<div dir="ltr">On Sun, Dec 11, 2016 at 11:31 PM, David Kupka <span dir="ltr"><<a href="mailto:dkupka@redhat.com" target="_blank">dkupka@redhat.com</a>></span> wrote:<br><div class="gmail_extra"><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex"><div class="gmail-HOEnZb"><div class="gmail-h5"><br></div></div>yes you can do it. DNS domain and Kerberos realm are two different things. It's common and AFAIK recommended to capitalize DNS domain to get the realm but it's not required.<br>If you really want to have them different make sure:<br>a) <a href="http://anotherdomain.com/" rel="noreferrer" target="_blank">anotherdomain.com</a> is under your control,<br>b) you don't already have other Kerberos instance (FreeIPA, MIT KRB5, MS AD, ...) with <a href="http://anotherdomain.com/" rel="noreferrer" target="_blank">ANOTHERDOMAIN.COM</a> realm deployed.<br><br>With FreeIPA you can run<br># ipa-server-install --domain <a href="http://example.com/" rel="noreferrer" target="_blank">example.com</a> --realm <a href="http://anotherdomain.com/" rel="noreferrer" target="_blank">ANOTHERDOMAIN.COM</a><br><br>But before you do, why do you want to have the realm different from the domain?</blockquote><div><br></div><div>David-</div><div><br></div><div>We have multiple domains that we want to manage under one Kerberos realm. I see that's it's possible for FreeIPA to manage multiple realms, but, for simplicity, I'd rather use just one and have all domains underneath:</div><div><br></div><div><a href="http://REALM.COM">REALM.COM</a></div><div>controls <a href="http://example1.com">example1.com</a>, <a href="http://example2.com">example2.com</a>, <a href="http://example3.com">example3.com</a>, etc.</div><div><br></div><div>Since we control all domain's DNS, we would create text records for each of the example{x}.com domains pointing to <a href="http://REALM.COM">REALM.COM</a> Kerberos realm. We would also create SRV records for each of the example{x}.com domains directing Kerberos lookups to <a href="http://REALM.COM">REALM.COM</a>. I know it's a little unorthodox, but I'd like to do it so we can keep everything in one easily managed lot.</div><div><br></div><div>Steve</div><div><br></div><div>P.S. I got several pornny spammy replies to this message. Is someone sneaking into this list somehow?</div></div></div></div>