<div dir="ltr"><span style="font-size:12.8px">Hi Alexander,</span><div style="font-size:12.8px"><br></div><div style="font-size:12.8px">I understand that with Trust to AD, we can use AD for System of Records for the User Accounts.</div><div style="font-size:12.8px"><br></div><div style="font-size:12.8px"><span style="color:rgb(36,39,41);font-family:Arial,"Helvetica Neue",Helvetica,sans-serif;font-size:13px;line-height:16.9px">We do want IPA to maintain the policies, but just want to use SunLDAP instead of 389 Directory Server for storing the policies. From Enterprise Architecture point of view, </span><span style="color:rgb(36,39,41);font-family:Arial,"Helvetica Neue",Helvetica,sans-serif;font-size:13px;line-height:16.9px">389 Directory Server would be Yet Another Directory Server in our environment. It seems an overkill if we already have SunLDAP.</span><br></div><div style="font-size:12.8px"><span style="color:rgb(36,39,41);font-family:Arial,"Helvetica Neue",Helvetica,sans-serif;font-size:13px;line-height:16.9px"><br></span></div><div style="font-size:12.8px"><span style="color:rgb(36,39,41);font-family:Arial,"Helvetica Neue",Helvetica,sans-serif;font-size:13px;line-height:16.9px">Thanks,</span></div><div style="font-size:12.8px"><span style="color:rgb(36,39,41);font-family:Arial,"Helvetica Neue",Helvetica,sans-serif;font-size:13px;line-height:16.9px">Saqib</span></div></div><div class="gmail_extra"><br><div class="gmail_quote">On Wed, Jun 15, 2016 at 10:31 PM, Alexander Bokovoy <span dir="ltr"><<a href="mailto:abokovoy@redhat.com" target="_blank">abokovoy@redhat.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class="">On Wed, 15 Jun 2016, Saqib N Ali wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
Greetings,<br>
<br>
If we want to use the FreeIPA Active Directory Trust Integration Option,<br>
can we use an existing implementation of SunLDAP to store the Policies<br>
(e.g. sudo, hbac etc.)<br>
<br>
Essentially we don't to create another LDAP Directory just for storing the<br>
Policies.<br>
</blockquote></span>
FreeIPA cannot work with another LDAP Directory. It is integrated<br>
solution that relies on the set of plugins in 389-ds directory, there<br>
are about dozen specialized plugins that come with FreeIPA itself.<br>
<br>
Trust to Active Directory option is part of that setup and cannot be<br>
done against another LDAP directory because it also relies on the<br>
specific plugins to 389-ds that don't exist in your SunLDAP.<br>
<br>
If you deploy FreeIPA, you cannot have it 'just for storing the<br>
policies'. It will be used for all kinds of objects. With trust to<br>
Active Directory you may opt to not create native IPA users but then<br>
these wouldn't be coming from your SunLDAP directory either, AD users<br>
would be coming from AD.<span class="HOEnZb"><font color="#888888"><br>
<br>
<br>
-- <br>
/ Alexander Bokovoy<br>
</font></span></blockquote></div><br></div>