<div dir="ltr">Thanks Petr.<div><br></div><div>It seems like the only way to do it right now is to dump the keytab and copy it to slave KDCs, as I couldn't find a way to have MIT Kerberos to use the master key stored in the LDAP directly.</div><div><br></div><div>MIT Kerberos doesn't really support a master key stored elsewhere other than using "<span style="font-family:Menlo;font-size:12px">key_stash_file" </span>AFAIK, so I'm wondering how FreeIPA has actually implemented it (I couldn't find any reference for it in the kerberos conf files).</div><div><br></div><div>My use case involves having a "FreeIPA slave"  - a streamlined version which will only provide authentication (via Kerberos). Sure, I can make a standard replica and firewall what I don't wanna use, but when stretching your authentication infrastructure you don't necessary need to expose all other services FreeIPA provides, since that increases your attack surface.</div><div><br></div><div>Best regards</div><div class="gmail_extra"><br><div class="gmail_quote">On Fri, Jul 22, 2016 at 10:14 AM, Petr Spacek <span dir="ltr"><<a href="mailto:pspacek@redhat.com" target="_blank">pspacek@redhat.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class="">On 21.7.2016 22:05, Diogenes S. Jesus wrote:<br>
> Hi everyone.<br>
><br>
> I'm currently planning on deploying FreeIPA as the Master KDC (among other<br>
> things to leverage from the API and some other built-in features - like<br>
> replicas).<br>
> However I find (correct if I'm wrong) FreeIPA not very modular - therefore<br>
> I would like to know what's the strategy when deploying slave KDCs.<br>
><br>
> I've seen this thread<br>
</span>> <<a href="https://www.redhat.com/archives/freeipa-users/2013-September/msg00319.html" rel="noreferrer" target="_blank">https://www.redhat.com/<wbr>archives/freeipa-users/2013-<wbr>September/msg00319.html</a>><br>
<span class="">> but I<br>
> don't really want to have a replica - the idea was to deploy a separate box<br>
> only running KDC - since the authentication is delegated to RADIUS for<br>
> Authentication, I don't need to expose LDAP Master to KDC slaves - If yes,<br>
> I would provide a read-only LDAP replica..<br>
><br>
><br>
> For starters, where is the FreeIPA KDC stash file stored?<br>
<br>
</span>AFAIK there is no prior art in setting up MIT KDC slaves. First of all,<br>
FreeIPA does not use stash file and stores master key in LDAP instead.<br>
<br>
You can retrieve equivalent of stash file using following command:<br>
<br>
$ ipa-getkeytab --retrieve --principal K/M@<REALM> -k /tmp/stash.keytab<br>
--binddn='cn=Directory manager' --bindpw='<Directory manager password>'<br>
<br>
*Make sure* that --retrieve option is present otherwise it will destroy your<br>
Kerberos database.<br>
<br>
The rest is up to your experimentation. I wish you good luck and please report<br>
your findings back to the mailing list!<br>
<span class="HOEnZb"><font color="#888888"><br>
--<br>
Petr^2 Spacek<br>
<br>
--<br>
Manage your subscription for the Freeipa-users mailing list:<br>
<a href="https://www.redhat.com/mailman/listinfo/freeipa-users" rel="noreferrer" target="_blank">https://www.redhat.com/<wbr>mailman/listinfo/freeipa-users</a><br>
Go to <a href="http://freeipa.org" rel="noreferrer" target="_blank">http://freeipa.org</a> for more info on the project<br>
</font></span></blockquote></div><br><br clear="all"><div><br></div>-- <br><div class="gmail_signature" data-smartmail="gmail_signature"><div dir="ltr"><div><br>--------<br><br>Diogenes S. de Jesus</div></div></div>
</div></div>