Centos. How easy would be an upgrade of all replicas from 4.1.4 to 4.2 in an IPA replication topology?</div><div><br></div><div>2) Resiliency:</div><div>How to make FreeIPA service resilient? Is there an official / easy and secure way to converge to an other IPA server (with DNS?) when a replica is down? I've got the chance to work on an MPLS network with the Anycast possibility. Is it something workable with FreeIPA/Kerberos ?</div><div><br></div><div>Thanks by advance for your suggestions</div><div><div><div><font face="arial, helvetica, sans-serif"><div><span style="font-family:arial"><font face="arial, helvetica, sans-serif"><div>--</div><div><font color="#666666">Youenn Piolet</font></div><div><font size="1" color="#999999"><a href="mailto:piolet.y@gmail.com" target="_blank">piolet.y@gmail.com</a></font></div><div style="font-size:large"><span style="font-size:small"><span style="font-family:arial"><div><font face="tahoma, sans-serif"><span style="font-family:arial,verdana,tahoma,sans-serif;font-size:11px"><span style="font-family:tahoma,sans-serif;font-size:small"><font color="#666666"><span style="color:rgb(142,142,142);font-family:arial,verdana,tahoma,sans-serif;font-size:11px"><em><br></em></span></font></span></span></font></div><font color="#8E8E8E" face="arial, verdana, tahoma, sans-serif"></font></span><font color="#8E8E8E" face="arial, verdana, tahoma, sans-serif"></font><font color="#8E8E8E" face="arial, verdana, tahoma, sans-serif"></font></span></div></font></span></div></font></div></div>
</div></div>
<br>--<br>
Manage your subscription for the Freeipa-users mailing list:<br>
<a href="https://www.redhat.com/mailman/listinfo/freeipa-users" rel="noreferrer" target="_blank">https://www.redhat.com/mailman/listinfo/freeipa-users</a><br>
Go to <a href="http://freeipa.org" rel="noreferrer" target="_blank">http://freeipa.org</a> for more info on the project<br></blockquote></div><br></div></div></div>