<div style="color:#000;background-color:#fff;font-family:verdana, helvetica, sans-serif;font-size:16px;"><div id="yMail_cursorElementTracker_1477026261228">Hi,</div><div>Thanks again.</div><div id="yMail_cursorElementTracker_1477026805719"><br></div><div id="yMail_cursorElementTracker_1477026267092">Lastly, we've switched away from Ubuntu's FreeIPA due to a bad Samba compilation choice stopping AD trusts from working (samba isn't using MIT kerberos????).  We're now using CentOS 7.2. <br clear="none"></div><div id="yMail_cursorElementTracker_1477026341004"><br></div><div id="yMail_cursorElementTracker_1477026341361">While we know the CentOS version will operate correctly, we only get to use 4.2 of FreeIPA, but the Ubuntu version is 4.4.2. Is there 4.4.2 for CentOS?</div><div id="yui_3_16_0_ym19_1_1476873139460_52004"><span></span></div><div class="qtdSeparateBR" id="yui_3_16_0_ym19_1_1476873139460_52005"><br clear="none">Best regards</div><div class="qtdSeparateBR" id="yMail_cursorElementTracker_1477026786055">James Harrison </div><div class="yQTDBase yqt9005559181" id="yqt04736"><div class="yahoo_quoted" id="yui_3_16_0_ym19_1_1476873139460_52012" style="display:block;">  <div id="yui_3_16_0_ym19_1_1476873139460_52011" style="font-family:verdana, helvetica, sans-serif;font-size:16px;"> <div id="yui_3_16_0_ym19_1_1476873139460_52010" style="font-family:HelveticaNeue, Helvetica Neue, Helvetica, Arial, Lucida Grande, Sans-Serif;font-size:16px;"> <div dir="ltr" id="yui_3_16_0_ym19_1_1476873139460_52009"> <font id="yui_3_16_0_ym19_1_1476873139460_52014" size="2" face="Arial"> </font><hr size="1"> <b><span style="font-weight:bold;">From:</span></b> Rob Crittenden <rcritten@redhat.com><br clear="none"> <b><span style="font-weight:bold;">To:</span></b> James Harrison <jamesaharrisonuk@yahoo.co.uk>; Martin Babinsky <mbabinsk@redhat.com>; "freeipa-users@redhat.com" <freeipa-users@redhat.com> <br clear="none"> <b><span style="font-weight:bold;">Sent:</span></b> Wednesday, 19 October 2016, 14:28<br clear="none"> <b><span style="font-weight:bold;">Subject:</span></b> Re: [Freeipa-users] Promote CA-less replica<br clear="none">  </div> <div class="y_msg_container" id="yui_3_16_0_ym19_1_1476873139460_52016"><br clear="none">James Harrison wrote:<br clear="none">> Hi,<br clear="none">> Martin thanks for your quick response. Based on your comments. I have<br clear="none">> further questions.<br clear="none">><br clear="none">>  >> equal peers and can be considered masters<br clear="none">><br clear="none">> 1. If there any urgency for us to recreate a "master" server to perform<br clear="none">> any "master" type functions? How do we re-attach "replicas" to this new<br clear="none">> "master"?<br clear="none"><br clear="none">Like he said, all IPA servers are equal (some are just more equal than <br clear="none">others). If you truly have a CA-less system the the only thing that <br clear="none">distinguishes one master from another is the presence of the DNS <br clear="none">service. From below it looks like you install DNS on all which makes <br clear="none">them all masters.<br clear="none"><br clear="none">You can manage the replication topology using ipa-replica-manage.<br clear="none"><br clear="none">><br clear="none">>  >> As long as the others have valid CA and server certs<br clear="none">> 2. This is the install script we are using on the "replicas"<br clear="none">><br clear="none">> ipa-replica-install \<br clear="none">>      --setup-dns --ssh-trust-dns --no-dnssec-validation \<br clear="none">>      -p xxxxxxxxx \<br clear="none">>      --admin-password=xxxxxxx \<br clear="none">>      --ip-address=replica_ip   \<br clear="none">>      --no-forwarders \<br clear="none">>      -U --mkhomedir --log-file=freeipa_log_file $1<br clear="none">><br clear="none">> 3. The $1 is the cert generated from the "master".  If theres no<br clear="none">> distinction between a "master" and a "replica" in a CA-less environment,<br clear="none">> can a "replica" run the ipa-replica-prepare script once<br clear="none">> ipa-replica-install has been successfully run?<br clear="none"><br clear="none">I think you mean $1 is the replica file generated from some master. <br clear="none">Seeing how you generate that would tell us whether you are truly in a <br clear="none">CA-less environment or not (e.g. you'd need to pass in PKCS#12 files to <br clear="none">ipa-replica-prepare).<br clear="none"><br clear="none">To answer your question, yes. In a CA-less environment any master can <br clear="none">generate a prepare file.<br clear="none"><br clear="none">You can add/remove connections using ipa-replica-manage. The initial <br clear="none">connection is between the master that generated the prepare file and the <br clear="none">host it was installed on.<br clear="none"><br clear="none">rob<div class="yqt3060149009" id="yqtfd74698"><br clear="none"><br clear="none">><br clear="none">> Thank you for any help.<br clear="none">> Best regards,<br clear="none">> James Harrison<br clear="none">><br clear="none">> ------------------------------------------------------------------------<br clear="none">> *From:* Martin Babinsky <<a rel="nofollow" shape="rect" ymailto="mailto:mbabinsk@redhat.com" target="_blank" href="javascript:return">mbabinsk@redhat.com</a>><br clear="none">> *To:* <a rel="nofollow" shape="rect" ymailto="mailto:freeipa-users@redhat.com" target="_blank" href="javascript:return">freeipa-users@redhat.com</a><br clear="none">> *Sent:* Wednesday, 19 October 2016, 11:01<br clear="none">> *Subject:* Re: [Freeipa-users] Promote CA-less replica<br clear="none">><br clear="none">> On 10/19/2016 11:35 AM, James Harrison wrote:<br clear="none">><br clear="none">> Hi James,<br clear="none">><br clear="none">>  > Hi,<br clear="none">>  > Were using FreeIPA on Ubuntu Xenial. We lost the Master server.<br clear="none">>  ><br clear="none">>  > I have some questions:<br clear="none">>  > 1. Do DNS replicate among other replicas is we change/add DNS records?<br clear="none">>  > If not can this behaviour be changed?<br clear="none">> IPA-intergrated DNS stores records in the replicated LDAP subtree so any<br clear="none">> added/removed DNS record will replicate to other IPA DNS servers.<br clear="none">><br clear="none">>  > 2. How do we promote a replica to become a master? We have not<br clear="none">>  > configured our servers to become a CA. Our CA is Comodo and we have<br clear="none">>  > configured FreeIPA to use a certificate, key and interim certificates<br clear="none">>  > from Comodo. using the options:<br clear="none">>  ><br clear="none">>  > --http_pkcs12=....<br clear="none">>  > --http_pin=....<br clear="none">>  > --dirsrv_pkcs12=...<br clear="none">>  > --dirsrv_pin=....<br clear="none">>  ><br clear="none">>  > Hope someone can help. Quite urgent.<br clear="none">>  ><br clear="none">> The terms FreeIPA master/replica are quite arbitrary as all replicas are<br clear="none">> equal peers and can be considered masters. The only notion of 'master'<br clear="none">> is when you use a Dogtag CA (then one of the CA replicas is designated a<br clear="none">> renewal master and does renew certificates in the topology and one is<br clear="none">> CRL master generating certificate revocation lists) and/or DNSSec (then<br clear="none">> one of DNS replica is designated a key master generating zone signing<br clear="none">> keys and other DNS replicas pull these keys).<br clear="none">><br clear="none">> As you are using CA-less replicas then there should be no loss in the<br clear="none">> fact that the one designated 'master' is down (unless it was e.g. the<br clear="none">> only DNS server). As long as the others have valid CA and server certs<br clear="none">> they should be working just fine.<br clear="none">><br clear="none">><br clear="none">><br clear="none">> You can just install a new replica in place of the master by generating<br clear="none">> replica file on another replicaa nd supplying the required certificates<br clear="none">> through options.<br clear="none">><br clear="none">><br clear="none">>  > Regards,<br clear="none">>  > James Harrison<br clear="none">><br clear="none">>  ><br clear="none">>  ><br clear="none">><br clear="none">><br clear="none">> --<br clear="none">> Martin^3 Babinsky<br clear="none">><br clear="none">> --<br clear="none">> Manage your subscription for the Freeipa-users mailing list:<br clear="none">> <a rel="nofollow" shape="rect" target="_blank" href="https://www.redhat.com/mailman/listinfo/freeipa-users">https://www.redhat.com/mailman/listinfo/freeipa-users</a><br clear="none">> Go to <a rel="nofollow" shape="rect" target="_blank" href="http://freeipa.org/">http://freeipa.org </a><<a rel="nofollow" shape="rect" target="_blank" href="http://freeipa.org/">http://freeipa.org/</a>>for more info on the project<br clear="none">><br clear="none">><br clear="none">><br clear="none">><br clear="none">><br clear="none"><br clear="none"></div><br clear="none"><br clear="none"></div> </div> </div>  </div></div></div>