<div dir="ltr"><div class="gmail_extra"><div class="gmail_quote">On Wed, Dec 7, 2016 at 3:57 PM, Brian Candler <span dir="ltr"><<a href="mailto:b.candler@pobox.com" target="_blank">b.candler@pobox.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div id="m_1005146883129895502:919" class="m_1005146883129895502a3s m_1005146883129895502aXjCH m_1005146883129895502m158d9984033824fa">The Kerberos realm always has a corresponding DNS domain, so realm <a href="http://IPA.LAUTUS.NET" rel="noreferrer" target="_blank">IPA.LAUTUS.NET</a> has a corresponding DNS domain "<a href="http://ipa.lautus.net" rel="noreferrer" target="_blank">ipa.lautus.net</a>".</div></blockquote></div><div class="gmail_extra"><br></div>This is the crux of what I find unclear. The docs make it sound as if the DNS domain that corresponds to the Kerberos realm needs to be the exact same DNS domain that the FreeIPA internal DNS is actively managing. But I get the impression in this thread that the DNS domain that corresponds to the Kerberos realm just needs to be a DNS domain that belongs to the organisation using FreeIPA.</div><div class="gmail_extra"><br></div><div class="gmail_extra">Concrete scenario, I wonder if this will work:</div><div class="gmail_extra"><br></div><div class="gmail_extra">A greenfields deployment, no other kerberos, no Active Directory. Internal DNS to be <a href="http://int.lautus.net" target="_blank">int.lautus.net</a> and FreeIPA manages that DNS domain and adds internal hosts to it as they enroll. Public-facing servers are manually registered in <a href="http://lautus.net" target="_blank">lautus.net</a> DNS which is hosted elsewhere. But FreeIPA is installed with realm <a href="http://LAUTUS.NET" target="_blank">LAUTUS.NET</a> so it adds _kerberos entries for realm <a href="http://LAUTUS.NET" target="_blank">LAUTUS.NET</a> to <a href="http://int.lautus.net" target="_blank">int.lautus.net</a>, and I manually copy those entries to <a href="http://lautus.net" target="_blank">lautus.net</a>, so everone agrees that they belong to the same realm.</div><div class="gmail_extra"><br></div><div class="gmail_extra">The reason I want the realm to be <a href="http://LAUTUS.NET" target="_blank">LAUTUS.NET</a> is because it makes more sense to me that the internal desktops in the subdomain <a href="http://int.lautus.net" target="_blank">int.lautus.net</a> to enroll into a realm related to the parent DNS domain, than it makes sense for the public-facing servers in the parent <a href="http://lautus.net" target="_blank">lautus.net</a> domain enroll into a realm related to an internal DNS subdomain. Or am I making an issue of a cosmetic triviality, and it is not all all strange in the kerberos realm to enroll a server into a realm related to a DNS subdomain it is not part of?</div><div class="gmail_extra"><br></div><div class="gmail_extra">-- <br><div class="m_1005146883129895502gmail_signature" data-smartmail="gmail_signature"><div dir="ltr"><div><div dir="ltr">Pieter Nagel<div>Lautus Solutions (Pty) Ltd</div><div><div style="font-size:small">Building 27, The Woodlands, 20 Woodlands Drive, Woodmead, Gauteng</div></div><div>0832587540</div></div></div></div></div>
</div></div>