<div dir="ltr">Rob, is there a architecture document/diagram that describes how 389-ds in the FreeIPA w/ AD Trust setup? </div><div class="gmail_extra"><br><div class="gmail_quote">On Thu, Jun 16, 2016 at 9:08 AM, Rob Crittenden <span dir="ltr"><<a href="mailto:rcritten@redhat.com" target="_blank">rcritten@redhat.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class="">Saqib N Ali wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
Hi Alexander,<br>
<br>
I understand that with Trust to AD, we can use AD for System of Records<br>
for the User Accounts.<br>
<br>
We do want IPA to maintain the policies, but just want to use SunLDAP<br>
instead of 389 Directory Server for storing the policies. From<br>
Enterprise Architecture point of view, 389 Directory Server would be Yet<br>
Another Directory Server in our environment. It seems an overkill if we<br>
already have SunLDAP.<br>
</blockquote>
<br></span>
389-ds is an integral part of IPA, it isn't just a data sink.<span class="HOEnZb"><font color="#888888"><br>
<br>
rob<br>
<br>
</font></span><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class="">
Thanks,<br>
Saqib<br>
<br>
On Wed, Jun 15, 2016 at 10:31 PM, Alexander Bokovoy <<a href="mailto:abokovoy@redhat.com" target="_blank">abokovoy@redhat.com</a><br></span><div><div class="h5">
<mailto:<a href="mailto:abokovoy@redhat.com" target="_blank">abokovoy@redhat.com</a>>> wrote:<br>
<br>
    On Wed, 15 Jun 2016, Saqib N Ali wrote:<br>
<br>
        Greetings,<br>
<br>
        If we want to use the FreeIPA Active Directory Trust Integration<br>
        Option,<br>
        can we use an existing implementation of SunLDAP to store the<br>
        Policies<br>
        (e.g. sudo, hbac etc.)<br>
<br>
        Essentially we don't to create another LDAP Directory just for<br>
        storing the<br>
        Policies.<br>
<br>
    FreeIPA cannot work with another LDAP Directory. It is integrated<br>
    solution that relies on the set of plugins in 389-ds directory, there<br>
    are about dozen specialized plugins that come with FreeIPA itself.<br>
<br>
    Trust to Active Directory option is part of that setup and cannot be<br>
    done against another LDAP directory because it also relies on the<br>
    specific plugins to 389-ds that don't exist in your SunLDAP.<br>
<br>
    If you deploy FreeIPA, you cannot have it 'just for storing the<br>
    policies'. It will be used for all kinds of objects. With trust to<br>
    Active Directory you may opt to not create native IPA users but then<br>
    these wouldn't be coming from your SunLDAP directory either, AD users<br>
    would be coming from AD.<br>
<br>
<br>
    --<br>
    / Alexander Bokovoy<br>
<br>
<br>
<br>
<br>
</div></div></blockquote>
<br>
</blockquote></div><br></div>